Rimuovere file bloccati

[Piero_TM_R]

L'ultimo aggiornamento di AVG ha rilevato alcune minacce sul computer della mia metà, senza che queste si manifestassero prima.

AVG ha rilevato due file contenuti nella castella c:\windows\system32 che hanno due nomi anomali e sono EXE. Ho cercato i nomi dei file in giro per la rete ma non ho avuto riscontri, credo siano nomi casuali.

Ogni volta che si accede alla cartella AVG mostra una finestra dove si leggono i nomi dei file ed il processo intervenuto (in questo caso explorer.exe, spybot.exe se si fa una scansione o anche winlogon.exe), ma non permette di rimuoverli.

Ho tentato la rimozione di modalità provvisoria e con puppy linux ma mi viene restituito il messaggio di errore che mi avverte che non si hanno i diritti per cancellarli. Sono riuscito ad editarne l'estensione e ho eliminato tutte le voci a loro legate presenti nel registro di sisteme e ora come ora il computer sembra comportarsi bene.

Ho anche provato a verificare l'evenutale presenza di un rootkit andando a vedere quanti utenti sono presenti sul sitema, ma non vi sono anomalie, è presente administrator e l'utente utilizzato normalmente.

Per cancellare i file ho anche provato con lo shredder di TuneUp e Tritafile ma anche loro cozzano nel problema dei diritti e anzi mi viene detto che i file sono in uso (non sono presenti nei task).

I file sono rilevati da AVG come runtime compresse. Che faccio?

[Chill-Out]

Prima di procedere sarebbe opportuno indicare il nome del files, successivamente farli controllare su http://www.virustotal.com/it/ e http://virscan.org/ per i risultati è sufficiente incollare nel prossimo post l'ERL rilasciata a fine scansione.

[Piero_TM_R]

Allora, i file sono:
netphoqa.exe
csruqcvo.exe

Ho provato l'invio dei file ad un servizio on-line ma mi viene restituito l'errore che non è stato inviato alcun file. In più ora non ho fisicamente il computer sotto mano, quindi posso intervenire parzialmente.

Ora i due file li ho rinominati in:
netphoqa.exe.old
csruqcvo.exe.old

Ovviamente eventuali ricerche con Google non portano a nessun risultato, credo che il nome dei file sia casuale.

[wjmat]

che altri sintomi avevi prima?

[Piero_TM_R]

Lentezza del PC in generale, nessuna infezione rilevata da AVG.
Il tutto è iniziato con l'aggiornamento di AVG rilasciato qualche giorno fa, da li è venuta fuori l'infezione. Non so se le date di creazione dei file possano essere veritiere (possono essere falsificate?), ma l'infezione sembrerebbe essere datata ad agosto scorso. Come mai l'antivirus non l'ha rilevata prima?
Comunque ora vorrei cancellare questi file potenzialmente nocivi.

[wjmat]

quali altri antispyware hai installato?

[Piero_TM_R]

Spybot S&D, Ad-aware e Spywareblaster.

[wjmat]

scansiona per verifica con A-Squared e Malwarebytes' Anti-Malware

[Piero_TM_R]

Il sistema risulta pulito.
Nonostante questo AVG rileva le minacce quando viene visualizzato il contenuto delle cartelle o quando si effettuano le scansioni.
Torno alla domanda iniziale, come faccio ad eliminare i file incriminati?

[wjmat]

prova con unlocker (potrà servirti anche in futuro)
lo installi deselezionando l'assistente ed eventuali toolbar o cose inutili
in caso di file o cartella bloccata -> tasto destro -> unlocker -> scegli l'azione (cancella/sposta/rinomina) e clicchi su sblocca tutto

altrimenti passiamo ad avenger

[Piero_TM_R]

Perfetto, appena riesco a mettere mano sul PC provo il programma e vedo se riesco a sradicare i file incriminati! Grazie

[Piero_TM_R]

Risolto! Sono riuscito solo ieri sera a mettere le mani sul PC infestato. Unlocker ha fatto il suo dovere!
Grazie a tutti per la collaborazione.

[wjmat]

di nulla, ciao