Virus Lucifero : Super emergenza !

Stato
Discussione chiusa ad ulteriori risposte.

Dan63

Nuovo Utente
7
0
Apro questa discussione per segnalarvi la presenza di un nuovo virus/Trojan che ho recentemente scoperto e ho deciso di chiamare win32.Lucifero;
un nome pittoresco ma, vi assicuro, ampiamente meritato ("La vera forza del diavolo è convincere il mondo che lui non esiste").

* Cos'è :

Lucifero è una variante del Trojan dai molti nomi che si manifesta con la presenza nel cestino di una cartella S-1-5-2x-xxxxxx-xxxxxxx-xxxxxx-yyyy.
La stringa si distingue dai alcuni suoi fratelli per le cifre finali (yyyy) che per Lucifero finora ho riscontrato essere 500 - 1006 - 1003, ma siccome il loro significato è sconosciuto, non si può escludere che ne esistano anche altre.

* Qual è il suo obiettivo ?

Lo stesso di molti dei suoi fratelli "figli di un dio minore" : permettere ad un hacker remoto di accedere al vostro computer e sottrarvi dati bancari e/o altri dati sensibili.

* Come lo ottiene ?

In pratica, Lucifero si impossessa della gestione di alcuni servizi, fra cui explorer.exe e svchost.exe, e crea un file track.log dove registra quello che fate nei siti che visitate (user id, password, etc etc) dopodichè apre una backdoor (quella che ha trovato Rogue Killer era 127.0.1.1) per permettere all'Hacker di venirsi a prendere il file ed avere un quadro preciso di TUTTA la vostra vita di internauti.
Tecnicamente, questo virus è perfettamente in grado anche di ricevere e/o inviare file in rete, ma se lo faccia o meno, al momento non ci è dato sapere.

* Quando ci si infetta ?

Quando il Pc entra in contatto IN QUALSIASI MODO con un supporto infetto.
Basta inserire una chiavetta/cd/dvd/disco esterno che sia prima stato collegato ad un pc infetto, e appena il supporto viene riconosciuto lui è già lì.
Al momento non so ancora se infetti o meno anche altri files eseguibili (.Com, .exe, .sys, .dll, etc..).

* Come agisce ?

Qui viene il bello e si spiega anche il suo nome.

Lucifero si pianta nel MBR del vostro disco principale, dopodichè si sostituisce al BIOS della vostra Mother Board (Sì, avete letto bene, scrive il proprio codice nel firmware), ma si suppone che ne faccia una copia nella cartella di Windows, Infatti, in C:\Windows troverete due files bios1.rom e bios4.rom che sono il frutto delle sue manipolazioni. Si suppone che bios1.rom sia la copia originale del vostro bios a cui lui reindirizza le chiamate tramite alcune chiavi di registro.
Da quel momento qualunque supporto hw con fat16/fat32/ntfs viene infettato al primo contatto, ed è pronto ad infettare a sua volta qualunque pc con cui venga in contatto in qualsiasi modo, ovvero basta che il supporto venga riconosciuto dalla macchina e lui si installa.

Nelle chiavette viene infettato solo l'MBR, quindi scordatevi di fermarlo bloccando l'Autorun o cercando altre cose così.
Nei dischi esterni viene infettato MBR e Partition Table, e vengono create le due cartelle nascoste Recycler e System Volume Information, dove lui risiede.
Nei CD/DVD vengono installati una serie di comandi invisibili (li potete vedere solo da Linux, per esempio esplorando il cd con Acronis Disk Doctor) che lo rendono capace di infettare subito la macchina in cui il cd viene inserito.
NON ci sono eccezioni : Se create un cd audio per la vostra autoradio, il cd funzionerà perfettamente sulla radio, ma appena verrà inserito in un pc lo infetterà.
Negli smartphone android, lui infetta il MBR della SD esterna (si suppone che non sia ingrado di interagire con sistemi operativi diversi che non siano in base DOS), ma quando collegherete il telefono ad un altro PC e questo leggerà la SD, il virus si installerà.
I dischi multimediali (vedi DVICO) vengono infettati allo stesso modo degli altri, ma il firmware proprietario non può essere infettato, e le due cartelle possono venire rimosse da telecomando come fossero normali film. Ciò non toglie che una volta collegato a un pc, lo infetterà ugualmente.

* Come me ne accorgo ?

