Processo Command Line

[sat986]

Ciao a tutti da un mese il mio portatile un MSI-GS70 ha un processo attivo in background che richiede abbastanza cpu e molto fastidioso la ventola della cpu o della scheda video girano finchè apro la task manager e lo chiudo, sia che lo lascio aperto che lo chiudo tutto funziona correttamente qualsiasi applicazione anche i giochi

il nome è: Command Line Precompressor (32bit)

ho cercato in rete ma non ho trovato nulla a riguardo, potrebbe essere un virus o un trojan ? visto che qualche tempo fa hanno bloccato un bonifico fatto dal mio pc a mia insaputa

hxxps://ibb.co/fwKhbw

[sat986]

Malwarebyte, adwcleaner, jrt scaricati ed eseguiti non hanno trovato niente

[Ryddyck]

Verifica la provenienza di quel processo (Click destro -> apri percorso file, se non ci riesci prova con Processhacker http://processhacker.sourceforge.net/), se è in una cartella temporanea è molto probabile che sia un virus (prova a caricare il file su Virustotal https://www.virustotal.com/ o Virscan http://virscan.org/ per maggiori informazioni).
Per quello che ho letto nell'altro thread in merito ( https://www.hwupgrade.it/forum/showthread.php?t=2841958 ) potrebbe essere una qualche variante di Zeus https://en.wikipedia.org/wiki/Man-in-the-browser (e si è possibile pure bypassare l'autenticazione a 2 fattori o tramite key che genera codici a caso - quest'ultima crackata direttamente diverso tempo fa).

Per quel che riguarda la scansione prova Hitmanpro https://www.hitmanpro.com/en-us/hmp.aspx e Roguekiller https://www.bleepingcomputer.com/download/roguekiller/

Per il resto mancano informazioni sul sistema operativo utilizzato, antivirus/altro e browser.

[sat986]

grazie mille, uso windows 8.1 aggiornamenti sempre attivi e browser chrome antivirus niente,
il processo incriminato si trova qui C:\Users\David\AppData\Roaming\Wondershare\Precomp

ha 4 file:
config
msvcr120.dll
OpenCL.dll
precomp

l'unico ad essere visto come trojan è precomp e viene rilevato solo da 7 antivirus su virustotal che sono i seguenti:

AegisLab Troj.Atraps.Qmsxo!c
Avira TR/ATRAPS.qmsxo
DrWeb Tool.BtcMine.1177
McAfee Artemis!F17D4BB9F334
McAfee-GW-Edition BehavesLike.Win32.Trojan.th
Qihoo-360 Win32/Trojan.e4c
TrendMicro-HouseCall Suspicious_GEN.F47V1107

hitman pro non ha trovato nulla
roguekiller ha trovato questo

¤¤¤ Attività : 4 ¤¤¤
[Suspicious.Path] %WINDIR%\Tasks\Secured Yahoo Powered dosif.job -- C:\Windows\system32\wscript.e*e estensione exe
[Suspicious.Path] %WINDIR%\Tasks\C:\Users\David\AppData\Roaming\UPDATE~1\sync.exe (/Check) -> Trovato
[Suspicious.Path] C:\Users\David\AppData\Roaming\UPDATE~1\sync.exe (/Check) -> Trovato
[Hj.Shortcut] \ "c:\program files (x86)\google\chrome\application\chrome.exe" ?-> Trovato

¤¤¤ Archivi : 9 ¤¤¤
[PUP.uTorrentAds][Archivio] C:\Users\David\AppData\Roaming\uTorrent\updates\3.4.9_43085\utorrentie.exe -> Trovato
[PUP.uTorrentAds][Archivio] C:\Users\David\AppData\Roaming\uTorrent\updates\3.4.9_43295\utorrentie.exe -> Trovato
[PUP.uTorrentAds][Archivio] C:\Users\David\AppData\Roaming\uTorrent\updates\3.4.9_43388\utorrentie.exe -> Trovato
[PUP.uTorrentAds][Archivio] C:\Users\David\AppData\Roaming\uTorrent\updates\3.5.0_43580\utorrentie.exe -> Trovato
[PUP.uTorrentAds][Archivio] C:\Users\David\AppData\Roaming\uTorrent\updates\3.5.0_43804\utorrentie.exe -> Trovato
[PUP.uTorrentAds][Archivio] C:\Users\David\AppData\Roaming\uTorrent\updates\3.5.0_43916\utorrentie.exe -> Trovato
[PUP.uTorrentAds][Archivio] C:\Users\David\AppData\Roaming\uTorrent\updates\3.5.0_44090\utorrentie.exe -> Trovato
[PUP.uTorrentAds][Archivio] C:\Users\David\AppData\Roaming\uTorrent\updates\3.5.0_44294\utorrentie.exe -> Trovato
[PUP.uTorrentAds][Archivio] C:\Users\David\AppData\Roaming\uTorrent\updates\3.5.1_44332\utorrentie.exe -> Trovato

li ho eliminati tutti tranne wscript.e*e cosa faccio ? estensione exe

[Ryddyck]

Rilascio la risposta data per messaggio privato se qualcuno fosse interessato per una miglior disinfezione
Quel wscript.exe potrebbe come non potrebbe essere infetto, per maggiori informazioni basta caricarlo su virustotal/virscan/metadefender, ma non è comunque un'applicazione fondamentale per il sistema - se ci fosse qualche applicazione che lo richiede ovviamente si potrà installare da zero o sarà installata dallo stesso software che la richiede.
Per il resto si consiglia:
- Pulire i file temporanei
- Verificare che non ci siano altri programmi in avvio diversi da quelli scelti in precedenza
- Cambiare DNS (ad esempio con OpenDns) che tengono conto della privacy e della sicurezza
- Installare un antivirus (Avast o Avira gratuiti vanno più che bene) se già non lo si ha installato e magari aggiungere un firewall (Comodo attualmente è uno dei migliori, sempre in versione gratuita)
- Installare estensioni per la sicurezza/privacy (ublock origin, noscript, popublocker, https everywhere, etc) sul browser (meglio se su Firefox o qualche altro browser basato su Chromium - Chrome non è il massimo per la privacy)
- Riprovare ad effettuare le scansioni in cerca di ulteriori tracce

[sat986]

questo wscript.exe viene rilevato come virus da roguekiller invece da virustotal risulta pulito tuttavia nei commenti ci sono 2 utenti che lo considerano safe (sicuro) e 5 utenti unsafe (non sicuro) e visto che non serve al sistema operativo elimino anche questo

ora tutti i programmi non trovano neanche un virus o trojan o popup insomma niente di niente, grazie per l'aiuto

ho anche provveduto a cambiare dns tramite opendns, per chi fosse interessato spiego brevemente il funzionamento, ci si registra al sito e vi vengono dati dei dns da inserire, se avete un router privato o in comodato d'uso di vodafone o linkem accedete al suo menu interno e li impostate, è abbastanza intuitivo ogni tipo di modem ha la sua procedura ma è molto semplice

ora installo un antivirus, anti popup gia messi