PROBLEMA [windows 7 64 bit] rilevato trojan svchast.exe

Pubblicità
V

valepi

Nuovo Utente
Messaggi
9
Reazioni
2
Punteggio
22
Ciao a tutti,
in seguito a scansione del pc con il software Malawarebytes anti-malaware ho rilevato sul pc la presenza del trojan "svchast.exe" (con la A non con la O) nella cartella "C:\users\pc\appdata\roaming\svchast.exe e sempre nella stessa cartella di altri trojan dal nome composto da un numero di sei cifre e l'estensione .exe
Ho fatto la rimozione e al riavvio di nuovo una scansione, i trojan sempre li presenti.
Ho fatto quindi una seconda scansione con il software Malawarebytes antirootkit, idem come sopra.
Ho avviato in modalità provvisoria minima senza rete fatto girare Malawarebytes antirootkit, trova infezione, pulisce, riavvio sempre in modalità provvisoria, rifaccio scansione pc pulito.
Riavvio il pc in modalità normale faccio scansione e i trojan sono ancora lì, ricreati all'avvio di windows.
Il file "svchast.exe" inoltre è presente nei processi attivi di windows (gestione attività) e pesa circa 3,5 mb
In rete ho trovato solamente un risultato per questo trojan e prevede lo scaricare un software a pagamento.
Come procedere?
Grazie per l'aiuto

Memory Processes Detected: 1
C:\Users\pc\AppData\Roaming\svchast.exe (Trojan.SmallDL) -> 2084 -> No action taken. [8fa438d6c8c3dc5ab9b03866946c8c74]

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 3
C:\Users\pc\AppData\Roaming\svchast.exe (Trojan.SmallDL) -> No action taken. [8fa438d6c8c3dc5ab9b03866946c8c74]
C:\Users\pc\AppData\Roaming\532719.exe (Trojan.Agent) -> No action taken. [ea49a965434876c092db81c3020216ea]
C:\Users\pc\AppData\Roaming\624615.exe (Trojan.Agent) -> No action taken. [85ae68a6b4d712247af365df46bed729]
Clicca per espandere...

Questo l'ultimo scan che ho fatto, al riavvio del pc in modalità normale (dopo aver fatto la pulizia in modalità provvisoria), non ho fatto rimozione
 
Ultima modifica:
Il log afferma che non è stata applicata nessuna azione sulle infezioni.
Comunque scarica RKill, Spybot - Search & Destroy, ADWCleaner, RogueKiller, HitmanPro, Kaspersky TDSSKiller, SuperAntiSpyware, Dr. Web CureIt! (Lo so quando c'è un infezione mi piace strafare :asd: )
Quindi in modalità provvisoria fai partire RKill che termina i processi negativi quindi lascia fare meglio il lavoro ai vari tool di rimozione, dopodiché fai partire MalwareBytes e tutti gli altri per pulire il sistema.
E se un AV richiede di riavviare il sistema, consenti ma ricorda di riavviare in modalità provvisoria e di far ripartire RKill, perché con un riavvio i processi infetti ripartono.
E fammi sapere se risolvi il problema :ok:
 
Yoshi91 ha detto:
Il log afferma che non è stata applicata nessuna azione sulle infezioni.
Comunque scarica RKill, Spybot - Search & Destroy, ADWCleaner, RogueKiller, HitmanPro, Kaspersky TDSSKiller, SuperAntiSpyware, Dr. Web CureIt! (Lo so quando c'è un infezione mi piace strafare :asd: )
Quindi in modalità provvisoria fai partire RKill che termina i processi negativi quindi lascia fare meglio il lavoro ai vari tool di rimozione, dopodiché fai partire MalwareBytes e tutti gli altri per pulire il sistema.
E se un AV richiede di riavviare il sistema, consenti ma ricorda di riavviare in modalità provvisoria e di far ripartire RKill, perché con un riavvio i processi infetti ripartono.
E fammi sapere se risolvi il problema :ok:
Clicca per espandere...

Nell'ultimo log non ho fatto pulizia perchè sarebbe stato inutile, era solamente per verificare se il pc fosse pulito o meno (lo avevo aggiunto al di sotto del log), le altre volte sempre fatto pulizia.

