Pagina 1 di 1

Possibile infezione?

Inviato: 27 nov 2019 15:14
da NicolaIta
Salve a tutti,

da qualche giorno se provo a far partire la scansione completa di Windows Defender dopo qualche minuto lo stesso crasha ed il PC rallenta fino a bloccarsi costringendomi ad un Power Off forzato.
Si ripete la stessa cosa se provo a farla Offline o in modalità provvisoria.

FIniti i tentativi con il software proprietario MS ho provato con RogueKiller ma anche questo ad un certo crashava.

A quel punto ho provato con le guide su vari siti ma a parte dei falsi positivi - che comunque ho eliminato - niente sembra essere cambiato.

Un ripristino di Windows ad una data precedente alla probabile infezione ha sbloccato la scansione di RogueKiller - che non trova nulla - ma rimane ancora il crash di Windows Defender.

Scrivo qua su questo forum giusto per "divulgazione" perché ovviamente alla fine la soluzione migliore rimarrà un ripristino da 0 di Windows ma sarebbe "curioso" capire cosa di così potente possa addirittura impedire a tutti i software di riconoscere eventuali malware.
Anche con gli altri software c'erano dei punti - sempre nel controllo delle cartelle di sistema - dove sembrava incontrare difficoltà - rallentamenti - nell'esaminare i dati ma risultati sempre zero.

Software utilizzati:
Windows Defender (online e offline)
ESET OnLine scanner
RogueKiller
Strumento di rimozione malware per Microsoft Windows
Malwarebytes
ADWCleaner
EmsiSoft Emergency Kit
TDS Killer

Passati tutti anche in modalità provvisoria

Si accettano comunque suggerimenti prima di ripristinare il PC

SO:
Windows 10 Home
Utilizzo del PC prevalentemente ufficio

Grazie

Re: Possibile infezione?

Inviato: 27 nov 2019 16:12
da ethan
in una situazione molto simile a questa sono riuscito a risolvere usando Autoruns
ho trovato un file col nome strano che partiva in avvio, eliminato il quale il pc ha smesso di dare problemi

comunque vorrei suggerirti anche l'utilizzo offline di Malwarebytes (se non lo hai fatto) e l'ottimo Kaspersky Rescue Disk

Re: Possibile infezione?

Inviato: 28 nov 2019 11:05
da NicolaIta
Grazie per la risposta.

Con kaspersky mi ha trovato qualche altro adware su Firefox ma niente di che...

Autoruns mi da' indicati come rossi e non accessibili alla modifica questi file:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
wow64cpu.dll
wowarmhw.dll
xtajit.dll
wow64.dll
wow64win.dll

Però nel percorso dove sono indicati in realtà non esistono.
Possono avere qualche rilevanza?
Inoltre autoruns mi da' come NON certificati i file di Windows Defender. Può essere il motivo per cui crasha?

Grazie

Re: Possibile infezione?

Inviato: 28 nov 2019 14:04
da ethan
sembra tutto a posto, probabilmente non è un'infezione
io proverei a controllare i files di sistema (cmd admin>sfc /scannow)

Re: Possibile infezione?

Inviato: 30 nov 2019 08:03
da Fatal Error
Io farei un controllo dell' HD, potrebbe essere un settore danneggiato ?

Re: Possibile infezione?

Inviato: 02 dic 2019 10:54
da NicolaIta
Alla fine era un rompiballe di KMS che pensavo di aver disattivato già un anno fa e che aveva deciso di ripresentarsi...


Era nascosto in %AppData% tra i file di Chrome


La cosa assurda è che con decine di anti (Virus, Malware, ADWare, ecc. ecc.) non sono riuscito a trovarlo. L'unico che mi aveva dato un indizio era Defender che crashava.


Per trovarlo ho fatto una copia dell'HD su uno esterno che non usavo e poi scansionandolo finalmente ho trovato la minaccia. Si vede che finché era attivo riusciva ad eludere il controllo dei vari programmi.


Nello specifico era localizzato in:

AppData\Local\Google\Chrome\User Data\Default\File System\009\t\00\0000000 (ed aveva una dimensione di oltre 1Gb)

-> Microsoft Toolkit 2.5.3.exe->(RarSfx)->Microsoft Toolkit by MASTERkreatif.exe->[SAResource]->[MSILRES:?.?.resources]


Seguito il percorso sono andato ad eliminarlo e con ulteriore scansione ho tolto le rimanenze del virus ed ora è tutto tranquillo. Anche Defender aveva ripreso a funzionare correttamente.


Nel dubbio ho comunque fatto un avvio pulito.


Grazie per il supporto spero che la mia esperienza possa tornare utile quando qualcuno ha dubbi...


Ciao