UFFICIALE Rimozione Rootkit zero access - postate qui se siete infetti

Pubblicità
Niente.

Scarica OTL:
http://oldtimer.geekstogo.com/OTL.exe
Salvalo sul desktop ed avvialo.
Metti la spunta rispettivamente su
Scan all users
Processes :Use safe list
Services :Use safe list
Standard Registry :All
Modules :All
Drivers : All

Seleziona All su Files createdwithin e File modified within
Clicca sul pulsante Run scan ed attendi la scansione.
Posta nel forum i log :
OTL.txt ed Extras.txt

Posta anche il log di Junction.
 
@Maxthewizard
Scarica the Avenger:

http://swandog46.geekstogo.com/avenger.zip

Estrai ed avvia avenger.exe

Nella schermata Input script Here , inserisci queste righe in grassetto:

Files to delete:
C:\Users\max\AppData\Local\temp\755122.exe
C:\Users\max\AppData\Local\temp\759896.exe
C:\Users\max\AppData\Local\temp\764841.exe
C:\Users\max\AppData\Local\temp\775808.exe
C:\Users\max\AppData\Local\temp\779490.exe
C:\Users\max\AppData\Local\temp\782235.exe
C:\Users\max\AppData\Local\temp\786323.exe

Folders to delete:
C:\Users\max\AppData\Roaming\Rapyy\


Leva la spunta da scan for rootkit
clicca su Excute e procedi fino al riavvio
Al termine riposta il log di Avenger.

Scarica Everything shearch engine
Everything Search Engine
Installalo e nello spazio vuoto digita:
C:\WINDOWS\$NtUninstallKB
verifica se c'è questa cartella sopra citata però con la $ finale.

@uptheirons

Stesse istruzioni di avenger , però da inserire è ciò:

Files to delete:
C:\Windows\PEV.exe
C:\Windows\MBR.exe
C:\Windows\sed.exe
C:\Windows\grep.exe
C:\Windows\zip.exe

Folders to delete:
C:\Windows\temp

Al Riavvio inviaci il log delle operazioni effettuate.

Rieffettua la scansione con TDSS Killer seguendo le istruzioni della guida in rilievo , postando il relativo log.
Qualora rilevasse un file infetto ricorda di selezionare l'azione Cure

 
@maxthewizard
Quindi ha visualizzato la cartella :
C:\WINDOWS\$NtUninstallKBsigla$
?
risulta vuota?
@uptheirons
Sicuro che combofix non vada in conflitto con qualche programma?hai disattivato antivirus , firewall e quant'altro?
 
tecnico24 ha detto:
@uptheirons
Sicuro che combofix non vada in conflitto con qualche programma?hai disattivato antivirus , firewall e quant'altro?
Clicca per espandere...
L'ho avviato più volte disconnettendomi dalla rete e poi chiudendo Kaspersky Internet Security. Che faccio, riprovo con Combofix?
Ah, grazie dell'interessamento, eh...:)
 
@Maxthewizard

Scaricati Grantperms.zip:
http://download.bleepingcomputer.com/farbar/GrantPerms.zip
Estrai il file .zip e doppio click su Grantperms.exe
Copia | incolla:
C:\Windows\$NtUninstallKB62280$
Clicca su Unlock , attendi fino a cliccare su Ok.
Posta il log generato in List permission.

Scarica DUMMYCreator
http://download.bleepingcomputer.com...mmyCreator.zip
Estrai il file Dummycreator.zip sul desktop e doppio click su dummycreator.exe
per avviare il tool.Copia |incolla :
C:\Windows\$NtUninstallKB62280$
Premi sul pulsante Create.

Scarica OTL.exe sul desktop:
http://oldtimer.geekstogo.com/OTL.exe
avvialo.

Nel box bianco in basso , copia | incolla:
Codice: 
:Services
:Processes
KILLALLPROCESSES
:Files
C:\Windows\$NtUninstallKB62280$
Clicca sul pulsante RUN FIX ed attendi il riavvio.

Riprova ad avviare combofix: sia in modalità normale che in quella provvisoria , attendi pazientemente , può durare a lungo.
Se ti chiede di riavviare accetta il riavvio.

---------- Post added at 22:15 ---------- Previous post was at 22:08 ----------
uptheirons84 ha detto:
L'ho avviato più volte disconnettendomi dalla rete e poi chiudendo Kaspersky Internet Security. Che faccio, riprovo con Combofix?
Ah, grazie dell'interessamento, eh...:)
Clicca per espandere...
Scarica Everything shearch engine
Everything Search Engine
Installalo e nello spazio vuoto digita:
C:\WINDOWS\$NtUninstallKB
verifica se c'è questa cartella sopra citata però con la $ finale.
 
