UFFICIALE Rimozione Rootkit zero access - postate qui se siete infetti

[uptheirons84]

Ho fatto una scansione con Aswmbr, ecco il log.

aswMBR.txt

 

[tecnico24]

Niente.

Scarica OTL:
http://oldtimer.geekstogo.com/OTL.exe
Salvalo sul desktop ed avvialo.
Metti la spunta rispettivamente su
Scan all users
Processes :Use safe list
Services :Use safe list
Standard Registry :All
Modules :All
Drivers : All

Seleziona All su Files createdwithin e File modified within
Clicca sul pulsante Run scan ed attendi la scansione.
Posta nel forum i log :
OTL.txt ed Extras.txt

Posta anche il log di Junction.

 

[uptheirons84]

Ecco il log di Junction.
Junction.txt

---------- Post added at 20:32 ---------- Previous post was at 20:22 ----------

Ed ecco anche i log di OTL.

Extras.Txt
OTL.Txt

 

[maxthewizard]

ecco il log di aswmbr
Wikisend: free file sharing service
ora cerco di fare il resto...

 

[maxthewizard]

junction in modalità provvisoria è partito, ecco il log
Wikisend: free file sharing service

 

[tecnico24]

@Maxthewizard
Scarica the Avenger:

http://swandog46.geekstogo.com/avenger.zip

Estrai ed avvia avenger.exe

Nella schermata Input script Here , inserisci queste righe in grassetto:

Files to delete:
C:\Users\max\AppData\Local\temp\755122.exe
C:\Users\max\AppData\Local\temp\759896.exe
C:\Users\max\AppData\Local\temp\764841.exe
C:\Users\max\AppData\Local\temp\775808.exe
C:\Users\max\AppData\Local\temp\779490.exe
C:\Users\max\AppData\Local\temp\782235.exe
C:\Users\max\AppData\Local\temp\786323.exe

Folders to delete:
C:\Users\max\AppData\Roaming\Rapyy\


Leva la spunta da scan for rootkit
clicca su Excute e procedi fino al riavvio
Al termine riposta il log di Avenger.

Scarica Everything shearch engine
Everything Search Engine
Installalo e nello spazio vuoto digita:
C:\WINDOWS\$NtUninstallKB
verifica se c'è questa cartella sopra citata però con la $ finale.

@uptheirons

Stesse istruzioni di avenger , però da inserire è ciò:

Files to delete:
C:\Windows\PEV.exe
C:\Windows\MBR.exe
C:\Windows\sed.exe
C:\Windows\grep.exe
C:\Windows\zip.exe

Folders to delete:
C:\Windows\temp

Al Riavvio inviaci il log delle operazioni effettuate.

Rieffettua la scansione con TDSS Killer seguendo le istruzioni della guida in rilievo , postando il relativo log.
Qualora rilevasse un file infetto ricorda di selezionare l'azione Cure

 

[maxthewizard]

allora ho girato avenger, ha levato tutto, poi l'ho rigirato e ho per sbaglio sovrascritto il log...cmq dovrebbe essere confortante, non trova più quella roba :)
Wikisend: free file sharing service
la cartella che hai scritto, c'è, e appare vuota...

 

[uptheirons84]

Scaricato ed eseguito Avenger, ecco il log.

Avenger.txt

Eseguito anche TDSS Killer, ecco il log.

TDSS Killer.txt

Nessun file infetto rilevato, i sintomi però persistono.

 

[tecnico24]

@maxthewizard
Quindi ha visualizzato la cartella :
C:\WINDOWS\$NtUninstallKBsigla$
?
risulta vuota?
@uptheirons
Sicuro che combofix non vada in conflitto con qualche programma?hai disattivato antivirus , firewall e quant'altro?

 

[uptheirons84]

@uptheirons
Sicuro che combofix non vada in conflitto con qualche programma?hai disattivato antivirus , firewall e quant'altro?

L'ho avviato più volte disconnettendomi dalla rete e poi chiudendo Kaspersky Internet Security. Che faccio, riprovo con Combofix?
Ah, grazie dell'interessamento, eh...:)

 

[maxthewizard]

ti giro la schermata in questione con le cartelle trovate
Wikisend: free file sharing service
poi se clicco sopra la principale, in esplora risorse mi appare vuota, ma in effetti le sottocartelle le ha...

 

[tecnico24]

@Maxthewizard

Scaricati Grantperms.zip:
http://download.bleepingcomputer.com/farbar/GrantPerms.zip
Estrai il file .zip e doppio click su Grantperms.exe
Copia | incolla:
C:\Windows\$NtUninstallKB62280$
Clicca su Unlock , attendi fino a cliccare su Ok.
Posta il log generato in List permission.

Scarica DUMMYCreator
http://download.bleepingcomputer.com...mmyCreator.zip
Estrai il file Dummycreator.zip sul desktop e doppio click su dummycreator.exe
per avviare il tool.Copia |incolla :
C:\Windows\$NtUninstallKB62280$
Premi sul pulsante Create.

