In breve, navigando su determinati siti (i motori di ricerca ne hanno indicizzati centinaia) gli utenti scaricano il Downloader Trojan, che si infila come file temporaneo nella cartella Temporary Internet Files, con un nome tipo img[1].
Symantec rileva il virus ma al 90% non lo elimina nè mette in quarantena, bensì ne nega l'accesso. In questo momento l'utente trova nell' Esecuzione Automatica l'eseguibile W32.exe e un file *.dll del tipo (C:\WINDOWS\system32\fxaa.dll) appunto nella cartella System32. Il file non ha sempre lo stesso nome, ma ne ho trovati di 2 o 3 tipi.
Cosa accade: l'utente non riesce a navigare in alcune parti dell'intranet o internet, oppure ancora i pulsanti d'azione di alcune pagine web non funzionano, mandando in stallo iexplore.exe
Soluzione da verificare, dato che alcuni utenti più scafati hanno risolto autonomamente e l'idea che mi son fatta è la seguente:
1) Eliminare tutti i file temporanei internet, anche il contenuto non in linea.
Oppure
1) Rebootare
2) Scansionare con Symantec, dato che il file ora non è in uso (a causa dell'Accesso Negato dato da Symantec in precedenza) e l'AV riesce a rimuoverlo.
Da un lato più tecnico:
1) Scansionare con HiJackThis che troverà il file .dll segnalandolo come BHO e talvolta anche il processo allo startup w32.exe
2) Svuotare cartella Temp e cartella Temporary Internet Files relative all'utente infetto.
3) Installare Spybot versione 1.4 aggiornarlo ed attivare l'immunizzazione. Non so se serva, ma aiuta di sicuro.