scansione prima dell'avvio del SO

Started by stefi, 01 July 2010, 20:43:02

Previous topic - Next topic
A financial contribution is greatly appreciated as a support, to help us to keep live the project.
If you like this project you can donate some piece of BitCoin to this address: bc1qy5tgq6tvrckac2a57unxvqcnxamrvhduve9sj9

stefi

salve di nuovo
oggi ho usato BD Rescue Disc, davvero notevole come programma, mi ha persino rilevato un errore nel file system, e dicevo, ha rilevato entrambi i files incriminati. gli ho dato il comando di eliminarli e il programma ha risposto con un successfully deleted
ma al riavvio del pc in modalità normale, trovo la famigerata cartella ancora là, un solo file stavolta, smss.exe, mi sa che è lui quello più birichino
spero si possa risolvere questo problema, l'uso della CPU è assurdo, il pc ne risente da morire
non so se quello che ho scritto può servire, nel dubbio ho preferito postare..

A financial contribution is greatly appreciated as a support, to help us to keep live the project.
If you like this project you can donate some piece of BitCoin to this address: bc1qy5tgq6tvrckac2a57unxvqcnxamrvhduve9sj9

federica

Ciao,
sono contenta che bitdefender rescue cd ti sia piaciuto, io lo trovo una genialata proprio perchè è indipendente dal sistema operativo.
Una cosa che ti consiglio di fare è di cancellare i punti di ripristino e disabilitare il ripistino del sistema, almeno per ora, in modo da evitare che i file vengano ripristinati. Poi prova a fare un'altra scansione con il cd.
Controlla anche nel task manager e ordina i processi per occupazione di memoria e CPU se vedi qualche processo con un nome strano che occupa troppa ram o cpu puoi provare a terminarlo e vedere se il pc migliora.
Non mi hai ancora detto il nome del virus che affligge il tuo pc.
Al mondo ci sono 10 tipi di persone, quelli che hanno capito il codice binario e quelli che non l'hanno capito.
Informatizzati [url="https://informatizzati.org"]https://informatizzati.org[/url]
Stacca la spina [url="https://disconnessi.org"]https://disconnessi.org[/url]

stefi

ciao federica ! non so se ho capito bene, ma mi sembra che BD Rescue Disc lavori su Linux, per cui scannerizza Windows senza dovervi accedere ?
cmq, provo a disattivare il ripristino di sistema, che per giunta non funziona più (risulta impossibile completare il ripristino!) e a fare un altro scan
i files si chiamano smss.exe e services.exe, sono entrambi classificati come Trojan.Generic 4226055 (portano lo stesso numero)
nel taskmanager sono visibili due smss.exe, non so assolutamente quale sia il virus e quale il vero file di sistema, bloccarne il processo mi spaventa e qualcosa mi dice che il virus mi impedirebbe di bloccarlo. stessa storia per services.exe
nella schermata generale-info sistema di BD, vedo che ci sono entrambi ma non posso fare nulla per meglio identificarli
mi preparo auna formattazione, nel caso questo secondo tentativo non funzionasse, vi faccio sapere

federica

Esatto, BD Rescue CD lavora con linux e fa la scansione del disco senza dover accedere a windows.
Terminare un processo non comporta alcun danno, quando riavvierai il pc, che sia un virus oppure no il processo tornerà attivo come prima.
Prima di formattare, potresti ancora fare una scansione con malwarebytes, scarica la versione gratuita, aggiornalo e lancia la scansione.
Un'altra cosa che potresti fare è quella di controllare nel registro di windows ciò che parte all'avvio. Vai su regedit e poi spostati su Hkey_local_machine/software/microsoft/Windows/currentVersion/Run/
Non so se sei pratica del registro, troverai alcune voci sulla destra, alcune sono di programmi conosciuti a volte i virus si annidano qui per avviarsi. Dovesti controllare con l'aiuto di internet le voci che ti sembrano sospette.
Spero che tu riesca a risolvere, dopo tutto questo lavoro te lo meriti!
Al mondo ci sono 10 tipi di persone, quelli che hanno capito il codice binario e quelli che non l'hanno capito.
Informatizzati [url="https://informatizzati.org"]https://informatizzati.org[/url]
Stacca la spina [url="https://disconnessi.org"]https://disconnessi.org[/url]

A financial contribution is greatly appreciated as a support, to help us to keep live the project.
If you like this project you can donate some piece of BitCoin to this address: bc1qy5tgq6tvrckac2a57unxvqcnxamrvhduve9sj9

stefi

#11
alloooooooooooora, disattivato il ripristino di configurazione e ripetuto lo scan con BD Rescue Disc, ha rilevato uno solo dei file, successfully deleted, MA al riavvio del pc, eccoti là, cartella completa dei due files!
scaricato e aggiornato Malwarebytes, rileva i due files, più un rootkit in system32 regolarmente rimosso e una voce di registro infetta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0)
risolve i problemi e mi dice di riavviare per completare l'eliminazione dei due files che mi fanno ammattire
riavvio e la cartella e UN solo file è ancora là
per giunta, ora appare l'iconina rossa di windows che mi dice che BD non è aggiornato, controllo subito, BD è aggiornatissimo e funzionante, ma Centro sicurezza di windows non è d'accordo. in realtà, non lo era manco prima, ma non me lo segnalava sulla barra degli strumenti
dimenticavo: malwarebytes chiama i due files Trojan.Cycler
File infetti:
C:\System volume information\Microsoft\services.exe (Trojan.Cycler) -> Delete on reboot.
C:\System volume information\Microsoft\smss.exe (Trojan.Cycler) -> Delete on reboot.
e un'altra cosa, il publisher di questi due files si chiama Black Internet

stefi

scusate tutti questi post, ma sono un po' stanca e ricordo le cose a rate.
i processi incriminati in taskmanager non sempre fanno un uso eccessivo di cpu, succede all'improvviso che non mi si apre la pagina di internet, oppure non si carica un programma, oppure si carica ma non risponde
allora mi servo di taskmanager e mi accorgo che i miei soliti processi (da 44 a 48) sono diventati 52, o anche 58, come è accaduto un momento fa
ho controllato i due processi smss.exe ed uno dei due aveva un valore piuttosto alto, ho provato a terminarlo ma senza riuscirci
per quanto riguarda le chiavi di registro che mi hai suggerito di controllare, non ne capisco molto, ma le sei o sette chiavi che ho trovato in quella posizione le conosco tutte
ancora una cosa, riguardo il comportamento dei files smss.exe e services.exe: al riavvio del pc, succede che BD rileva la loro attività e la blocca, dopodichè, se faccio una scansione solo della cartella, BD non rileva elementi infetti e nemmeno malwarebytes
credo sia tutto, non mi viene in mente altro
per ora :D

federica

Bitdefender, dopo aver rilevato la minaccia, compie diverse azioni, se gli hai detto di non agire si comporta di conseguenza e non fa niente, dovresti guardare nelle impostazioni.
Però credo che il tuo pc sia proprio ben impapocchiato!
Non saprei cosa suggerirti ancora, valuta anche il fatto che con la reinstallazione avresti un sistema nuovo fiammante e veloce, cosa che non avresti comunque anche dopo la rimozione del virus.
Al mondo ci sono 10 tipi di persone, quelli che hanno capito il codice binario e quelli che non l'hanno capito.
Informatizzati [url="https://informatizzati.org"]https://informatizzati.org[/url]
Stacca la spina [url="https://disconnessi.org"]https://disconnessi.org[/url]