Virus BAT/Ftp.GT rilevato, eliminato, ma torna!

[Gas75]

Salve,
la prima volta mi sono limitato a verificare con VirusTotal, e a eliminare, ora chiedo lumi a voi visto che il problema si è ripresentato.

La storia è questa: a un certo punto della mia sessione di lavoro, l'hard disk inizia a girare come se stesse caricando qualcosa, e poi il suono di Avira mi rileva il virus BAT/Ftp.GT, localizzato in un file sotto Windows/System32...
Prima di procedere ho disattivato Avira per poter inviare il file a VirusTotal, avendo conferma dal 44% degli antivirus che si tratta di un trojan chiamato in modo diverso da ognuno di essi, ma cmq riconosciuto...
Ho quindi eliminato il file da Avira.
Poco fa di nuovo: hard disk che inizia a girare, suono di Avira e virus BAT/Ftp.GT rilevato sempre in System32, ma su un file differente.

Domanda: ora mi metto a scansionare con Malwarebytes (ultima scansione con esso risalente a 4 giorni fa), ma qualora non risolvessi, come mi sbarazzo di questo virus?

[menatwork]

Buonasera

controlliamo il sistema piu' a fondo

disattiva avira

scarica combofix sul desktop
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

[Gas75]

Okay, scaricato...

Lo lancio appena termino la scansione con Clam che, secondo quanto trovato in Rete, dovrebbe rilevarlo, ammesso che sia lo stesso (non ho un file aa.exe in C: come dice la fonte trovata...).
Malwarebytes intanto non ha rilevato nulla.

Aggiorno appena ho il report di Combofix.
Stacco la connessione mentre scansiona?

[menatwork]

si disconnettiti e non toccare niente durante la scansione, ne' mouse, tastiera o altro

[Gas75]

Ho avuto qualche problema a far partire Combofix... Continua a vedere la protezione di Avira attiva, sebbene non lo sia...
Ritento domattina che ho più tempo.

Intanto anche Clam non ha trovato nulla... Troppo bello che avessi un problema semplice!

[Gas75]

Ecco qua...
http://www.upload-drive.com/file/9159/ComboFix-txt.html

[menatwork]

Buongiorno Gas75

ho controllato il rapporto ma sembrerebbe pulito, non c'e' nessuna traccia dell'infezione da te citata....semmai prova a fare nuovamente una scansione con avira e vedi cosa rileva

ora esegui questo

rimuovi combofix con OTC by OldTimer

eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI


fai un po' di pulizia

scarica ccleaner

In fase d’installazione togli la spunta altrimenti viene installata Yahoo Tollbar.
Avvialo e clicca su:
- Opzioni Avanzate
Togli la spunta da:
- Elimina file solo se più vecchi di 48 ore
Clicca i tasti:
- Pulizia (il primo in alto a Sinistra)
- Analizza ( Pulsante in basso Centrale)
- Avvia Pulizia (Pulsante in basso a Destra)

clicca su Registro, nella pagina successiva clicca Trova problemi, poi al termine dello scan clicca su Ripara selezionati , risposndi di sì alla richiesta di salvare il backup (salvalo in una cartella a piacimento) poi ripara tutti gli elementi trovati.


scarica Atfcleaner


Avvia ATFCleaner.exe con un doppio click

1) seleziona la casella Select All
2) clicca sul pulsante Empty selected
3) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)



Posta un log di hijackthis per una verifica

[Gas75]

OTC mi ha fatto casini...
Al riavvio mi ha tolto il mio firewall dalla systray facendo apparire lo scudo di protezione di Windows.
Come faccio a rimettere le cose com'erano? :master:

Cclenaer lo uso regolarmente...
Il resto lo provo nel pomeriggio, se prima riesco a rimettere il firewall...

[menatwork]

e' la prima volta che capita una cosa del genere... :master:

Prova a cliccare col destro sulla barra delle applicazioni e poi scegli proprietà. In fondo c'è l'opzione per personalizzare la visualizzazione delle icone vicino all'orologio.

[Gas75]

Ho risolto dal Centro sicurezza, disattivando tutte le notifiche... PC Tools Firewall è riapparso da solo.

e' la prima volta che capita una cosa del genere

In fatto di stravaganze informatiche, sono un collezionista di "prime volte".

Tornando a noi, può essere che il virus me lo sono preso due volte, visto che non ve n'è traccia dopo l'azione di Avira e di altre scansioni alternate? :master: