Svchost al 100% fisso e pc inutilizzabile

[max60]

Ciao a tutti, ieri pomeriggio durante la navigazione in internet MSE ha rilevato dei trojan all'interno di alcuni css e li ha rimossi, almeno lui dice così.
Sta di fatto però che da allora il pc è quasi inutilizzabile perchè c'è sempre un processo svchost.exe al 100% che paralizza il pc.
Sono riuscito a fatica a eseguire Hijackthis, però facendo analizzare il log sul loro sito l'unica cosa anomala che è saltata fuori è stata questa :
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
che ho provveduto a rimuovere come da loro indicazioni.

In questo stato di paralisi però è molto difficile riuscire ad operare secondo le linee guida spiegate nel 3D apposito, e in modalità provvisoria alcuni programmi (es. malwarebyte) non si installano nemmeno perchè dice che non ci sono i diritti adatti per farlo.
Cosa è meglio fare ?
Tolgo l'hard disk e lo monto come slave in un altro pc sano e faccio tutto da lì ?
Ma da un altro pc si riesce a fare esaminare il registro di sistema alla ricerca di eventuali anomalie ?
Grazie.

[Chill-Out]

Quote:

Originariamente inviato da max60

Ciao a tutti, ieri pomeriggio durante la navigazione in internet MSE ha rilevato dei trojan all'interno di alcuni css e li ha rimossi, almeno lui dice così.
Sta di fatto però che da allora il pc è quasi inutilizzabile perchè c'è sempre un processo svchost.exe al 100% che paralizza il pc.
Sono riuscito a fatica a eseguire Hijackthis, però facendo analizzare il log sul loro sito l'unica cosa anomala che è saltata fuori è stata questa :
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
che ho provveduto a rimuovere come da loro indicazioni.

In questo stato di paralisi però è molto difficile riuscire ad operare secondo le linee guida spiegate nel 3D apposito, e in modalità provvisoria alcuni programmi (es. malwarebyte) non si installano nemmeno perchè dice che non ci sono i diritti adatti per farlo.
Cosa è meglio fare ?
Tolgo l'hard disk e lo monto come slave in un altro pc sano e faccio tutto da lì ?
Ma da un altro pc si riesce a fare esaminare il registro di sistema alla ricerca di eventuali anomalie ?
Grazie.

Allega il log di MSE su uno dei Server remoti indicati nelle Regole di sezione.

[max60]

Ma come si fa ad estrarre un log da MSE ?
Mai visto un AV così spartano, mi fa vedere gli elementi "potenzialmente dannosi" riscontrati ma non mi fa estrarre nessun log ...
Cmq ho provato ad installare Process Explorer, e andando ad analizzare quel processo svchost, sembra che se riferisca all'esecuzione di msseces.exe, che guarda caso fa proprio parte di MSE:



Non è che si è impallato qualcosa nell'antivirus e in background sta facendo non so che cosa ... ???

[FulValBot]

prova una scansione completa con malwarebytes free in modalità provvisoria.

www.malwarebytes.org

[Chill-Out]

Quote:

Originariamente inviato da max60

Ma come si fa ad estrarre un log da MSE ?
Mai visto un AV così spartano, mi fa vedere gli elementi "potenzialmente dannosi" riscontrati ma non mi fa estrarre nessun log ...
Cmq ho provato ad installare Process Explorer, e andando ad analizzare quel processo svchost, sembra che se riferisca all'esecuzione di msseces.exe, che guarda caso fa proprio parte di MSE:



Non è che si è impallato qualcosa nell'antivirus e in background sta facendo non so che cosa ... ???

Tab - Cronologia

[max60]

Quote:

Originariamente inviato da Chill-Out

Tab - Cronologia

Si a quella tab ero arrivato, ma non vedo la possibilità di estrarre un file di log.
Sarò stordito ma non trovo niente ...
Provo ad allegare due screen comunque:




Adesso riavvio il pc perchè è due ore e mezza che sta con la cpu al 100% e provo un giro di malwarebytes in provvisoria.

[FulValBot]

per i falsi positivi controlla google.

[max60]

Allora, dopo qualche oretta di Malwarebytes pare che il problema sia stato risolto.
Questo il risultato della scansione:

C:\Documents and Settings\giomaxdeni\Menu Avvio\Programmi\Esecuzione automatica\B7fEzq8oUe8.exe (Trojan.Inject) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{E1AE3EA8-54B8-43E3-AD24-60A966D97C5B}\RP275\A0075550.EXE (RiskWare.Tool.CK) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{E1AE3EA8-54B8-43E3-AD24-60A966D97C5B}\RP275\A0075551.exe (Trojan.Downloader) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{E1AE3EA8-54B8-43E3-AD24-60A966D97C5B}\RP275\A0075556.exe (Trojan.Inject) -> Spostato in quarantena ed eliminato con successo.
C:\Documents and Settings\giomaxdeni\Dati applicazioni\igfxtray.dat (Malware.Trace) -> Spostato in quarantena ed eliminato con successo.

Sono rimasto veramente perplesso dal trovare quell'eseguibile dal nome assurdo (B7fEzq8oUe8.exe), bellamente posizionato in esecuzione automatica.
Ma il caro Microsoft Security Essential dov'era quando qualcuno ce l'ha ficcato dentro ?
In ogni modo ho rimosso queste voci e dopo aver riavviato in modalità normale il pc è tornato perfettamente agibile, senza più processi che lo paralizzavano.
Premesso che a questo punto mi metterò alla ricerca di una altro antivirus free dato che ho perso ogni fiducia per MSE, mi chiedevo se quelle schifezze potessero aver fatto qualche danno all'interno dei miei files e dei miei documenti.
Ho già eliminato tutti i punti di ripristino e cancellato i vari temporanei con ATF-Cleaner, ma sarà il caso di fare qualche altra scansione completa con altri sw ?
Un ringraziamento cmq a tutti per le dritte ricevute !