Allora RKill da far girare prima dell'uso degli antimalaware (da avviare quindi prima di ogni scan). Ogni antimalaware necessariamente farà riavviare il pc, quindi ad ogni scan riavvio giusto? Per la modalità provvisoria no problem, la imposto da msconfig nelle opzioni di boot e finché non modifico riparte sempre dalla provvisoria.
Di tutti quelli elencati c'è, una sequenza di tool da usare (prima malawarabyes, poi adwclean ecc) o vado a sentimento?

EDIT: nel caso in cui mi venga chiesto di creare un punto di ripristino (come fa malawarebytes antirootkit) devo dire di si oppure di no?

Grazie
 
Ultima modifica:
valepi ha detto:
Nell'ultimo log non ho fatto pulizia perchè sarebbe stato inutile, era solamente per verificare se il pc fosse pulito o meno (lo avevo aggiunto al di sotto del log), le altre volte sempre fatto pulizia.

Allora RKill da far girare prima dell'uso degli antimalaware (da avviare quindi prima di ogni scan). Ogni antimalaware necessariamente farà riavviare il pc, quindi ad ogni scan riavvio giusto? Per la modalità provvisoria no problem, la imposto da msconfig nelle opzioni di boot e finché non modifico riparte sempre dalla provvisoria.
Di tutti quelli elencati c'è, una sequenza di tool da usare (prima malawarabyes, poi adwclean ecc) o vado a sentimento?

Grazie
Clicca per espandere...

Esatto.
Per l'AV, non c'è un ordine, basta che li fai girare :asd:
E RKill lo fai girare ad ogni avvio, perché non è un antivirus vero e proprio, ma scansiona i processi attivi alla ricerca di eventuali processi infetti che possono create problemi, come ad esempio il blocco dei rilevamenti.
Fammi sapere come va :ok:
 
Yoshi91 ha detto:
Esatto.
Per l'AV, non c'è un ordine, basta che li fai girare :asd:
E RKill lo fai girare ad ogni avvio, perché non è un antivirus vero e proprio, ma scansiona i processi attivi alla ricerca di eventuali processi infetti che possono create problemi, come ad esempio il blocco dei rilevamenti.
Fammi sapere come va :ok:
Clicca per espandere...

Ho fatto un edit nel momento esatto in cui mi stavi rispondendo, nel caso in cui mi venga chiesto di creare un punto di ripristino (come ad esempio fa malawarebytes antirootkit) devo crearlo oppure no?

Grazie ancora
 
Yoshi91 ha detto:
No, non ce n'è bisogno.
Clicca per espandere...

aggiornamento:
kaspersky tdss killer
adwcleaner
rougekiller

non trovano il trojan in modalità provvisoria.

in modalità provvisoria il trojan non si avvia da solo, infatti rkill non killa niente dai processi in corso.
sto scaricando Hitmanpro, superantispyware, e drweb cure it. Di spy bot search and destroy ho trovato una versione con antivirus assieme, è quella giusta o devo cercare la versione con solo antimalware?
Per quanto riguarda hitman pro può essere lanciato anche con antivirus già installato (ho microsoft security essentials)

Grazie ancora

--------------------------------------------------------
EDIT

nel mentre ho dimenticato di togliere delle spunte durante la pulizia delle chiavi di registro del sistema con i programmi che ho usato elencati sopra (-.-'), e ora da "cerca" non mi trova più il file msconfig (il file esiste e posso lanciarlo in altro modo, ma non mi esce dalla ricerca di windows, ho visto googolando che il problema è legato alla corruzione del profilo utente in seguito alla rimozione di chiavi del registro del sistema)

Nessuno dei programmi sopra usati (tranne rkill e mbam) mi hanno creato file di log post pulizia, possibile?
in questo modo non ho un log della pulizia che hanno fatto, che invece mi sarebbe utile.
 