Io me ne sono accorto per caso. Ho dato una chiavetta a un amico per farmi stampare delle foto, e lui me l'ha riportata infetta con un trojan di quelli che si diffondono con l'autorun.inf. Sulle mie chiavette c'è sempre un autorun.inf, per fargli personalizzare l'iconain esplora risorse, e quando ho inserito la chiavetta e ho visto l'icona di una cartella o fiutato subito il misfatto e ho trovato Lucifero. Dopodichè ho constatato che effettivamente l'autorun era pieno di codici virali, ma stranamente aveva uno strano "buco" bianco e dalle proprietà risultava modificato un minuto prima... ????? ... Ebbene boys, Lucifero, che era già lì, lo ha trovato per primo e lo ha neutraloizzato immediatamente impedendogli di installarsi per non farsi scoprire. La stessa chiavetta, così modificata, non è stata più in grado di infettare nessuno dei PC usati per testarla.

Ma vediamo ora come trovarlo nei pc :

- E' possibile che si manifesti qualche rallentamento o magagnetta minore (blocchi temporanei o alterazioni della memoria ram), ma in realtà niente di che.
- Durante la navigazione può capitare qualche schermata blu o riavvio dovuti a errori di svchost.exe o di Tcpip.sys.

Negli altri supporti :

Nei dischi multimediali Dvico può capitare che all'avvio il disco non venga riconosciuto (a causa delle modifche nel MBR) ma se lo fate ripartire poi funzionerà normalmente.
Nei telefoni ci potrebbero essere blocchi quando Android cerca di accedere alla sd (per esempio se aprite la rubrica e avete la foto del contatto su sd).

In somma : nessun vero buco visibile e univoco, ma solo qualche rogna per i pasticci che combina con il MBR.

* Come lo troviamo :

Premessa : Finora ho provato 27 (ventisette !) antivirus, fra cui Avast, bitdefender, karspersky, Avira, malwarebyte e Symantec, ma NESSUNO trova niente. Uniche eccezioni sono le ultime versioni di Rogue Killer e Spybot Search and destroy, che ci capiscono poco anche loro, ma trovano la chiamata a S-1-blablabla nel registro.

In windows XP, andate in strumenti/opzioni cartella/visualizzazione, abilitate "visualizza file nascosti" e togliete la spunta da "nascondi files protetti e di sistema". A questo punto dovreste vedere nella root di ogni disco o partizione le due cartelle Recycler e System Volume Information. Entrate in Recycler e troverete la sua stringa. per capire se si tratta di lui o di uno dei suoi fratellini dcisamente meno rognosi, andate poi in c:\Windows e guardate se avete i due files Biosx.rom. Se ci sono anche quelli, sono guai grossi. Nota : Nei net pc come Asus Eee ( sì, infetta anche quelli..), non avremo biosX.rom ma romX.rom.

In Seven (32 o 64) fate la stessa cosa di Xp, cioè abilitate le due visualizzazioni, poi cercate nello stesso modo una cartella $RECYCLER. Qui non vedrete la stringa ma solo un file chiamato "cestino", anche qui con l'icona del cestino. E' lui.
Se volete avere la controprova, installate Avast poi dal menu del tasto destro fategli scansionare "cestino". Avast non trovera nulla, ma vi dirà che il file scansionato ( che voi vedetre come "Cestino"), in realtà si chiama S-1-blablabla.

Un Windows Vista, non so, ma credo che sia uguale a Seven.

* Ha punti deboli ?

In windows no, dopo aver manipolato il bios è inattaccabile e non viene identificato da niente.
Se formattate, non appena canecellerete un file qualsiasi riapparirà la cartella Recycler e lo ritroverete lì. Questo capiterà anche se prima formattate a basso livello, e la stessa cosa succederà anche ripristinando immagini precedenti e sicuramente "pulite" (Acronis True Image, Norton Ghost o similari) o riporterete il sistema ad uno stato precedente con wiondows o altri programmi (per esempio Rollback Rx).
Nota bene : Se mentre reinstallate windows l'installazione non andrà a buon fine per strani errori di I/O, non è colpa del CD ne dell'HDD, ma solo del virus e del suo interferire con il BIOS. L'unico modo che avete di vederlo bene in faccia è usare un CD ROM (niente di scrivibile, mai !) che avvii il sistema in Linux (Acronis, Parted Magic, etc), ma potete solo vederlo, perchè qualunque cosa facciate (es. rinominare o deletare la cartella recycler) avrà effetto solo fino al riavvio del siustema. La cosa buona, però, è che potrete vedere il contenuto "vero" delle sue due cartelle, compresi i suoi file, che da windows è letteralmente impossibile scovare.

