Vox Populi(x) forum

Antivirus BitDefender => Tutto BitDefender => Topic started by: stefi on 01 July 2010, 20:43:02

Title: scansione prima dell'avvio del SO
Post by: stefi on 01 July 2010, 20:43:02
salve a tutti
ho letto in giro nel forum e ho controllato sul sito web di BD e mi sembra che questo antivirus, del quale sono davvero soddisfatta, manchi di questa opportunità, di fare una scansione antivirus prima che il SO si carichi
mi sarebbe utile sapere se si può fare, magari non ho capito come attivare il comando o cose simili, perchè da qualche giorno mi si è scatenato un trojan impossibile, causa una pendrive infetta.
BD rileva il trojan e lo mette in quarantena, ma ad ogni avvio del pc, il problema si ripropone.
ho cercato suggerimenti su intenet e ho letto che è un problema relativamente nuovo, il che spiega la quarantena invece della disinfezione, e ho trovato montagne di scan da tentare, di tutti i tipi, per arrivare alla soluzione finale della formattazione.
personalmente ho provveduto a inviare i files al laboratorio, ma mi chiedo se uno scan prima dell'avvio del SO risolverebbe il problema.
in fondo BD riconosce i due files come trojan e blocca la loro attività
cosa mi suggerite?
Title: Re: scansione prima dell'avvio del SO
Post by: federica on 02 July 2010, 10:12:04
Ciao stefy,
hai già provato a fare una scansione in modalità provvisoria? Se non l'hai ancora fatta puoi seguire queste istruzioni, scansione bitdefender in modalita provvisoria (http://www.antivirushelp.it/faq/scansione-bitdefender-in-modalita-provvisoria.html)

E poi facci sapere se va tutto a posto!
Title: Re: scansione prima dell'avvio del SO
Post by: stefi on 02 July 2010, 12:46:38
ciao federica, ho seguito le istruzioni del link che hai postato ma la cosa non è andata a buon fine
il mio BD è versione 2010, ma non ho nessun BD manual scan, quindi ho seguito le indicazioni per la scansione via Prompt comandi
dopo vari tentativi (scrivere in DOS non è il mio forte) sono arrivata finalmente a dare il fatidico comando e il risultato è stato che i parametri erano sconosciuti e il percorso non specificato
per la precisione, dava per errate la serie di lettere da digitare dopo bdc:
f/b/r/i/G/N/dis/del
qualche altro suggerimento?
Title: Re: scansione prima dell'avvio del SO
Post by: federica on 02 July 2010, 14:57:12
Forse le hai digitare senza spazi. Prova a fare copia e incolla di questa stringa:
bdc /f /b /r /i /G /N /dis /del

Comunque se digiti il comando bdc senza opzioni viene fuori l'elenco delle opzioni disponibili
Title: Re: scansione prima dell'avvio del SO
Post by: stefi on 02 July 2010, 17:04:42
si, in effetti non mi ero proprio accorta degli spazi
la scansione è avvenuta, uno dei 2 files è stato identificato ma l'eliminazione è fallita, mentre l'altro file chissà perchè, in mod provv non appare per niente, nel senso che non c'è proprio nella cartella dove si trova l'altro
il punto è che questi files risultano 'già in uso da un altro programma' , ecco perchè son convinta che uno scan prima dell'avvio del SO potrebbe servire, i trojan non avrebbero proprio modo di attivarsi e risultare 'in uso da un altro programma'
Title: Re: scansione prima dell'avvio del SO
Post by: federica on 02 July 2010, 18:07:50
mmmm....
come si chiama il virus? La scansione dovrebbe dirtelo. Facendo una ricerca su internet potresti avere un po' di fortuna e trovare le istruzioni per rimuoverlo.

