vi lascio questo mio post di FB spero che sia utile per questo tipo di virus e come si comporta
ATTENZIONE virus clona/rinomina, dopo aver cercato un software e fatto partire mi sono accorta che (grazie anche alla modalità file nascosti che disabilito sempre) alcuni file exe sono stati clonati e rinominato del tipo copytrans in gcopytrans, (gcopystrans era file nascosto) se per caso vi capita che il pc si riduce a memoria insufficiente, e vedete due file exe con lo stesso nome ma uno con "g" iniziale e stato quel virus di tipo renamer, comunque windows defender non la beccato e nemmeno adwcleaner, io mi sono accorta che dopo la scritta memoria insufficiente ho usato processhacker e li ho visto un file chiamato "guard" che partiva da appdata, bloccato e cancellato con iobit unlocker, poi ho scaricato KVRT ed ho fatto la scansione perché dal momento che il processo guard si attiva, ogni file exe che riesce il virus può clonarlo, finita la scansione con kvrt dovete solo vedere che cosa ha clonato e poi rimuoverlo, in caso del tipo che il file exe non riesce a curarlo riscaricare il software, il virus non clona il file di windows ma solo alcuni che può attaccare, ricapitoliamo se avete scaricato un software o gioco e il pc presenta memoria insufficiente e nei processi parte un file chiamato guard da appdata, usate KVRT per fare scansione e rimuovere il tutto, se necessario fate la doppia scansione