Fuori da Windows, sì, perchè inizialmente parte dal MBR e sembra non riuscire ad attaccare nulla che non sia partizionato come Fat o NTFS, per cui sono assolutamente esclusi i Mac e probabilmente anche i PC con Linux/Unix o altri sistemi operativi.

E questa è una cosa ottima, perchè scaricando alcuni dei miei preziosi files dati su un Mac da una chiavetta sicuramente infetta, questi sono risultati perfettamente leggibili e sani. Ora sto formattando la chiavetta facendogli scrivere zeri in ogni settore, poi la partizionerò e formatterò in formato Mac nativo e quindi la riportero in fat32, Questo, almeno in teoria, dovrebbe renderla riusabile.

Inoltre ho notato che nei Bios con Instant Flash, ovvero quelli che permettono di rifleshare il BIOS senza bisogno di avviare il PC, la schermata di accesso viene inibita, e non è più possibile accedere al Bios con il tatsto f2 (o quello che è)... Questo significa che lui teme la riscrittura del BIOS, e quindi cerca di impedirla.

Da ultimo : se Lucifero si accorge che stai entrando in siti specializzati in sicurezza ( come "Tom's Hardware.it") ti oscura immediatamente il sito e tu non riesci più a raggiungerlo con nessun browser.

* Conseguenze per i dati ?

L'installazione di Windows sul disco di avvio (indipendentemente dalle partizioni) è fregata. Si deve reinstallare.
I documenti vari sono lì belli e sani, l'unico problema per ora è come tirarli fuori, visto che non si possono usare supporti.
Ciò che inviate per mail (NON eseguibili, come Pdf, doc o cose così) sarà Ok e non infetterà il destinatario.
Per gli eseguibili inviati via mail, al momento non mi è dato sapere per certo se vengano infettati (come potrebbe fare senza fatica) oppure no, ma comunque non credo.

* Come possiamo fotterlo ?

Esorcismo a parte, sto procedendo in questo senso :

Con un PC sano scarico i BIOS originali e creo dei cd/floppy (anche sui floppy si può inibire la scrittura) di Avvio in grado di flashare il BIOS.
Partendo con un CD di Maxtor Blaster rado la suolo il disco fisso infetto scrivendo zeri e 1 su ogni suo settore, riducendolo temporaneamente a un blocco di metallo inerte.
Parto da esterno e riscrivo il Bios originale.
Riparto con Disk Director da cd, ripartiziono e riformatto il disco in NTFS.
Riparto con cd originale e reinstallo Windows.

Per i dati su dischi di backup, ricopio tutto in una cartella del Mac, poi rifaccio quanto sopra ( vedi "chiavetta") e una volta ripristinato il MBR ricopio tutto sul supporto originale. Resta sempre da capire se gli eseguibili (come i files dei driver) siano sani oppure no, ma di questo mi preoccuperò poi..

* Considerazioni :

1) Faccio questo lavoro dal 1984 e non ho mai visto niente di così terribilmente sofisticato e virulento. Per darvi l'idea io ho TUTTI i pc infetti, me ne hanno portato un'altro ieri (per altri motivi) e l'ho trovato anche lì, e ne ho trovati anche tre infetti nell'ufficio di fianco. Il totale fa 12 pc infetti su 15. In un solo piano di uffici, Mac a parte, si sono salvati solo due pc, uno con Unix e uno con win7 ma usato solo con un programma di contabilità dedicato.

2) E'assurda la facilità con cui lavora su BIOS e ROM diversi senza creare grossi problemi, e non si capisce come e quando possa fare tutto questo senza farsi accorgere e senza MAI brasare la Mobo.

3) Qualcosa non quadra : Considerando i rischi potenzialmente connessi alla scrittura del BIOS, pensare di creare una roba del genere per poi alla fine installare solo un semplice rootkit è come se gli Stati Uniti decidessero di usare una bomba atomica per attaccare la Repubblica di San Marino. E' semplicemente assurdo !

Per il momento è tutto.

Work in progress...

Se avete domande fatele, se avete suggerimenti, pareri e soprattutto esperienze analoghe, sono assolutamente bene accetti.

Se qualcuno per caso sa se vengono infettati gli eseguibili o pensa di essere in grado di utilizzare la copia del Bios per creare un programma di pulizia che lo ripristini (seppur con tutti i rischi connessi) mi contatti, qui o in privato...

Grazie.
 