Tra l'altro bitdefender mette a disposizione un cd live (bitdefender rescuecd (http://www.antivirushelp.it/links/download/bitdefender-rescuecd.html)) che parte al posto del sistema operativo e fa la scansione antivirus.
Dopo aver fatto il download devi masterizzare il file con il tuo programma di masterizzazione scegliendo "crea cd da immagine iso" o qualcosa di simile, dipende dal programma.
Poi riavvi il pc con il disco dentro al lettore e il gioco è fatto!
Se te la cavi con l'inglese qui ci sono delle guide:
Bitdefender rescue cd HowTo (http://download.bitdefender.com/rescue_cd/How%20To.pdf)
Bitdefender rescue cd (http://download.bitdefender.com/rescue_cd/bd_rescue_cd.pdf)
Title: Re: scansione prima dell'avvio del SO
Post by: stefi on 02 July 2010, 18:21:28
i due files si chiamano services.exe e smss.exe, esattamente come quelli, legittimi, che si trovano in system32
questi due invece sono in System Volume Information, in una cartella tutta loro
il problema principale che creano è un uso spropositato della CPU, l'audio ridotto a zero oppure interferenze audio mentre sono su youtube o guardo un film in streaming
ho già controllato in giro e come ho detto nel mio primo post, di tutti quelli che hanno lo stesso problema, nessuno ha trovato altra soluzione che la formattazione
ma nessuno ha mai parlato di uno scan prima dell'avvio del SO, ecco perchè ci volevo provare
ma forse nessuno ne ha mai parlato perchè non serve
cmq, ti ringrazio dei suggerimenti e penso che farò cmq una copia del Rescue cd, non si sa mai
se risolvo qualcosa, lo farò sapere, magari può servire ad altri
e nel frattempo magari, BD troverà modo di eliminare questi due files
Title: Re: scansione prima dell'avvio del SO
Post by: stefi on 04 July 2010, 14:44:56
salve di nuovo
oggi ho usato BD Rescue Disc, davvero notevole come programma, mi ha persino rilevato un errore nel file system, e dicevo, ha rilevato entrambi i files incriminati. gli ho dato il comando di eliminarli e il programma ha risposto con un successfully deleted
ma al riavvio del pc in modalità normale, trovo la famigerata cartella ancora là, un solo file stavolta, smss.exe, mi sa che è lui quello più birichino
spero si possa risolvere questo problema, l'uso della CPU è assurdo, il pc ne risente da morire
non so se quello che ho scritto può servire, nel dubbio ho preferito postare..
Title: Re: scansione prima dell'avvio del SO
Post by: federica on 05 July 2010, 09:37:46
Ciao,
sono contenta che bitdefender rescue cd ti sia piaciuto, io lo trovo una genialata proprio perchè è indipendente dal sistema operativo.
Una cosa che ti consiglio di fare è di cancellare i punti di ripristino e disabilitare il ripistino del sistema, almeno per ora, in modo da evitare che i file vengano ripristinati. Poi prova a fare un'altra scansione con il cd.
Controlla anche nel task manager e ordina i processi per occupazione di memoria e CPU se vedi qualche processo con un nome strano che occupa troppa ram o cpu puoi provare a terminarlo e vedere se il pc migliora.
Non mi hai ancora detto il nome del virus che affligge il tuo pc.
Title: Re: scansione prima dell'avvio del SO
Post by: stefi on 05 July 2010, 11:27:35
ciao federica ! non so se ho capito bene, ma mi sembra che BD Rescue Disc lavori su Linux, per cui scannerizza Windows senza dovervi accedere ?
cmq, provo a disattivare il ripristino di sistema, che per giunta non funziona più (risulta impossibile completare il ripristino!) e a fare un altro scan
i files si chiamano smss.exe e services.exe, sono entrambi classificati come Trojan.Generic 4226055 (portano lo stesso numero)
nel taskmanager sono visibili due smss.exe, non so assolutamente quale sia il virus e quale il vero file di sistema, bloccarne il processo mi spaventa e qualcosa mi dice che il virus mi impedirebbe di bloccarlo. stessa storia per services.exe
nella schermata generale-info sistema di BD, vedo che ci sono entrambi ma non posso fare nulla per meglio identificarli
mi preparo auna formattazione, nel caso questo secondo tentativo non funzionasse, vi faccio sapere
Title: Re: scansione prima dell'avvio del SO
Post by: federica on 05 July 2010, 12:11:20
Esatto, BD Rescue CD lavora con linux e fa la scansione del disco senza dover accedere a windows.