Ultima modifica:
Allora dopo aver fatto girare anche:
super anti spyware
hitman pro

pare che finalmente il pc sia ripulito.
all'avvio nei processi svchast non compare più e lo scan con malawarebytes anti rootkit non trova nulla.

ho provato anche a fare uno scan con malaware bytes anti malware ma la scansione fallisce ho provato a disinstallarlo ma da errore, anche con revo uninstaller
 
valepi ha detto:
Allora dopo aver fatto girare anche:
super anti spyware
hitman pro

pare che finalmente il pc sia ripulito.
all'avvio nei processi svchast non compare più e lo scan con malawarebytes anti rootkit non trova nulla.

ho provato anche a fare uno scan con malaware bytes anti malware ma la scansione fallisce ho provato a disinstallarlo ma da errore, anche con revo uninstaller
Clicca per espandere...
Molto bene :ok:
Se MalwareBytes non parte, dovrai usare Chamaleon.
Cerca nel PC Chamaleon (è una funzione preinstallata in MBAM) quindi prova con la prima fare. Dovrebbe partire correttamente.
La scansione l'hai fatta con tutti gli AV?
 
valepi ha detto:
aggiornamento:
kaspersky tdss killer
adwcleaner
rougekiller

non trovano il trojan in modalità provvisoria.

in modalità provvisoria il trojan non si avvia da solo, infatti rkill non killa niente dai processi in corso.
sto scaricando Hitmanpro, superantispyware, e drweb cure it. Di spy bot search and destroy ho trovato una versione con antivirus assieme, è quella giusta o devo cercare la versione con solo antimalware?
Per quanto riguarda hitman pro può essere lanciato anche con antivirus già installato (ho microsoft security essentials)

Grazie ancora

--------------------------------------------------------
EDIT

nel mentre ho dimenticato di togliere delle spunte durante la pulizia delle chiavi di registro del sistema con i programmi che ho usato elencati sopra (-.-'), e ora da "cerca" non mi trova più il file msconfig (il file esiste e posso lanciarlo in altro modo, ma non mi esce dalla ricerca di windows, ho visto googolando che il problema è legato alla corruzione del profilo utente in seguito alla rimozione di chiavi del registro del sistema)

Nessuno dei programmi sopra usati (tranne rkill e mbam) mi hanno creato file di log post pulizia, possibile?
in questo modo non ho un log della pulizia che hanno fatto, che invece mi sarebbe utile.
Clicca per espandere...

Sì Spybot è proprio un antivirus, ma basta farlo partire un attimo senza la Protection Real-Time per fare una scansione e poi toglierlo.
Molto strano la scomparsa di msconfig, cercherò una soluzione.
Normalmente il log lo lasciano sul desktop, sicuro che non ci siano? :grat:
 
Yoshi91 ha detto:
Molto bene :ok:
Se MalwareBytes non parte, dovrai usare Chamaleon.
Cerca nel PC Chamaleon (è una funzione preinstallata in MBAM) quindi prova con la prima fare. Dovrebbe partire correttamente.
La scansione l'hai fatta con tutti gli AV?
Clicca per espandere...

Ok provo a cercare chamaleon. Cioè mbam parte ma la scansione si arresta subito.

No, adesso rilancio anche hitman pro.
Comunque già il fatto che non parta all'avvio del pc e non sia nei processi mi pare una buona cosa.

Yoshi91 ha detto:
Sì Spybot è proprio un antivirus, ma basta farlo partire un attimo senza la Protection Real-Time per fare una scansione e poi toglierlo.
Molto strano la scomparsa di msconfig, cercherò una soluzione.
Normalmente il log lo lasciano sul desktop, sicuro che non ci siano? :grat:
Clicca per espandere...

msconfig esiste e funziona, ma se lo cerco cliccando sul bottone di windows e scrivendo nella casella di ricerca non esce come invece prima faceva. Se invece lo cerco nella casella di ricerca di una cartella lo trova. ho trovato che è una cosa legata alla corruzione del profilo utente in seguito alla rimozione di alcune chiavi di ricerca del sistema

Nel frattempo ho trovato tutti i log, sono in C: o in C:nomeprogramma o in altre cartelle
 
Ha rilevato svchast.exe, webcake, lollipop, iminent, trama inslaller, askbar, umb, yontoo, svhost, babylon, linkury...

Peccato che hitmanpro sia solo in versione trial, perchè è davvero un ottimo software!

Grazie yoshi91 per il supporto!
 
Pubblicità
Pubblicità
Indietro
Top