Virus non rimosso dopo reset Windows 8

franz83

Nuovo Utente
Salve a tutti, sono nuovo del forum e questa è la mia prima discussione, per cui mi scuso in anticipo per eventuali comportamenti sbagliati.

Circa una settimana fa mi sono beccato sul mio notebook Lenovo Windows 8 un virus particolarmente fastidioso. Il primo fenomeno strano è stato che sulla barra delle ricerche di qualsiasi browser (Firefox, Chrome, IE) mi scriveva in automatico punti infiniti e quando andavo a cancellare ricominciava a scriverli da solo. Dopodiché ho iniziato ad avere problemi con le icone sul desktop, ogni volta che cliccavo su una di esse questa veniva automaticamente messa nel cestino e spuntava un pop-up con la richiesta "Vuoi annullare il trasferimento?", al che facevo "Sì" ma l'icona comunque restava nel cestino. Quando poi andavo nel cestino per ripristinare il file al clic con tasto destro mi spuntava sempre un altro pop-up con "Vuoi eliminare definitivamente il file?", io facevo "No" ma ogni volta dovevo ripetere l'operazione più volte perché i pop-up si ripresentavano in continuazione, anche se alla fine riuscivo sempre a ripristinare tutto.

Dopodiché lo stesso fenomeno si verificava anche sulle icone dei file interni, ad esempio cliccavo su C e il virus cercava di buttare tutto nel cestino. Anche il tasto in basso a sinistra per accedere alle App a volte si bloccava, così come il touchpad dello scroll.

Tutto questo si verificava "a intermittenza", cioè ci sono dei momenti in cui il virus si scatena, altri in cui non sembra attivo e riesco a svolgere le mie operazioni. Così ho fatto un primo giro di anti-virus vari, usando quelli più consigliati (Kaspersky, ADWCleaner, MalwareBytes, RKill, Avira). In particolare Avira ha rilevato un mare di virus, tutti messi in quarantena. Al che la situazione sembrava tornata alla normalità, ma la cosa è durata una giornata, perché poi il virus si è ripresentato con gli stessi sintomi.

Così ho fatto prima un refresh (mantenendo quindi i file e cancellando i programmi) ma non si è risolto nulla...e poi mi sono deciso per il reset, che in teoria dovrebbe riportare il pc allo stato "di fabbrica". Faccio quindi un backup dei documenti copiandoli su un hard disk esterno (operazione faticosissima, perché alla conclusione ha di nuovo tentato di buttare tutto nel cestino) e vado con il reset...e il virus è ancora lì, un po' più debole di prima ma c'è ancora.

Ieri sera ho fatto un altro "bombardamento" di antivirus usando in sequenza Rkill, Roguekiller, MalwareBytes, Kaspersky, ADWCleaner, CCleaner per i file temporanei e scansione con Avira. Ci sono stati altri rilevamenti e ho deletato tutto e ora che scrivo sembra tutto tornato alla normalità...ma non sono affatto convinto che il problema sia risolto e probabilmente si riverificherà a breve.

I virus rilevati sono stati C:\User\Public\Pokki, TR/Xadupi.eiuv, Tray Downloader.exe (questi sono i nomi più ricorrenti). Tra l'altro nei programmi di startup c'era un sospetto RTFTrack che ho eliminato, così come il Pokki che è installato dalla versione di fabbrica.

Ora le domande sono:
1) Qualcuno ha esperienza di un virus così resistente e con gli stessi sintomi?
2) Se non funziona nemmeno il reset qual è un metodo ancora più drastico per assicurarmi la distruzione del virus (a parte buttare il pc, eheh)?

Grazie in anticipo delle risposte e auguro buona giornata a tutti.
 

elvan2

Utente Èlite
6,520
1,988
Hardware Utente
CPU
Intel i5 4590
Dissipatore
CM Hyper T4
Scheda Madre
H97 PLUS Asus
Hard Disk
vari
RAM
HyperX (2X4GB) DDR3 1600MHz
Scheda Video
Sapphire TOXIC R9 270X 2GB
Alimentatore
Antec Neo Eco 520c
Case
Zalman z3
Come hai fatto il reset ?
 

Furiano

Utente Attivo
Come segnalato dal Elvan2 bisogna prima di tutto capire in che modo hai fatto il reset. Hai installato windows 8 da chiavetta? Hai installato nuovamente vecchi programmi dopo il reset? Magari il virus ha infettato uno dei tuoi Hard Disk e così ogni volta che lo inserisci il problema si presenta nuovamente.

Intanto puoi provare a vedere se il tuo file host è infetto con questo programma:

scarica HostsXpert

Poi, per vedere se ci sono o meno infezioni sul tuo pc segui questa semplice procedura e aspetta il parere degli esperti di sezione!

Scarica FRST sul desktop: (è obbligatorio)
https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit ) Avvialo e clicca Esegui.
Sulla finestra che ti compare clicca SI.
Clicca Scan.
Aspetta pazientemente la fine della scansione.
Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt)
 

franz83

Nuovo Utente
Innanzitutto grazie Furiano per i suggerimenti che sicuramente seguirò.

Per rispondere alla domanda, quando entri nelle opzioni avanzate in avvio puoi scegliere se usare la modalità provvisoria, fare un ripristino, fare il refresh (cioè cancellare i programmi ma tenere i file) e fare il reset (cioè tornare alla versione di fabbrica). Io ho fatto il reset totale cancellando tutte le partizioni.

Sono 2 giorni che va tutto ok e ho aggiornato pure a Windows 10, quindi credo di aver capito l'origine del problema: il virus aveva corrotto uno di quei 2 exe di sistema (propendo più per Pokki che viene incluso dalla Lenovo), quindi ha resistito al reset. Guarda caso analizzando la lista dei programmi con CCleaner gli altri programmi "di fabbrica" risultavano installati nel 2014, mentre Pokki il 13 maggio. Eliminato quello ho eliminato il problema. Poi ho tolto pure RTFTrack perchè mi sono informato ed è un altro exe di sistema sostanzialmente inutile e potenzialmente pericoloso. Per la cronaca le magagne sono state sgamate da Avira e ADWCleaner.

Spero di aver risolto e spero anche che questa discussione possa essere utile a qualcuno che dovesse incappare nella mia stessa situazione.
 
Iniziato da Discussione simile Forum Risposte Data
M Sicurezza 26
NicoAlte99 Sicurezza 2
NicoAlte99 Applicazioni 1
Drazen18 Sicurezza 2
DoomMark Windows 7

Entra

oppure Accedi utilizzando