M

Mursey

Ospite
Il fatto che esista una cartella o piu' sotto $Recycle.Bin dal nome S-1-5-2xxxxx non e' di per se un male.
Indica l'identificativo di un servizio, spesso di rete come il S-1-5-20 che e' il network di sistema.

Io sulla mia macchina ho S-1-5-21-2xx4xx6xx3-2xx4xx6xx1-3xx9xx3xx9-500
e non ho nessun "Lucifero"

- - - Updated - - -

Ci sono molti punti che non mi tornano nel discorso...
 
  • Mi piace
Reazioni: tonno91 e Tarta99

Dan63

Nuovo Utente
7
0
Aggiornamenti x Mac:

A prove fatte abbiamo appurato che purtroppo infetta anche i Mac. Scrive in root una cartella .Trashes e in App\private un'altra .trashes con dentro una dir che si chiama "501" . Smanacciando un po' si cancella tutto, ma al riavvio sono ancora tutte lì.Inizializzando una chiavetta con partizione msdos ci ritroveremo la chiavetta con MBR "unknown" e 2 files dentro, formattando in journaled la chiavetta (che dovrebbe essere completamente vuota) contiene "ben" 20 mb di roba (La cartella .trashes più tre files di sistema). Al momento non ci è dato sapere altro.

Aggiornamenti x Smartphone:

Non sono molto esperto di telefonini, ma dopo la connessione al pc infetto, nel mio Samsung Galaxy S+ mi sembra che ci sia un anomalo consumo di batteria quando abilito il 3g. Col 3g spento tutto sembra ok. Guardando le soglie di traffico sul sito della 3, il consumo è comunque normale. La SD invece risulta avere in mbr sconosciuto (testato con BootIce). Boh, proverò un ripristino di fabbrica con pulizia di cache e sd, poi vediamo...

Aggiornamenti x Pc:

Prove fatte in ambiente liveCD (Mini xp di Hiren boot Cd) con MB Asrock N68c-s e disco di avvio scollegato fisicamente.

1. Confermo probabile infezione del Bios. In mini xp caricato da CD,appena si cancella un file qualsiasi lui scrive la solita cartella recycler in cui ci piazza la sua stringa (dove la prende se il disco è scollegato ?), che però qui è più corta (solo "S-1-5-18"). Con "process" che killa tutto, il problema scompare, ma solo per un po'. Smanettando ritorna e bisogna killare di nuovo.
Inoltre, nella mobo è scomparsa la schermata di boot. Ho riflashato il bios sia da dos che da Win (MiniXp); e l'aggiornamento va a buon fine, ma al secondo riavvio tutto torna come prima.

2. Su un'altra Mb Gigabyte è cosa certa che abbia manipolato il Bios almeno due volte (ogni volta mi scompare il quarto core della cpu, che si ottiene abilitando il secondo Bios). Questo è verosimilmente dovuto al fatto che lui usa internet per aggiornarsi e diventare sempre più intoccabile.

3. Sembra NON intervenire sui dati di dischi fissi che non siano quello di Avvio (gli scrive sopra la sua cartella recycler ma il MBR è regolare e i dati sono normalmente leggibili). Mentre ovviamente infetta una seconda partizione del disco di avvio, qualora sia presente.

4. Le chiavette infette NON hanno l'autorun ma solo un mbr sconosciuto, e sembra non infettino se si aprono con "esplora" invece che con doppio click/Autoplay.

5. Confermo che attualmente NESSUN antivirus lo identifica. Al massimo trovano qualche stringa generica nel registro, ma tanto toglierle non serve a niente..

6. (XP) Scrive un badalucco di roba sua nel registro (soprattutto in Hkey/current/user)

X Mursey

Purtroppo non credo che sia solo un file di sistema.
Scarica BootIce (Non MBRcheck.exe, perchè a volte lo inganna) e vedi cosa ti dice del MBR.

x Condor67

Mi scuso per il ritardo, ma purtroppo non dipende dalla mia volontà. Ho davvero grossi (ma proprio "grossi") problemi ad usare internet... Appena posso procedo come da accordi.


Una postilla : questo è solo un diario di bordo scritto sperando che a qualcuno possa venire qualche idea, ma molte informazioni potrebbero variare col tempo (come ripeto, lui si aggiorna sempre...).
 
Ultima modifica:
M

Mursey

Ospite
Non scarico niente e sono sicuro che sono files di sistema.

