Avast WEBforum
Non-English Zone => Italiano => Topic started by: REDACTED on July 27, 2014, 04:23:01 PM
-
Salve a tutti,
dopo aver eseguito la scansione completa è stato trovato un virus trojan. Il problema è che risulta che il file sia di sola lettura e quindi non riesco ad eliminarlo/spostarlo e di conseguenza ad ogni scansione successiva il file compromesso risulta sempre nel computer.
Consigli?
-
Ciao e benvenuto,
hai già provato ad eseguire una scansione all'avvio?
Di che file si tratta? Dove si trova?
-
Il file si trova in C:\\Windows\SysWOW64\install\svchost.exe e quindi immagino sia un eseguibile se è un .exe
Il messaggio nello stato del file è" Minaccia: Win32: Trojan-gen"
-
Prima di fare altro testa il file qui
https://www.virustotal.com/
e posta il link
ciao
-
Avrei un piccolo problema.. dopo C:\\Windows\SysWOW64 dovrei trovare la cartella install, ma non c'è. Come trovo il file?
-
abilita la visualizzazione dei file nascosti e di sistema
http://aranzulla.tecnologia.virgilio.it/come-visualizzare-file-nascosti-su-windows-7-14694.html
oppure digita nella barra degli indirizzi di windows
C:\Windows\SysWOW64\install\
ciao
-
se abilito la visualizzazione dei file nascosti la cartella che sto cercando non appare, mentre se eseguo C:\Windows\SysWOW64\install\ la cartella risulta vuota. Dovrei fare una scansione all'avvio?
-
se abilito la visualizzazione dei file nascosti la cartella che sto cercando non appare, mentre se eseguo C:\Windows\SysWOW64\install\ la cartella risulta vuota. Dovrei fare una scansione all'avvio?
sei sicuro che il file infetto sia svchost.exe e non sia il processo che attiva l'infezione? perchè svchost.exe è un file di sistema ed è importante saperlo perchè si rischia di dare colpa ad un file piuttosto che ad un altro.
abilita anche la visualizzazione dei file di sistema (apri una qualsiasi cartella, strumenti<opz cartella>visualizzazione>imp avanzate)
(ma alla fine di tutto togli la visualizzazione dei file di sistema e dei file nascosti)
apri l'unità C e nella casellina cerca scrivi: svchost.exe [invio]
alla fine della ricerca potresti avere un elenco di questi file in posizioni diverse sul disco, scansionali con avast...
-
se abilito la visualizzazione dei file nascosti la cartella che sto cercando non appare, mentre se eseguo C:\Windows\SysWOW64\install\ la cartella risulta vuota. Dovrei fare una scansione all'avvio?
sei sicuro che il file infetto sia svchost.exe e non sia il processo che attiva l'infezione? perchè svchost.exe è un file di sistema ed è importante saperlo perchè si rischia di dare colpa ad un file piuttosto che ad un altro.
abilita anche la visualizzazione dei file di sistema (apri una qualsiasi cartella, strumenti<opz cartella>visualizzazione>imp avanzate)
(ma alla fine di tutto togli la visualizzazione dei file di sistema e dei file nascosti)
apri l'unità C e nella casellina cerca scrivi: svchost.exe [invio]
alla fine della ricerca potresti avere un elenco di questi file in posizioni diverse sul disco, scansionali con avast...
Anche se rendo visibili i file di sistema nascosti la cartella che cerco non appare, mentre se cerco nell'unità C svchost.exe non appare alcun risultato. Ho provato anche con una scansione all'avvio e ha trovato dei file infetti, ma il solito file appare ancora a ogni scansione.
Inoltre oggi (non so quanto possa centrare con l'argomento) il mio puntatore ha totalmente cambiato aspetto senza che io facessi nulla:
è diventato una fila verticale di circa 6 punti vicini tra loro. Ho risolto riavviando il computer dato che anche se provavo a cambiare il puntatore (cambia puntatori del mouse > puntatori) non succedeva nulla.