Terminare un processo non comporta alcun danno, quando riavvierai il pc, che sia un virus oppure no il processo tornerà attivo come prima.
Prima di formattare, potresti ancora fare una scansione con malwarebytes (http://www.malwarebytes.org), scarica la versione gratuita, aggiornalo e lancia la scansione.
Un'altra cosa che potresti fare è quella di controllare nel registro di windows ciò che parte all'avvio. Vai su regedit e poi spostati su Hkey_local_machine/software/microsoft/Windows/currentVersion/Run/
Non so se sei pratica del registro, troverai alcune voci sulla destra, alcune sono di programmi conosciuti a volte i virus si annidano qui per avviarsi. Dovesti controllare con l'aiuto di internet le voci che ti sembrano sospette.
Spero che tu riesca a risolvere, dopo tutto questo lavoro te lo meriti!
Title: Re: scansione prima dell'avvio del SO
Post by: stefi on 05 July 2010, 14:40:28
alloooooooooooora, disattivato il ripristino di configurazione e ripetuto lo scan con BD Rescue Disc, ha rilevato uno solo dei file, successfully deleted, MA al riavvio del pc, eccoti là, cartella completa dei due files!
scaricato e aggiornato Malwarebytes, rileva i due files, più un rootkit in system32 regolarmente rimosso e una voce di registro infetta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0)
risolve i problemi e mi dice di riavviare per completare l'eliminazione dei due files che mi fanno ammattire
riavvio e la cartella e UN solo file è ancora là
per giunta, ora appare l'iconina rossa di windows che mi dice che BD non è aggiornato, controllo subito, BD è aggiornatissimo e funzionante, ma Centro sicurezza di windows non è d'accordo. in realtà, non lo era manco prima, ma non me lo segnalava sulla barra degli strumenti
dimenticavo: malwarebytes chiama i due files Trojan.Cycler
File infetti:
C:\System volume information\Microsoft\services.exe (Trojan.Cycler) -> Delete on reboot.
C:\System volume information\Microsoft\smss.exe (Trojan.Cycler) -> Delete on reboot.
e un'altra cosa, il publisher di questi due files si chiama Black Internet
Title: Re: scansione prima dell'avvio del SO
Post by: stefi on 05 July 2010, 15:02:31
scusate tutti questi post, ma sono un po' stanca e ricordo le cose a rate.
i processi incriminati in taskmanager non sempre fanno un uso eccessivo di cpu, succede all'improvviso che non mi si apre la pagina di internet, oppure non si carica un programma, oppure si carica ma non risponde
allora mi servo di taskmanager e mi accorgo che i miei soliti processi (da 44 a 48) sono diventati 52, o anche 58, come è accaduto un momento fa
ho controllato i due processi smss.exe ed uno dei due aveva un valore piuttosto alto, ho provato a terminarlo ma senza riuscirci
per quanto riguarda le chiavi di registro che mi hai suggerito di controllare, non ne capisco molto, ma le sei o sette chiavi che ho trovato in quella posizione le conosco tutte
ancora una cosa, riguardo il comportamento dei files smss.exe e services.exe: al riavvio del pc, succede che BD rileva la loro attività e la blocca, dopodichè, se faccio una scansione solo della cartella, BD non rileva elementi infetti e nemmeno malwarebytes
credo sia tutto, non mi viene in mente altro
per ora :D
Title: Re: scansione prima dell'avvio del SO
Post by: federica on 05 July 2010, 15:33:22
Bitdefender, dopo aver rilevato la minaccia, compie diverse azioni, se gli hai detto di non agire si comporta di conseguenza e non fa niente, dovresti guardare nelle impostazioni.
Però credo che il tuo pc sia proprio ben impapocchiato!
Non saprei cosa suggerirti ancora, valuta anche il fatto che con la reinstallazione avresti un sistema nuovo fiammante e veloce, cosa che non avresti comunque anche dopo la rimozione del virus.
Title: Re: scansione prima dell'avvio del SO
Post by: stefi on 05 July 2010, 15:55:46
adesso vado a farmi un bel caffè e quindi comincio a formattare
grazie per tutti i consigli, federica, e per avermi indicato links e strade da seguire
BD è ottimo ma non possiamo pretendere la perfezione !
e poi si!, hai ragione, il mio pc è un bel macello, quindi formattare non può che fargli bene
vuoi un caffè anche tu? :D
Title: Re: scansione prima dell'avvio del SO
Post by: federica on 06 July 2010, 15:46:51
Ma si dai, ne prendo una tazza anch'io!  ;)
Ti auguro un buon ... pc velocissimo.