none
avviso di protezione in tempo reale disattivata anche se in realtà attiva RRS feed

  • Domanda

  • Buongiorno, 

    Nella giornata di ieri ho dovuto liberare il pc (Sistema operativo W10) da una serie di malware attraverso le guide di Vincenzo Russo (computer infettato da malware) e Franco Leuzzi (avvio pulito). I malware in questione avevano disattivato la protezione di windows defender e intaccato l'esecuzione dei browsers (Edge e Chrome). Dopo aver seguito le due guide e disinstallato tutti i programmi necessari per eliminare i malware (ADW e Malwerbyte) ho continuato a riscontrare errore quando tentavo di attivare la protezione in tempo reale di WD. Per risolvere ho seguito le indicazioni di Franco Leuzzi agendo sul registro e azzerando il valore di DisableAntiSpyware nella chiave Hkey_Local_Machine\Software\Policies\Microsoft\Windows Defender. In seguito sono riuscito a ripristinare la protezione in tempo reale e il sistema sembra tornato alla normalità. Ogni tanto però, esce l'avviso di notifica che la protezione in tempo reale è disattivata anche se in realtà, andando nelle impostazioni risulta attiva. 

    Come posso fare? Ho tentato nuovamente con l'avvio pulito ma nulla. Sotto elenco il report dei virus trovati da Malwerbyte:

    Chiave di registro: 9
    Adware.SearchAwesome, HKLM\SOFTWARE\SrcAAAesom Browser Enhancer, [424837],1.0.0
    PUP.Optional.Wajam, HKU\S-1-5-21-4109777229-455925797-631368336-1001\SOFTWARE\WajIEnhance, 
    PUP.Optional.Wajam, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\NLASVC\PARAMETERS\INTERNET\MANUALPROXIES, 
    Adware.SearchAwesome, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\e4691aa0c31ba314fb453bb64e6e12b3, 
    Adware.SearchAwesome, HKLM\SOFTWARE\WOW6432NODE\SrcAAAesom Browser Enhancer, 
    Adware.Wajam.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\047e1dc18d275140564b69aa45541c1c, 
    PUP.Optional.Wajam, HKLM\SOFTWARE\WOW6432NODE\CLASSES\APPID\56BF5154-0B48-4ADB-902A-6C8B12E270D9, 
    PUP.Optional.Wajam, HKLM\SOFTWARE\CLASSES\APPID\56BF5154-0B48-4ADB-902A-6C8B12E270D9, 
    PUP.Optional.Wajam, HKLM\SOFTWARE\CLASSES\WOW6432NODE\APPID\56BF5154-0B48-4ADB-902A-6C8B12E270D9, 

    Valore di registro: 5
    PUP.Optional.Wajam, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, 
    PUP.Optional.Wajam, HKU\S-1-5-21-4109777229-455925797-631368336-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, 
    PUP.Optional.Wajam, HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, 
    Adware.SearchAwesome, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\e4691aa0c31ba314fb453bb64e6e12b3|DISPLAYNAME, 
    Adware.SearchAwesome.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\e4691aa0c31ba314fb453bb64e6e12b3|PUBLISHER, 

    File: 11
    Trojan.FakeAlert, C:\USERS\FEDER\APPDATA\ROAMING\GOOGLE\libz-1.dll, 
    Trojan.FakeAlert, C:\USERS\FEDER\APPDATA\ROAMING\GOOGLE\Google.sfx.exe,
    Trojan.FakeAlert, C:\USERS\FEDER\APPDATA\ROAMING\GOOGLE\libcurl.dll, 
    Trojan.FakeAlert, C:\USERS\FEDER\APPDATA\ROAMING\GOOGLE\system.sfx.exe,
    Adware.Linkury.Generic, C:\USERS\FEDER\APPDATA\LOCAL\PO.DB, 
    Adware.Linkury.TskLnk, C:\USERS\FEDER\APPDATA\LOCAL\INSTALLATIONCONFIGURATION.XML,
    Adware.Wajam.Generic, C:\WINDOWS\SYSTEM32\DRIVERS\047E1DC18D275140564B69AA45541C1C.SYS, 
    RiskWare.BitCoinMiner, C:\USERS\FEDER\APPDATA\ROAMING\GOOGLE\SYSTEM.EXE, 
    RiskWare.BitCoinMiner, C:\USERS\FEDER\APPDATA\ROAMING\GOOGLE\UPDATE.EXE, 
    PUP.Optional.Trovi, C:\USERS\FEDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, 
    PUP.Optional.Trovi, C:\USERS\FEDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data,

    grazie 

    Federico 

    venerdì 22 dicembre 2017 10:19

Risposte

Tutte le risposte

  • Reinstalla IN PLACE:

    https://answers.microsoft.com/it-it/windows/forum/windows_10-windows_install/reinstallazione-in-place-di-windows-10/51a24191-3531-405e-b737-de96f9b70dd7


    Franco Leuzzi - Microsoft ® MVP Windows and Devices for IT \System Administration

    • Contrassegnato come risposta fedeBorsa martedì 26 dicembre 2017 10:34
    venerdì 22 dicembre 2017 10:22
    Moderatore
  • Potrebbe bastare un ritorno ad un punto di ripristino?

    grazie

    venerdì 22 dicembre 2017 10:26
  • No.

    Dato che il sistema era infetto sarebbe meglio azzerare tutti i punti di ripristino disattivando il ripristino di sistema quindi reinstallare IN PLACE e poi riattivare il ripristino di sistema.


    Franco Leuzzi - Microsoft ® MVP Windows and Devices for IT \System Administration

    venerdì 22 dicembre 2017 10:41
    Moderatore
  • Gentile Franco

    ho reinstallato in place eliminando anche programmi e file personali in modo da essere più sicuro di ripulire il pc. Il sistema ora sembra tornato alla normalità. L'unica cosa che mi lascia perplesso è che da quando ho reinstallato, 3 giorni fa, windows defender non ha ancora effettuato un'analisi automatica del sistema. Nel Security Center sembra tutto ok, ogni funzione di protezione è attivata.

    Andando in attività pianificate > windows > windows defender mi sono accorto che nella funzione scheduled scan, sotto la voce "risultato ultima esecuzione" mi dice termine imprevisto del processo (0x8007042B).

    2 giorni fa avevo effettuato la stessa verifica, notando che per lo stesso processo diceva processo non ancora eseguito (0x....). Forse semplicemente cliccando sopra all'attività per avere più dettagli ho modificato qualcosa? (ad esempio sotto la voce autore a destra è comparso il nome del pc, mentre prima non c'era)

    Come posso fare?

    grazie per la pazienza

    Federico

    martedì 26 dicembre 2017 10:25
  • Intanto lancia una ANALISI VELOCE manualmente.

    L'errore 0x2 non significa che la scansione non è stata eseguita ma solo che non è stato salvato il risultato nel file di log.

    Tieni la cosa sotto controllo.


    Franco Leuzzi - Microsoft ® MVP Windows and Devices for IT \System Administration

    • Contrassegnato come risposta fedeBorsa mercoledì 27 dicembre 2017 12:39
    martedì 26 dicembre 2017 11:02
    Moderatore
  • Ok, grazie
    mercoledì 27 dicembre 2017 12:39
  • Ogni tanto apri WDSC w verifica:

    Nel caso aggiorna manualmente le definizioni e esegui un' analisi veloce.


    Franco Leuzzi - Microsoft ® MVP Windows and Devices for IT \System Administration




    mercoledì 27 dicembre 2017 13:13
    Moderatore