Ho un pc lenovo; nella bella epoque ero matto per l'antivirus cloud di panda, ma una "voce" mi diceva di passare ad Avast.
Ho fatto il boot CD di Avast che mi ha rilevato alcune manomissioni su quel PC, mentre panda non dava segni di vita, tra cui tutta la cache di Windows Update manomessa. La cosa interessante era che dopo un po' due scansioni diverse da boot CD portavano a due risultati diversi, senza dare il nome del virus. Secondo me l'accesso ai file sembrava bloccato casualmente.
Alla fine all'epoca ho visto che il boot loader di windows è scoppiato. In pratica Windows non si avviava più. Il backup col fido acronis era fatto per cui l'ho semplicemente ripristinato.
In seguito ad altri tentativi, sono riuscito ad isolare il codice maligno in grub. In pratica nella partizione efi c'era un rimasuglio di ubuntu, e ogni volta che avviavo il grub lasciato il boot loader di Windows implodeva.
Ad oggi, il boot loader di Windows ha ripreso ad implodere per ben due volte: una il 6/8, una il 19 e una il 24.
Ricordo, in oltre che da solo il disco rigido si é prima congelato (in pratica Acronis disk director rilevava le partizioni ma non poteva più modificarle) e poi é sparita la partizione di recupero fatta dalla lenovo col loro software.
Ritengo che ci siano delle chiamate a basso livello fatte da qualcosa che vengono bloccate da Avast, per cui l'unico modo che ha questo codice di salvare il proprio stato é quello di andare a toccare parti del disco non monitorate, tra cui il boot loader.
Ho una idea su come partire per isolare il codice maligno.
Stay tuned.
