Dopo essermelo beccato durante la prima epidemia (fine dicembre, con tanto di 2 gennaio passato a formattare...), oggi scopro di averlo ancora (o forse è meglio dire "di nuovo").

Il defense+ (modulo HIPS) di Comodo mi ha avvisato di aver isolato svchost perché soggetto a (o causa di, non ricordo) un attacco shellinjection buffer overflow (non chiedetemi cosa sia :D)

Se gli faccio terminare il processo, mi scompare il tema di win e mi viene quello bruttissimo stile win2000, mi si disconnette il pc dalla rete ecc (insomma tutti i servizi dipendenti da quell'istanza di svchost vengono terminati)
Se lo faccio continuare, esce subito fuori un popup del Guard di Antivir (free, v.9) che mi rileva come infetto il file C:\WINDOWS\system32\x
Lo invio prontamente a Virustotal, e questo è il responso, disastroso:

https://www.virustotal.com/it/analisis/cb94bb00afa6e0423c1b7a19ca078a88

Ditemi da dove devo iniziare, per ora scrivo da ubuntu e mi tengo le :ciapet: parate :D

Grazie

Ciao segui questa procedura:


1 Disabilita il ripristino configurazione sistema -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

2 Fai pulizia con ATF Cleaner -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

3 Scarica questo Tool f-downadup (ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip) sul DeskTop scompattalo direttamente nella Directory C:\
Da Start - Esegui - digita f-downadup.exe --disinfect e clicca su OK
Attendi pazientemente ed al termine riavvia il PC, il log per il controllo lo trovi in C:\Windows\temp

4 Fai girare questo tool -> Download e Info (http://www.bdtools.net/how-to-remove-downadup.php)

5 Fai girare questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

6 Scansione completa con A-Squared come indicato qui -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 3


NB: è assolutamente consigliato scaricare i tool sopra indicati e seguire la procedura offline

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598) --> dove troverai le modalità per allegare i log

Allora:

Ciao segui questa procedura:


1 Disabilita il ripristino configurazione sistema -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

2 Fai pulizia con ATF Cleaner -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

fatto


3 Scarica questo Tool f-downadup (ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip) sul DeskTop scompattalo direttamente nella Directory C:\
Da Start - Esegui - digita f-downadup.exe --disinfect e clicca su OK
Attendi pazientemente ed al termine riavvia il PC, il log per il controllo lo trovi in C:\Windows\temp

fatto, in modalità non interattiva (quindi solo scansione senza disinfezione). Mi ha detto che il pc è pulito. Ecco il log:
Ok Loading BitDefender Engines
State 0
Sleeping 3 seconds...
Found so far : 0x0 files/regs
Searching for Downadup file ....
- System folder
- Temporary folder
tkown -> C:\DOCUME~1\Andrea\IMPOST~1\Temp\ICACHE-14B5B6BB.tmp
tkown -> C:\DOCUME~1\Andrea\IMPOST~1\Temp\ILIST-28CAE025.tmp
tkown -> C:\DOCUME~1\Andrea\IMPOST~1\Temp\pxvC.tmp
tkown -> C:\DOCUME~1\Andrea\IMPOST~1\Temp\pxvD.tmp
tkown -> C:\DOCUME~1\Andrea\IMPOST~1\Temp\pxvE.tmp
- Program Files
- Application Data
Found so far : 0x0 files/regs
No Traces of Downadup Worm were found



4 Fai girare questo tool -> Download e Info (http://www.bdtools.net/how-to-remove-downadup.php)

5 Fai girare questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Log:
ComboFix_1237827793759_61.txt (http://freefilehosting.net/download/4681g)

Non sono riuscito a disattivare del tutto Antivir (ho disattivato il guard ma il processo avguard.exe era ancora in esecuzione e non posso terminarlo a mano).


6 Scansione completa con A-Squared come indicato qui -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 3

Fallisce l'installazione nella creazione della cartella per la quarantena :boh:


NB: è assolutamente consigliato scaricare i tool sopra indicati e seguire la procedura offline

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598) --> dove troverai le modalità per allegare i log

Fatto anche questo, tutto offline

Grazie

Allega su uno dei Server Remoti indicati nelle Regole di sezione in firma un log di Gmer -> Punto 8 http://www.hwupgrade.it/forum/showthread.php?t=1599737

Allega su uno dei Server Remoti indicati nelle Regole di sezione in firma un log di Gmer -> Punto 8 http://www.hwupgrade.it/forum/showthread.php?t=1599737

http://www.mediafire.com/?sharekey=6494c46d5fbeca60c79b87b207592a1ce04e75f6e8ebb871

l'ultima riga (***hidden***) veniva segnalata in rosso e il menu contestuale non mi permetteva di fare nulla per tale oggetto :boh:

di asquared prova questa versione senza installazione
http://download1.emsisoft.com/a2usb.zip

Ho risolto (spero) formattando, ma ti ringrazio lo stesso.
Anzi ora che ho una versione no install magari lo uso, anziché tenere il setup in disparte e non chiamarlo mai in causa salvo casi disperati :D

:)