Originariamente inviato da wdm
Virit ha identificato questo virus:
Trojan.Win32.Agent.ASJ
nel file c:\Windows\SYSTEM\1\svchost.exe
non è riuscito a rimuoverlo perché considerato file di sistema in uso.
Inoltre mi ha segnalato come file sospetto \\?\c:\Windows\SYSTEM32\COM4.MUH
Inoltre con Startup Manager di Advanced System Optimizer (asov) ho trovato questo responso su c:\Windows\SYSTEM\1\svchost.exe presente in memoria all'avvio:
System 1060 homepage hi-jacker. Found in a Windows\System\1060 directory.NOTE:
This is not the valid svchost.exe as described here
Eseguendo ricerche sul sistema, questo file risulta più grande di quello valido e creato il giorno in cui sono iniziati i problemi, mentre sotto c:\Windows\System32 sembra esserci quello valido (più piccolo e creato il giorno di prima installazione di windows)
Pensavo di provare a modificare la chiave relativa del registro HKEY_LM\Run, farlo puntare al file valido, poi provare con Virit a vedere se riesce a rimuoverlo perché non lo considera più un file di sistema: faccio bene, faccio danni o è inutile perché si ricarica da solo? Prima di intervenire volevo sentire i vostri consigli.
Valori del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:
c:\windows\system32\userinit.exe,"c:\windows\syste m32\toshibaspeed.exe",
Preciso inoltre che tutti programmi di scansione della memoria o interfacce utente di antivirus vanno in crash, probabilmente perché il Trojan è mascherato da servizio di Windows (quindi sia l'interfaccia Utente di Virit, sia HiJackThis, taskmgr di Windows, dTaskmanager, avenger...)
Inoltre ho lanciato FindAWF, l'esito del log è:
bak folders found
~~~~~~~~~~~
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
end of report
(non riporta quali sono le cartelle bak)
Il programma termina in errore, che sono riuscito a intercettare:
Searching for duplicate files
Please wait
Impossibile trovare il file C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\FindAWF\bakfile s.
txt.
Che consigli mi date?
Almeno adesso sappiamo con chi abbiamo a che fare...