Hai trovato il servizio rsEngineSvc.exe (RAV Endpoint Protection) installato a tua insaputa e ora il sistema elimina giochi ed eseguibili? Questa guida pratica spiega come isolare RAV, scovare l’infezione W32/Expiro e riportare Windows a uno stato sicuro mediante reinstallazione pulita.
Il problema in dettaglio
Su numerosi sistemi Windows – in particolare quelli che hanno eseguito software pirata o installatori scaricati da fonti non verificate – è comparso all’improvviso RAV Endpoint Protection. Il servizio rsEngineSvc.exe si avvia in background, non è disinstallabile dai percorsi consueti («App e funzionalità» o «Programmi e funzionalità») e non può essere terminato perché protetto dall’attributo “Always Running”. Nel giro di poche ore:
- cancella periodicamente giochi, mod o script appena installati;
- impedisce l’avvio di strumenti di diagnosi, mostrando errori «Access is denied»;
- reimposta le autorizzazioni NTFS su molte cartelle di sistema.
L’analisi dei file residui con Total Commander, Windows Defender e hash di controllo ha rivelato un’ulteriore minaccia: W32/Expiro, un virus file‑infector che inietta codice in centinaia di eseguibili (.exe e .dll). A questo punto la rimozione manuale diventa impraticabile: se RAV è “solo” un PUA/PUC (Potentially Unwanted Application/Component), Expiro è un malware vero e proprio con capacità di auto‑replicazione.
Panoramica sulla strategia di bonifica
La sequenza di lavoro vincente è riassunta nella tabella seguente; più sotto troverai la guida estesa per ciascun passaggio.
| Fase | Strumento / Azione | Scopo | Note pratiche |
|---|---|---|---|
| 1. Isolare il servizio | Sysinternals Autoruns (avvio come admin) | Bloccare tutte le voci di avvio firmate ReasonLabs / RAV | Deseleziona le caselle, salva, riavvia: RAV non riparte e smette di cancellare file. |
| 2. Diagnosticare file residui | Farbar Recovery Scan Tool (FRST) | Generare i log FRST.txt e Addition.txt | Rinomina FRST64.exe (es.: video.exe) per aggirare il blocco; se Defender interviene, crea un’esclusione temporanea. |
| 3. Rimuovere RAV | Fixlist personalizzata in FRST | Eliminare cartelle, servizi, driver e chiavi registro | Lancia “Fix” in FRST, poi riavvia: i residui di RAV scompaiono. |
| 4. Verificare infezioni | Analisi log + servizi | Scoprire l’infezione Expiro | Molti exe/dll di sistema risultano infetti; riparazione singola sarebbe infinita. |
| 5. Bonifica definitiva | Reinstallazione pulita di Windows | Rimuovere ogni traccia di Expiro | Crea USB con Media Creation Tool da un PC sicuro, formatta, reinstalla, ripristina solo i documenti verificati. |
| 6. Prevenzione futura | Aggiornamenti, backup, software legittimo | Evitare reinfezioni | Usa Windows originale, attiva un antivirus affidabile, adopera 2FA e backup offline. |
Guida passo‑passo approfondita
1 – Isolare RAV Endpoint Protection con Autoruns
Autoruns, creato da Sysinternals, elenca ogni punto di avvio automatico di Windows: servizi, driver, schedulazioni, estensioni shell, provider WMI, ecc. Avviato come amministratore (tasto destro » Esegui come amministratore), consente di disattivare selettivamente le voci collegate a ReasonLabs / RAV prima che Windows completi il boot successivo.
- Scarica
Autoruns64.exeda un PC pulito e copialo via USB. - Eseguilo, attendi l’indicizzazione completa (status bar > Ready).
- Nel filtro in alto digita rav o reasonlabs: appariranno servizi, driver, scheduled task.
- Deseleziona tutte le caselle corrispondenti. La voce diventa gialla (disabilitata), non cancellata.
- Chiudi Autoruns e riavvia immediatamente.
Al successivo avvio, rsEngineSvc.exe non parte e non riesce più a proteggere (o ricreare) i suoi file; smette inoltre di bloccare gli eseguibili appena copiati.
2 – Creare i log con Farbar Recovery Scan Tool
Autoruns neutralizza RAV ma non rimuove cartelle, servizi fittizi, driver non in uso o voci di registro. Per inventariare ciò che resta si impiega FRST, un utility portable capace di operare sia da Windows sia da Ambiente Ripristino:
- Dal PC pulito scarica la versione corretta (32 o 64 bit) e copiala sul desktop del PC infetto.
- Rinomina l’eseguibile (es.:
foto.exe) per aggirare eventuali blocchi di Defender o del malware residuo. - Avvia FRST come amministratore; spunta “Additions” per ottenere il secondo log.
- Al termine salva i file
FRST.txteAddition.txt. Contengono:
- percorsi di eseguibili sospetti;
- servizi e driver inattivi ma registrati;
- chiavi di registro “shell” collegate a RAV;
- eventuali moduli iniettati in explorer.exe.
Confronta le sezioni Services, Drivers, HKLM\Run e Scheduled Tasks con gli hash delle DLL originali di Windows (ti puoi appoggiare a sfc /scannow o dism /online /cleanup-image /restorehealth) per identificare alterazioni.