Scarica OTL.exe sul desktop:
http://oldtimer.geekstogo.com/OTL.exe
avvialo.

Nel box bianco in basso , copia | incolla:

:Services
:Processes
KILLALLPROCESSES
:Files
C:\Windows\$NtUninstallKB62280$

Clicca sul pulsante RUN FIX ed attendi il riavvio.

Riprova ad avviare combofix: sia in modalità normale che in quella provvisoria , attendi pazientemente , può durare a lungo.
Se ti chiede di riavviare accetta il riavvio.

---------- Post added at 22:15 ---------- Previous post was at 22:08 ----------

L'ho avviato più volte disconnettendomi dalla rete e poi chiudendo Kaspersky Internet Security. Che faccio, riprovo con Combofix?
Ah, grazie dell'interessamento, eh...:)

Scarica Everything shearch engine
Everything Search Engine
Installalo e nello spazio vuoto digita:
C:\WINDOWS\$NtUninstallKB
verifica se c'è questa cartella sopra citata però con la $ finale.

 

[uptheirons84]

Scarica Everything shearch engine
Everything Search Engine
Installalo e nello spazio vuoto digita:
C:\WINDOWS\$NtUninstallKB
verifica se c'è questa cartella sopra citata però con la $ finale.

Allora...

Installato ed eseguito Everything.
Digitando C:\WINDOWS\$NtUninstallKB mi trova le seguenti cartelle:

C:\Windows\$NtUninstallKB51559$
C:\Windows\$NtUninstallKB51559$\2002207183
C:\Windows\$NtUninstallKB51559$\2002207183\L
C:\Windows\$NtUninstallKB51559$\2002207183\U

Tutte le cartelle sono vuote.

Se invece digito C:\WINDOWS\$NtUninstallKB$ come da te indicato non trova nulla.

 

[tecnico24]

Allora...

Installato ed eseguito Everything.
Digitando C:\WINDOWS\$NtUninstallKB mi trova le seguenti cartelle:

C:\Windows\$NtUninstallKB51559$
C:\Windows\$NtUninstallKB51559$\2002207183
C:\Windows\$NtUninstallKB51559$\2002207183\L
C:\Windows\$NtUninstallKB51559$\2002207183\U

Tutte le cartelle sono vuote.

Se invece digito C:\WINDOWS\$NtUninstallKB$ come da te indicato non trova nulla.

Non importa , l'importante è che finisce in $...il numero o la cartella varia da infezione a infezione.

Scaricati Grantperms.zip:
http://download.bleepingcomputer.com...GrantPerms.zip
Estrai il file .zip e doppio click su Grantperms.exe
Copia | incolla:
C:\Windows\$NtUninstallKB51559$
Clicca su Unlock , attendi fino a cliccare su Ok.
Posta il log generato in List permission.

Scarica DUMMYCreator
http://download.bleepingcomputer.com...mmyCreator.zip
Estrai il file Dummycreator.zip sul desktop e doppio click su dummycreator.exe
per avviare il tool.
Copia |incolla :
C:\Windows\$NtUninstall​KB51559$
Premi sul pulsante Create.

Apri OTL
Nel box bianco in basso , copia | incolla:

:Services
:Processes
KILLALLPROCESSES
:Files
C:\Windows\$NtUninstallKB51559$

Clicca su RUN FIX fino al riavvio.
Riprova ad avviare combofix sia da modalità normale che provvisoria.

 

[uptheirons84]

Non importa , l'importante è che finisce in $...il numero o la cartella varia da infezione a infezione.

Scaricati Grantperms.zip:
http://download.bleepingcomputer.com...GrantPerms.zip
Estrai il file .zip e doppio click su Grantperms.exe
Copia | incolla:
C:\Windows\$NtUninstallKB51559$
Clicca su Unlock , attendi fino a cliccare su Ok.
Posta il log generato in List permission.

Scarica DUMMYCreator
http://download.bleepingcomputer.com...mmyCreator.zip
Estrai il file Dummycreator.zip sul desktop e doppio click su dummycreator.exe
per avviare il tool.
Copia |incolla :
C:\Windows\$NtUninstall​KB51559$
Premi sul pulsante Create.

Apri OTL
Nel box bianco in basso , copia | incolla:

:Services
:Processes
KILLALLPROCESSES
:Files
C:\Windows\$NtUninstallKB51559$

Clicca su RUN FIX fino al riavvio.
Riprova ad avviare combofix sia da modalità normale che provvisoria.

Fatto tutto, ho avviato Combofix in modalità normale. A fine scansione, ha riavviato il pc e mi ha generato questo log.

Combofix.txt

La novità è che non mi ha segnalato più di aver rilevato il rootkit zero access e che la scansione è andata avanti normalmente.

Il problema però c'è ancora, c'è sempre quel processo svchost.exe in Gestione attività e Windows Update che non va. Un appunto: ho notato che se mi disconnetto il suddetto processo scompare, salvo poi ricomparire non appena mi riconnetto.