RISOLTO Problema Trj windows sirefef

[gianchilo]

Salve a tutti sono un nuovo utente, che è capitato su questo forum tramite ricerca della soluzione al seguente problema: da un po' di tempo il mio antivirus Avast mi segnala la presenza di trojan sifef; quando vado a fare la scansione del sistema mi trova dei virus che prontamente elimino. Puntualmente pero ritorna l'avviso di avast che è presente il trj sirefef. Ho provato ad usare malawarebytes ma il problema persiste quindi ho scaricato e fatto partire combofix (di cui allego il file txt) pero non riesco a capire se è riuscito ad eliminarmi il virus. Mi rimetto a voi nella speranza di capire xD

ComboFix.txt

grazie mille in anticipo delle risposte

 

[tecnico24]

Ciao e benvenuto.
Fai una scansione con OTL e posta i due report in allegato:
http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html

 

[gianchilo]

Grazie mille per l'aiuto :) questi sono i due report:
OTL.Txt
Extras.Txt

 

[tecnico24]

Ciao.
Disattiva Avast permanentemente dalla traybar.
Chiudi tutti i programmi aperti
Apri OTL
sotto il box custom scans / fixes
copia questo codice:

:OTL
MOD - C:\Users\GIANCA~1\AppData\Local\Temp\Sound_Blaster_X-Fi_MB_Cleanup.0001.dir.0000\~de6248.tmp ()
MOD - C:\Users\GIANCA~1\AppData\Local\Temp\Sound_Blaster_X-Fi_MB_Cleanup.0001.dir.0000\~df394b.tmp ()
DRV - (VGPU) -- System32\drivers\rdvgkmd.sys File not found
DRV - (catchme) -- C:\Users\GIANCA~1\AppData\Local\Temp\catchme.sys File not found

:Files
C:\Windows\Installer\{a83e5784-4c79-193e-f7ee-901b9cc3340a}\L
C:\Windows\Installer\{a83e5784-4c79-193e-f7ee-901b9cc3340a}\U
C:\Windows\System32\config\systemprofile\AppData\Local\{a83e5784-4c79-193e-f7ee-901b9cc3340a}\@
C:\Windows\System32\config\systemprofile\AppData\Local\{a83e5784-4c79-193e-f7ee-901b9cc3340a}\L
C:\Windows\System32\config\systemprofile\AppData\Local\{a83e5784-4c79-193e-f7ee-901b9cc3340a}\U
C:\Windows\assembly\Desktop.ini

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*" 


:commands
[emptytemp]
[EMPTYFLASH]
[CLEARALLRESTOREPOINTS]
[Reboot]

Clicca in alto sul pulsante RUN FIX
aspetta il riavvio del pc
Al ritorno posta il log che ti appare.

Riattiva Avast , esegui una scansione completa e verifica se ha trovato qualcosa.

 

[gianchilo]

fatto ora procedo con la scansione, nel frattempo questo è il log
01202013_174611.log

edit: sta facendo la scansione e per il momento mi ha trovato 2600 file infetti... ma è veramente possibile? quando l'ho fatta stamattina me ne dava uno quello gia citato prima.

 

[tecnico24]

Quale virus ti trova?sempre sirefef?
ti consiglio vivamente di disinstallare avast e di mettere avira.
Esegui Malwarebytes eliminando le minaccie individuate come da istruzioni
http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html

 

[gianchilo]

mi ha trovato 8000 file infetti,tra cui sirefef, dopo averli eliminati stamattina ho rifatto la scansione e non ne ha trovato nessuno posso sperare di non averlo piu? ora scarico e uso malwarebytes

 

[tecnico24]

Aspetto il responso di malwarebytes , ricordati di allegare il log.

 

[gianchilo]

mi ha trovato solo un malware ma sembra che per il resto sia tutto ok quindi credo di poter sperare di aver risolto tutto,comunque questo è il log mbam-log-2013-01-21 (15-28-36).txt
nel caso sia andato tutto bene ti ringrazio infinitamente per l'aiuto datomi anche se non so come poterlo ripagare, grazie mille davvero. In caso non vada ancora bene mi rimetto sempre nelle tue mani

 

[tecnico24]

Ciao.
Vorrei capire se effettivamente il pc è in ordine , quindi rifai una scansione con OTL e posta i due report.

 

[gianchilo]

eccoli:
OTL.Txt
Extras.Txt

 

[tecnico24]

Sirefef(ZeroAccess) non c'è più.
Rimane da eliminare solo questa cartella
C:\Users\Giancarlo\AppData\Roaming\xsecva

lì risiede un Trojan.

Fatto ciò , apri OTL e clicca in alto su Cleanup per rimuoverlo.
Ti raccomando , qualora fossero disponibili , di eseguire gli aggiornamenti windows , di effettuare scansioni periodiche con malwarebytes e di stare attento nella navigazione.
In genere le varianti di questo rootkit danneggiano file e servizi di windows , ma da come ho capito non riscontri nessun problema quindi direi che abbiamo terminato qui.

 

[Samson]

Ciao!
Anche io sono nuovo e anche io come gianchilo sono arrivato qui grazie a una ricerca google.
Ho il suo stesso problema: ho "contratto" il virus sirefef e non riesco a toglierlo.
Provato con dr Web e con malwarebites. Il primo mi ha rilevato 3 file infetti tra cui desktop.ini (che è relativo al trojan sirefef) e un virus che dice che sta nella memoria operativa, l'altro invece nulla.
Allego il log dello scan fatto con OTL...
Spero davvero di risolvere sta grana :)

- - - Updated - - -

Niente, ho risolto ragazzi! Ho trovato un tool di symantec chiamato zeroaccess. L'ho fatto partire e ora sembra tutto perfetto.
Grazie in anticipo!