Ultima modifica:
tecnico24 ha detto:
Scarica Everything shearch engine
Everything Search Engine
Installalo e nello spazio vuoto digita:
C:\WINDOWS\$NtUninstallKB
verifica se c'è questa cartella sopra citata però con la $ finale.
Clicca per espandere...
Allora...

Installato ed eseguito Everything.
Digitando C:\WINDOWS\$NtUninstallKB mi trova le seguenti cartelle:

C:\Windows\$NtUninstallKB51559$
C:\Windows\$NtUninstallKB51559$\2002207183
C:\Windows\$NtUninstallKB51559$\2002207183\L
C:\Windows\$NtUninstallKB51559$\2002207183\U

Tutte le cartelle sono vuote.

Se invece digito C:\WINDOWS\$NtUninstallKB$ come da te indicato non trova nulla.
 
uptheirons84 ha detto:
Allora...

Installato ed eseguito Everything.
Digitando C:\WINDOWS\$NtUninstallKB mi trova le seguenti cartelle:

C:\Windows\$NtUninstallKB51559$
C:\Windows\$NtUninstallKB51559$\2002207183
C:\Windows\$NtUninstallKB51559$\2002207183\L
C:\Windows\$NtUninstallKB51559$\2002207183\U

Tutte le cartelle sono vuote.

Se invece digito C:\WINDOWS\$NtUninstallKB$ come da te indicato non trova nulla.
Clicca per espandere...

Non importa , l'importante è che finisce in $...il numero o la cartella varia da infezione a infezione.

Scaricati Grantperms.zip:
http://download.bleepingcomputer.com...GrantPerms.zip
Estrai il file .zip e doppio click su Grantperms.exe
Copia | incolla:
C:\Windows\$NtUninstallKB51559$
Clicca su Unlock , attendi fino a cliccare su Ok.
Posta il log generato in List permission.

Scarica DUMMYCreator
http://download.bleepingcomputer.com...mmyCreator.zip
Estrai il file Dummycreator.zip sul desktop e doppio click su dummycreator.exe
per avviare il tool.
Copia |incolla :
C:\Windows\$NtUninstall​KB51559$
Premi sul pulsante Create.

Apri OTL
Nel box bianco in basso , copia | incolla:


Codice: 
:Services
:Processes
KILLALLPROCESSES
:Files
C:\Windows\$NtUninstallKB51559$

Clicca su RUN FIX fino al riavvio.
Riprova ad avviare combofix sia da modalità normale che provvisoria.
 
Ultima modifica:
tecnico24 ha detto:
Non importa , l'importante è che finisce in $...il numero o la cartella varia da infezione a infezione.

Scaricati Grantperms.zip:
http://download.bleepingcomputer.com...GrantPerms.zip
Estrai il file .zip e doppio click su Grantperms.exe
Copia | incolla:
C:\Windows\$NtUninstallKB51559$
Clicca su Unlock , attendi fino a cliccare su Ok.
Posta il log generato in List permission.

Scarica DUMMYCreator
http://download.bleepingcomputer.com...mmyCreator.zip
Estrai il file Dummycreator.zip sul desktop e doppio click su dummycreator.exe
per avviare il tool.
Copia |incolla :
C:\Windows\$NtUninstall​KB51559$
Premi sul pulsante Create.

Apri OTL
Nel box bianco in basso , copia | incolla:


Codice: 
:Services
:Processes
KILLALLPROCESSES
:Files
C:\Windows\$NtUninstallKB51559$

Clicca su RUN FIX fino al riavvio.
Riprova ad avviare combofix sia da modalità normale che provvisoria.
Clicca per espandere...
Fatto tutto, ho avviato Combofix in modalità normale. A fine scansione, ha riavviato il pc e mi ha generato questo log.

Combofix.txt

La novità è che non mi ha segnalato più di aver rilevato il rootkit zero access e che la scansione è andata avanti normalmente.

Il problema però c'è ancora, c'è sempre quel processo svchost.exe in Gestione attività e Windows Update che non va. Un appunto: ho notato che se mi disconnetto il suddetto processo scompare, salvo poi ricomparire non appena mi riconnetto.
 
Ultima modifica:
Pubblicità
Pubblicità
Indietro
Top