Possibile infezione?

In questa sezione del forum si parla di sicurezza, soluzioni antivirus, firewall, problematiche relative a malware in generale

Moderatore: Staff forum IlSoftware.it

NicolaIta
Messaggi: 3
Iscritto il: 27 nov 2019 14:53

Possibile infezione?

Messaggioda NicolaIta » 27 nov 2019 15:14

Salve a tutti,

da qualche giorno se provo a far partire la scansione completa di Windows Defender dopo qualche minuto lo stesso crasha ed il PC rallenta fino a bloccarsi costringendomi ad un Power Off forzato.
Si ripete la stessa cosa se provo a farla Offline o in modalità provvisoria.

FIniti i tentativi con il software proprietario MS ho provato con RogueKiller ma anche questo ad un certo crashava.

A quel punto ho provato con le guide su vari siti ma a parte dei falsi positivi - che comunque ho eliminato - niente sembra essere cambiato.

Un ripristino di Windows ad una data precedente alla probabile infezione ha sbloccato la scansione di RogueKiller - che non trova nulla - ma rimane ancora il crash di Windows Defender.

Scrivo qua su questo forum giusto per "divulgazione" perché ovviamente alla fine la soluzione migliore rimarrà un ripristino da 0 di Windows ma sarebbe "curioso" capire cosa di così potente possa addirittura impedire a tutti i software di riconoscere eventuali malware.
Anche con gli altri software c'erano dei punti - sempre nel controllo delle cartelle di sistema - dove sembrava incontrare difficoltà - rallentamenti - nell'esaminare i dati ma risultati sempre zero.

Software utilizzati:
Windows Defender (online e offline)
ESET OnLine scanner
RogueKiller
Strumento di rimozione malware per Microsoft Windows
Malwarebytes
ADWCleaner
EmsiSoft Emergency Kit
TDS Killer

Passati tutti anche in modalità provvisoria

Si accettano comunque suggerimenti prima di ripristinare il PC

SO:
Windows 10 Home
Utilizzo del PC prevalentemente ufficio

Grazie

Avatar utente
ethan
Advanced Software
Advanced Software
Messaggi: 1099
Iscritto il: 16 lug 2011 17:23
Località: lecce

Re: Possibile infezione?

Messaggioda ethan » 27 nov 2019 16:12

in una situazione molto simile a questa sono riuscito a risolvere usando Autoruns
ho trovato un file col nome strano che partiva in avvio, eliminato il quale il pc ha smesso di dare problemi

comunque vorrei suggerirti anche l'utilizzo offline di Malwarebytes (se non lo hai fatto) e l'ottimo Kaspersky Rescue Disk

NicolaIta
Messaggi: 3
Iscritto il: 27 nov 2019 14:53

Re: Possibile infezione?

Messaggioda NicolaIta » 28 nov 2019 11:05

Grazie per la risposta.

Con kaspersky mi ha trovato qualche altro adware su Firefox ma niente di che...

Autoruns mi da' indicati come rossi e non accessibili alla modifica questi file:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
wow64cpu.dll
wowarmhw.dll
xtajit.dll
wow64.dll
wow64win.dll

Però nel percorso dove sono indicati in realtà non esistono.
Possono avere qualche rilevanza?
Inoltre autoruns mi da' come NON certificati i file di Windows Defender. Può essere il motivo per cui crasha?

Grazie

Avatar utente
ethan
Advanced Software
Advanced Software
Messaggi: 1099
Iscritto il: 16 lug 2011 17:23
Località: lecce

Re: Possibile infezione?

Messaggioda ethan » 28 nov 2019 14:04

sembra tutto a posto, probabilmente non è un'infezione
io proverei a controllare i files di sistema (cmd admin>sfc /scannow)

Avatar utente
Fatal Error
Advanced Software
Advanced Software
Messaggi: 1982
Iscritto il: 29 giu 2007 20:32
Località: Nel cuore della Romagna
Contatta:

Re: Possibile infezione?

Messaggioda Fatal Error » 30 nov 2019 08:03

Io farei un controllo dell' HD, potrebbe essere un settore danneggiato ?
Il mio sito
Immagine
.

NicolaIta
Messaggi: 3
Iscritto il: 27 nov 2019 14:53

Re: Possibile infezione?

Messaggioda NicolaIta » 02 dic 2019 10:54

Alla fine era un rompiballe di KMS che pensavo di aver disattivato già un anno fa e che aveva deciso di ripresentarsi...


Era nascosto in %AppData% tra i file di Chrome


La cosa assurda è che con decine di anti (Virus, Malware, ADWare, ecc. ecc.) non sono riuscito a trovarlo. L'unico che mi aveva dato un indizio era Defender che crashava.


Per trovarlo ho fatto una copia dell'HD su uno esterno che non usavo e poi scansionandolo finalmente ho trovato la minaccia. Si vede che finché era attivo riusciva ad eludere il controllo dei vari programmi.


Nello specifico era localizzato in:

AppData\Local\Google\Chrome\User Data\Default\File System\009\t\00\0000000 (ed aveva una dimensione di oltre 1Gb)

-> Microsoft Toolkit 2.5.3.exe->(RarSfx)->Microsoft Toolkit by MASTERkreatif.exe->[SAResource]->[MSILRES:?.?.resources]


Seguito il percorso sono andato ad eliminarlo e con ulteriore scansione ho tolto le rimanenze del virus ed ora è tutto tranquillo. Anche Defender aveva ripreso a funzionare correttamente.


Nel dubbio ho comunque fatto un avvio pulito.


Grazie per il supporto spero che la mia esperienza possa tornare utile quando qualcuno ha dubbi...


Ciao