-
e quindi quale sarebbe questo file infetto? il solito che hai già detto?
prova a scaricare HitmanPro e poi manda una scansione, meglio se sei connesso a internet così utilizza anche il cloud http://www.surfright.nl/it/hitmanpro
-
Si il file infetto è questo C:\\Windows\SysWOW64\install\svchost.exe
Per quanto riguarda HitmanPro non c'è pericolo che vada in conflitto con l'antivirus?
-
serve per fare scansione ma non è in real time sennò non te lo dicevo
-
Ho trovato dei PUP e 2 riskware. Subito dopo ho anche fatto una scansione con avast e il solito file infetto viene rilevato.
-
Ho trovato dei PUP e 2 riskware. Subito dopo ho anche fatto una scansione con avast e il solito file infetto viene rilevato.
nei risultati di hmp ha rilevato lo stesso file di avast?
alla fine della scansione con hmp hai fatto per pulire?
prova a fare una cosa: disattiva momentaneamente avast, apri un file nuovo di testo.txt e dentro copia e incollaci questo testo:
copy C:\\Windows\SysWOW64\install\svchost.exe c:\questo1.vir
copy C:\Windows\SysWOW64\install\svchost.exe c:\questo2.vir
poi salvalo e rinominalo aggiungendo alla fine del nome del file .bat poi facci un doppio click per avviarlo, poi vai a vedere in c:\ se trovi almeno uno dei due file questo1o2.vir, se si prova a farlo scansionare su virustotal
-
Ho trovato dei PUP e 2 riskware. Subito dopo ho anche fatto una scansione con avast e il solito file infetto viene rilevato.
nei risultati di hmp ha rilevato lo stesso file di avast?
alla fine della scansione con hmp hai fatto per pulire?
prova a fare una cosa: disattiva momentaneamente avast, apri un file nuovo di testo.txt e dentro copia e incollaci questo testo:
copy C:\\Windows\SysWOW64\install\svchost.exe c:\questo1.vir
copy C:\Windows\SysWOW64\install\svchost.exe c:\questo2.vir
poi salvalo e rinominalo aggiungendo alla fine del nome del file .bat poi facci un doppio click per avviarlo, poi vai a vedere in c:\ se trovi almeno uno dei due file questo1o2.vir, se si prova a farlo scansionare su virustotal
No, non ha rilevato lo stesso file di avast.
Sì, ho eliminato i file corrotti.
Ho creato il file .bat come mi hai detto ma il problema è che se vado in C:\Windows\SysWOW64\ non trovo la cartella install, anche se ho attivato la visualizzazone dei file nascosti.
-
quando ti arriva il prossimo popup del file infetto di avast dovresti fare uno screenshot del popup in modo da leggerlo con precisione perchè c'è qualcosa che non mi torna perchè svchost.exe è un file di sistema, anche se un virus può duplicarsi in ogni file.
intanto riprova a mandare hmp per verificare che ti abbia tolto tutto e che non ci sia altro.
-
Ho rimandato hmp e non ha trovato minaccie, mentre lo screenshot lo linko qui sotto.
http://i61.tinypic.com/x5qyci.png
Qualunque azione seleziono appare un errore dicendomi che il file è di sola lettura.
-
Ho rimandato hmp e non ha trovato minaccie, mentre lo screenshot lo linko qui sotto.
http://i61.tinypic.com/x5qyci.png
Qualunque azione seleziono appare un errore dicendomi che il file è di sola lettura.
o è un falso positivo di avast oppure è un rootkit che si nasconde bene all'avvio del sistema.
prova a scaricare e installare questo tool e poi vai in modalità provvisoria e mandalo: http://www.kaspersky.com/antivirus-removal-tool?form=1
p.s.: prova per prima cosa a installarlo subito in modalità provvisoria (altrimenti come ti ho detto prima).
-
Perfetto! L'ho installato in modalità provvisoria e ha trovato il file infetto (lo stesso che trovava avast) e sono riuscito a cancellarlo!
Ho eseguito anche una scansione di avast dopo l'eliminazione per esserne sicuri e infatti non ha trovato alcun file compromesso.
Grazie mille!