3 – Scrivere ed eseguire la Fixlist
FRST supporta una modalità “Fix” che legge comandi da un file fixlist.txt posto nella stessa cartella. Esempio semplificato (adatta i percorsi ai tuoi log):
CreateRestorePoint: CloseProcesses: DeleteService: rsEngineSvc DeleteKey: HKLM\System\CurrentControlSet\Services\rsEngineSvc DeleteFolder: C:\ProgramData\Reason DeleteFolder: C:\ProgramData\RAV DeleteFolder: "C:\Program Files (x86)\Reason Security" DeleteFile: C:\Windows\System32\drivers\ravmon.sys EmptyTemp: Reboot:
Salva il file, riapri FRST e premi “Fix”. Il PC riavvia, elimina le voci specificate e produce Fixlog.txt. Se alla successiva esecuzione di Autoruns non compaiono più elementi RAV, la componente PUA è sparita.
4 – Scoprire l’infezione W32/Expiro
Dopo la rimozione di RAV, Defender potrebbe segnalare decine di exe/dll infetti, spesso con diciture “Win32/Expiro.A” o varianti. Indizi tipici:
- hash di sistema cambiati (
sfc /scannowrestituisce “file corrotti impossibili da riparare”); - programmi di terze parti (es.: Steam, Browser) non si avviano o crashano subito;
- in Task Manager appaiono processi figli con nome simile a “explorer.exe (2)”.
Expiro appende il proprio codice a ogni eseguibile aperto in scrittura, incluso services.exe, svchost.exe, winlogon.exe. Non è sufficiente sostituire i binari di sistema: basterebbe avviare un .exe infetto rimasto in un backup per reiniziare il contagio. Conclusione: serve una reinstallazione “from scratch”.
5 – Reinstallare Windows da zero (metodo sicuro)
- Creare il supporto
Su un computer pulito lancia il Media Creation Tool, seleziona la stessa edizione/licenza (Home, Pro) e genera una chiavetta USB avviabile. - Backup selettivo
Copia SOLO documenti, foto, video, progetti in cloud o su disco esterno. Non salvare eseguibili, archivi zip con software, script .bat, macro .xlsm. - Formattazione
Avvia da USB, scegli “Installa ora”, quindi “Personalizzata (opzione avanzata)”. Cancella TUTTE le partizioni del disco di sistema e ricreale. - Installazione offline
Completa il setup senza collegarti a Internet: riduci il rischio di download automatici di driver dubbi. Aggiungi la rete solo a installazione conclusa. - Aggiornamenti & driver
Dopo il primo desktop esegui Windows Update finché non segnala “Nessun aggiornamento disponibile”. Installa i driver mancanti dal sito ufficiale del produttore. - Importa i dati
Analizza i file copiati con Defender + antimalware on‑demand (ad es. Microsoft Safety Scanner, Kaspersky Virus Removal Tool) prima di ripristinarli. - Cambia password e attiva 2FA
I malware file‑infector spesso rubano cookie e credenziali. Aggiorna login Microsoft, e‑mail, social, banche, e abilita l’autenticazione a due fattori dove possibile.
6 – Prevenzione: buone pratiche per non ricadere nel problema
- Windows genuino – Evita ISO “super‑lite”, “debloat”, “pre‑attivate”: contengono spesso loader o componenti adware. Installa la release ufficiale, poi rimuovi manualmente le app non desiderate (O&O AppBuster, Dism++ sono open‑source e trasparenti).
- Antivirus sempre attivo – Windows Defender è migliorato; in alternativa scegline uno di fascia enterprise con licenza valida. Disattivare l’antivirus per installare software pirata è l’equivalente digitale di togliere l’allarme di casa.
- Backup 3‑2‑1 – Mantieni tre copie dei dati, su due supporti diversi, una off‑line/off‑site. Un’immagine periodica del disco (Macrium Reflect, Veeam Agent) permette il ripristino in ore, non in giorni.
- Patch rapide – Abilita gli aggiornamenti automatici di Windows, browser e componenti runtime (Java, .NET, Visual C++ Redistributable). Le vulnerabilità zero‑day non aspettano.
- Filtro SmartScreen + reputazione file – Lascia abilitati i controlli di download nei browser moderni; bloccano buona parte dei trojan diffusi via cloud storage “usa & getta”.
Domande frequenti (FAQ)
Posso rimuovere Expiro senza formattare?
Sulla carta sì: servirebbe un antivirus “disinfettore” capace di estrarre il payload e ricostruire la sezione infetta di ogni exe/dll. Nella pratica, anche i laboratori AV preferiscono consigliare la reinstallazione: più rapida, sicura e garantita.
Che differenza c’è tra RAV Endpoint e Reason Labs?
RAV Endpoint è il motore AV di ReasonLabs re‑brandizzato per OEM. Su PC consumer appare spesso come componente “bundle” di installer non ufficiali. Non è un rootkit avanzato, ma il suo autoripristino lo rende fastidioso da rimuovere.
Autoruns è pericoloso se disabilito voci sbagliate?
Disabilitare non è lo stesso che eliminare: spunta gialla = elemento ignorato al boot. In caso di errore riattivalo, riavvia e tutto torna come prima. Evita però di toccare voci Microsoft firmate se non sai cosa stai facendo.
Conclusione
La sequenza Autoruns » FRST » Fixlist » Reinstallazione risolve in modo definitivo la combinazione RAV Endpoint Protection + W32/Expiro, ripristinando un ambiente Windows integro e performante. Investire qualche ora in una reinstallazione pulita vale più di giorni spesi a rincorrere file infetti. Dopo il ripristino, adotta software legittimo, backup regolari e aggiornamenti puntuali: sono il miglior vaccino contro PUA, trojan e varianti di virus file‑infector.