Vorrei sentire l'opinione di @tecnico24, grazie

- - - Updated - - -
@Dan63 leggi questo :
http://support.microsoft.com/kb/243330/it
 
  • Mi piace
Reazioni: tonno91
M

Mursey

Ospite
Da documentazione Microsoft :

SID: S-1-5-21dominio-500
Nome: amministratore
Descrizione: Un account utente per l'amministratore di sistema.
 

tecnico24

Utente Èlite
10,706
1,072
Dalle descrizioni sembrebbe il virus recycler , forse più avanzato rispetto alle prime varianti.
Per Mursey , se non hai problemi di autorizzazioni su files o cartelle , stessa cosa per i programmi e di accessi non mi preoccuperei.
Segnalo l'utility Psgetsid che permette proprio di verificare il sid degli utenti connessi al pc.
 

Dan63

Nuovo Utente
7
0
Io non intendevo dire che la stringa è il virus ma che il virus si nasconde utilizzando quella stringa (che in realtà è una cartella). Forse non mi sono spiegato bene e me ne scuso..ma era un dettaglio che non pensavo servisse specificare, in quanto i virus "recycler" sono cosa abbastanza nota...

Comunque ho novità che poi posterò...

Intanto volevo avvertire che un'altro sintomo è che ieri ha fatto sparire le installazioni di Microsoft Office da tutti e due i Pc connessi.

Tecnico64 ha detto:
Dalle descrizioni sembrebbe il virus recycler , forse più avanzato rispetto alle prime varianti.
Infatti, è proprio così. Solo che è molto più avanzato...

Sai se ha punti deboli ?
 
Ultima modifica:

R16

Utente Èlite
2,307
425
CPU
boh
Scheda Madre
boh
HDD
boh
RAM
boh
GPU
boh
Audio
boh
Monitor
boh
PSU
boh
Case
boh
OS
boh
Sai se ha punti deboli ?
Il sistema migliore per sapere se ha punti deboli è "impacchettare" il suo eseguibile e spedirlo tramite MP a chi lo volesse testare.
Siccome le indicazioni che hai scritto, sono un pò confuse, l'unico modo è analizzarlo "fisicamente".
 

Dan63

Nuovo Utente
7
0
Purtroppo non ce l'ho il file infetto. Ho una chiavetta che appena la infili, win XP apre il popoup che dice che alcuni file di sistema sono stati modificati e ti chiede il cd per ripristinarli.... Ma ci ho guardato dentro con qualunque cosa (ERD Commander, LiveCd di Linux, e pure un Mac) ma non c'è proprio nulla. L'unica cosa è che bootIce trova un MBR sconosciuto (su una chiavetta ???)...

Che vergogna : è più di una settimana che lo cerco, ho fatto qualunque cosa ma ancora non capisco dove sta. Ho formattato con Dban, ho flashato Bios, ho installato da cd originali, ho provato a far interagire anche un mac, ho sfogliato centinaia di forum e messo in pratica tutte le singole indicazioni, ho inviato dump del mbr... ma niente da fare. Sembra sempre un passo avanti a me.

Sinceramente credevo di essere un po' più bravo di così....Se fossi un giapponese avrei già fatto harakiri.
 
Ultima modifica:

condor67

Utente Attivo
87
8
Secondo il mio giudizio il pc non ha nessuna infezione:
1)La cartella recycler è il cestino di sistema.Si chiama cosi' per ovvie ragioni di cui non stiamo a discutere qui.Il virus recycler che và ad infettare anche i supporti usb è tutt'altra cosa.
2)I 2 bios rilevati bios1 e bios4 sono file di sistema e perfettamente legittimi.
3)La System Volume Information che dici che viene creata dal virus anch'essa è legittima.Identifica il ripristino configurazione di sistema con all'interno le cartelle RP0 e RP1 ecc.
E' vero che a volte le infezioni si annidano in quela cartella,ma la acartella stessa appartiene a file di sistema.
Quindi qualsiasi cosa elimini va a finire in recycler e non è lucifero ad infilarla li'.
4)L'mbr è integra dai file che mi hai inviato in pm.
L'mbr sconosciuta non è sintomo di infezioni.

Conclusioni:per fortuna lucifero esiste solo all'inferno.

Fai uno scan disk al disco(chkdsk /r sul prompt dei comandi e controlla se vengono rilevati eventuali problemi al termine) e vivi sereno perchè i presunti o tali problemi non dipendono da infezioni.
 
