877740455.exe e TRCryptXPACKGen??

[cldparisi]

Buongiorno,
sicuramente il mio pc è stato infettato da un virus, anzi l’ho infettato perché queste cose non succedono da sole, ma andiamo con ordine.
Ho scaricato dal mulo un file rar, lo decomprimo faccio la scansione della cartella con Avira e mi risulta pulita a quel punto faccio l’errore e invece di lanciare l’eseguibile su una virtuale lo lancio sul pc, rimango in attesa un paio di secondi e a quel punto il file sparisce apro Task Manager e vedo il processo:

1488891595:877740455.exe con descrizione 877740455.exe

Prima cosa stacco il cavetto di rete.
Ovviamente provo a killarlo ma niente, così come non mi apre il percorso del file facendo tasto destro sul processo.
Provo a lanciare Process Explorer ma non me lo fa partire.
Provo ad attivare Guard di Avira non mi si attiva.
Lancio HijackThis mi parte, faccio la scansione ma quando la finisce mi si chiude in automatico e non mi ha creato il file di log come solitamente fa.
Ho riprovato le tre cose n volte… sempre con lo stesso risultato.

Avvio in modalità provvisoria e lancio una scansione del sistema con Avira che dura 4 o 5 ora, la mattina controllo e tra i vari falsi positivi ha beccato un file senza estensione con nome 1488891595 in C:\Windows, il tipo di virus segnalato è TRCryptXPACKGen. Lo faccio rimuovere e riavvio il pc credendo di aver risolto, come avvio vado in Task Manager e vedo nuovamente il processo 1488891595:877740455.exe, sono sempre gli stessi numeri non sono generati casualmente ogni volta e in C:\ Windows ha ricreato il file, provo a cancellarlo anche se tanto so che poi verrà ricreato ma come è prevedibile non me lo fa fare.

Torno in modalità provvisoria e lancio:
- Defogger.exe ma non fa nulla
- RKUnhookerLE.EXE scansiona ma non trova nulla
A questo punto torno in modalità normale e li lancio
- Defogger.exe non fa nulla
- RKUnhookerLE.EXE: come avvio la scansione si chiude e cosa che non mi aspettavo il file cambia icona (quella classica degli eseguibili) , provo rilanciarlo ma mi compare un messaggio di Windows che mi dice che probabilmente non ho le autorizzazioni per lanciarlo. Controllo le autorizzazioni e c’è Everyone che ha il controllo completo. La dimensione del file è identica a prima.
Torno in modalità provvisoria e RKUnhookerLE.EXE rimane con altra icona e quando lo lancio mi da sempre lo stesso errore, non posso ne eliminarlo ne sovrascriverlo. Per lanciarlo ne devo prendere un altra copia e metterla in un'altra cartella.
Per ora le mie prove sono finite qui perché sono dovuto venire al lavoro.
Ho ancora una copia dell’eseguibile che ho lanciato e ha scatenato tutto dopo Avira ho fatto la scansione anche con Symantec ma anche questo non me lo vede come file.
Una mia impressione visto che non viene visto come virus mi vien in mente che l’unica cosa che faccia sia disabilitare gli antivirus e scaricare il vero virus da qualche sito tanto che poi il file vien cancellato…. Ma è un’idea buttata lì.
Qualcuno ha qualche idea??

[cldparisi]

Primo aggiornamento: non copia nulla da internet ma “fa tutto lui” l’ho lanciato su una virtuale scollegata dalla rete e genera lo stesso il processo, il file e si cancella

[Chill-Out]

Ciao, fai girare questo tool http://anywhere.webrootcloudav.com/antizeroaccess.exe

Allega il log su uno dei Server Remoti indicati nelle Regole di sezione.

[cldparisi]

Ciao e grazie per l'aiuto.

Ho risolto prima di leggere la tua risposta facendo girare ComboFix

[Chill-Out]

Quote:

Originariamente inviato da cldparisi

Ciao e grazie per l'aiuto.

Ho risolto prima di leggere la tua risposta facendo girare ComboFix

Prego