Ho beccato sto @]]§°*é^^? e adesso il computer non funziona più correttamente: è lentissimo explorer non copia più , non cerca più , il ripristino di sistema non parte più e l'antivirus (Norton aggiornato) nemmeno.

Il bello è che il file in questione l'ho dovuto trovare a mano andando a ritroso, perchè solo due antivirus lo riconoscono ArcaVir e NOD32, tutti gli altri non lo vedono.
Chi ne parla come symantec, ne parla come un piccolo spyware di poca importanza, ma vi assicuro che a me ha fatto male.

Ha creato la dir sistem32\vchost e c'ha piazzato dentro un vchost fasullo e un .ocx altrettanto che richiama dal run del registro.
Naturalmente l'ho cancellato (sia lui che il richiamo) ma non basta perchè sicuramente ha sovrascritto qualche file della system32 e della system32\dllcache dato che sono state modificate nel preciso istante dell'infezione.

Questo è quello che per ora ho scoperto da solo.

Nessun altro ha avuto sta rogna ?

Help !!!

ciao, puoi mandarmi il file A~NSISU.exe al mio indirizzo inviaqui@email.it ???

ciao e grazie.

Posta un log di hijackthis nel thread in rilievo.

Posta un log di hijackthis nel thread in rilievo.
quoto,non dovrebbe essere difficile da cazziare

X MrOZ
Non ho il file bast*****, però ho il file che lo genera nella cartella temp perchè l'originale è stato spazzato via da un primo tentativo di pulizia e poi non ho più rilanciato il file infetto per averne un'altra copia.
Manderò comunque quello ripieno che disassemblato ha delle routine a dir poco evidenti (persino a me) che generano l'A-NSISU.EXE nella dir temp e poi lo lanciano.
Scusa il ritardo perchè farò un po' di fatica (visto che il mio PC è in stallo) ma te lo mando di sicuro.

ascolta io quel file li me lo sono trovato nella cartella dei file temporanei dopo aver installato dvddecrypter o il gioco need for speed underground 2 ora non ricordo quale dei due ,percaso hai installato uno di questi 2 programmi?comunque io non ho avuto problemi ,comunque il nome era uguale perchè me l'ero scritto (prima di toglierlo)x curiosità.ciao

ascolta io quel file li me lo sono trovato nella cartella dei file temporanei dopo aver installato dvddecrypter o il gioco need for speed underground 2 ora non ricordo quale dei due ,percaso hai installato uno di questi 2 programmi?comunque io non ho avuto problemi ,comunque il nome era uguale perchè me l'ero scritto (prima di toglierlo)x curiosità.ciao
infatti il file è di need for speed 2 ;)

il log è pulito,come immaginavo quel file dovrebbe essere un falso positivo;)

Il falso positivo.... mi ha segato la macchina.
Ti auguro i non trovare "falsi positivi" come è capitato a me, altrimenti capiresti di cosa parlo.
Comunque grazie

fai cosi:esegui need for speed 2(se lo hai installato)e ewido(dopo averlo aggiornato)assieme,il pc andrà un pò lento però almeno ti assicuri che mi sto sbagliando io;)

Come faccio a provare a lanciare questo o quello se il PC è segato ?
Non funziona più niente, Antivirus compresi, Taglia incolla ecc ecc il classico effetto worm.blaster

Comunque (con un altro PC) ho trovato un AV che l'ha riconosciuto.
Sul file in questione ArcaVir mi ha risposto così:
Infestato da :Adware.Sahat.F

ciao

Come faccio a provare a lanciare questo o quello se il PC è segato ?
Non funziona più niente, Antivirus compresi, Taglia incolla ecc ecc il classico effetto worm.blaster

Comunque (con un altro PC) ho trovato un AV che l'ha riconosciuto.
Sul file in questione ArcaVir mi ha risposto così:
Infestato da :Adware.Sahat.F

ciao
aspetta...un conto è parlare di worm blaster,ben diverso da un qualsiasi ad-ware,stanne certo :D
prova a vedere se qui (http://shield.prevx.com/pxparall.asp?PXC=baaf109374) può esserci qualcosa che t'interessa ;)

altra cosa:prova in qualche modo a eseguire hijackthis,magari rinominando l'eseguibile....dovremmo riuscire a rimuoverlo senza troppi problemi ;)

i file infetti dovrebbero essere "C:\WINDOWS\system32\lsp.dll" più qualche altro nella cartella temp e temporany internet files