Ultima modifica:
  • Mi piace
Reazioni: Mursey e tonno91

R16

Utente Èlite
2,307
425
CPU
boh
Scheda Madre
boh
HDD
boh
RAM
boh
GPU
boh
Audio
boh
Monitor
boh
PSU
boh
Case
boh
OS
boh
E' vero che a volte le infezioni si annidano in quela cartella,ma la acartella stessa appartiene a file di sistema.
Inoltre, quando il virus infetta i punti di ripristino ( System Volume Information) non riesce da solo a infettare il pc.
Attualmente non esiste un virus che riesce a uscire da quella cartella una volta entrato.
Lo può fare solo l'utente facendo un ripristino di un punto infetto.
La cartella System Volume Information è paragonabile al Cestino: i file non possono uscire, se non con un ripristino da parte dell'utente.
Ad oggi è così, per il futuro si vedrà.
 

tecnico24

Utente Èlite
10,706
1,072
Come detto sopra , bisogna testarlo se effettivamente crea questi danni o no.
Secondo me l'autore ha avuto un'infezione dal malware recycler e il pc era già danneggiato di suo per vari motivi tecnico-pratici.
Controllare se effettivamente il sistema operativo è integro come suggerito da condor mi sembra l'opzione più saggia.
 

Dan63

Nuovo Utente
7
0
Scusate, ma se non esiste nessuna infezione :

1) perchè sui pc 2 e 3 le cartelle di office vanno e vengono e i file spariscono ?
2) perchè nel mio pc (1) infetto, nella cartella system volume information ho trovato un file br5x33.zip che conteneva una copia intera di un programma che io avevo installato sul disco di avvio ma che si trovava sul mio secondo disco zippata e con un altro nome ?
3a) Perchè il mio pc a volte resetta da solo e al riavvio il cmos è resettato e il mio quarto core è scomparso ?
3b) Perchè sullo stesso pc alcune utility che ho sempre usato (come acronis disk director) ora non partono più ?
4) Perchè il Mac che ho qui quando inizializza le chiavette gli spara su 20 mb di roba ?
5) perchè in un pc appena reinstallato, quando infilo una chiavetta "pulita" e senza nessun autorun il mio xp mi allarma il wfp ma se invece faccio la stessa cosa cancellando prima un file (stringa nel cestino) non mi da nessun allarme ?
6) perchè nel pc 3 ogni due per tre si aprono pagine di pubblicità nel browser ?
7) perchè sul mio Pc firefox portable non si trova più "tutto" nella sua cartella ma si è splittato in giro per le sue cartelle che normalmente si trovano in documents and setting e ha mantenuto nella cartella originale solo dei collegamenti ?
8) perchè ripristinando una partizione + mbr con Acronis True Image, al riavvio mi ritrovo subito la cartella recycler con stringa che però nell'immagine non c'era ?

etc etc etc....

Insomma, a me tutto questo non sembra molto normale...

Poi, non so se sia vero, ma ci sono diverse fonti, anche autorevoli, che riportano che anche formattando alcuni trojan non se ne vanno...

boh, provo comunque con chkdsk...

Una domanda :

Il virus recycler di cui parla tecnico64, formattando con Dban e poi reinstallando il so, dovrebbe sparire "forever" ?
 
Ultima modifica:

R16

Utente Èlite
2,307
425
CPU
boh
Scheda Madre
boh
HDD
boh
RAM
boh
GPU
boh
Audio
boh
Monitor
boh
PSU
boh
Case
boh
OS
boh
Evidentemente non mi sono spiegato bene.
La risposta unica ai tuoi "perchè"stà solo nel avere il virus a disposizione per testarlo.
Non si può dare risposte concrete ai quesiti che hai posto tu.
Già può essere complicato risolvere un'infezione tosta, avendo il pc sottomano, figurarsi dare indicazioni online.
Si potrebbe andare avanti (con ipotesi) per mesi, senza levare il ragno dal buco.

Alcune cose che ti possono servire:

1)Formattando il HD a "basso livello" magari con il tool apposito che di solito rilascia la casa madre, non sopravvive più niente.
Nemmeno un virus.

2)Nessun virus è in grado di sovrascrivere un CD\DVD NON riscrivibile.

Quindi, la soluzione è semplice:
Format a basso livello, e reinstallazione con CD\DVD ORIGINALE di Windows.
Il pc bonificato, non deve essere collegato o condiviso con altri pc.
Vai in un negozio che vendono materiale informatico, e acquisti una chiavetta USB.
Scommettiamo che tutto funziona?
Altro non saprei dirti.
 
Stato
Discussione chiusa ad ulteriori risposte.

Entra

oppure Accedi utilizzando
Discord Ufficiale Entra ora!