UFFICIALE Rimozione Rootkit zero access - postate qui se siete infetti

[tecnico24]

Ciao TheS.
Avevo chiesto solo il log di TDSSKiller , per poi valutare le opportune procedure.
Capisco la fretta di eliminare il rootkit e di avere un pc "sicuro" e senza rischi , ma procedere di testa propria senza consensi validi mi sembra un rischio , sopratutto per evitare problemi futuri nel sistema stesso.
Sptd.sys è un driver , se non erro , appartenente ad un residuo di Dameon tools.
TDSS Killer non ha rilevato nulla , Ashampoo avrà anticipato tutti con la sola scansione , su questo non posso venirti incontro anche perchè è una procedura attuata da te (senza rimproveri figurati , ognuno fa quello che ritiene opportuno fare).

 

[TheS]

Ciao TheS.
Avevo chiesto solo il log di TDSSKiller , per poi valutare le opportune procedure.
Capisco la fretta di eliminare il rootkit e di avere un pc "sicuro" e senza rischi , ma procedere di testa propria senza consensi validi mi sembra un rischio , sopratutto per evitare problemi futuri nel sistema stesso.
Sptd.sys è un driver , se non erro , appartenente ad un residuo di Dameon tools.
TDSS Killer non ha rilevato nulla , Ashampoo avrà anticipato tutti con la sola scansione , su questo non posso venirti incontro anche perchè è una procedura attuata da te (senza rimproveri figurati , ognuno fa quello che ritiene opportuno fare).

Ciao tecnico.
Tranquillo, sò benissimo che se faccio danni sul mio computer la colpa è solo mia :-)
In merito ad ashampoo, ho voluto installarlo per valutare se un ulteriore software antimalware rilevava la presenza del Rootkit.
E non l'ha rilevato. Così come TDSS, Malwarebytes e BitDefender.
Quindi, quel che vorrei capire (anche in base ai log di combofix che avevo postato, uno rilevato prima dell'installazione di ashampoo, e l'altro dopo, ovviamente disattivato al momento della scansione con Combofix) è se si riesce a comprendere se sia un falso positiv di Combofix o se effettivamente c'è ancora Zero Access presente nel PC.
Pper quanto concerne la Connessione ad internet, ti confermo però che la stessa è "tornata" solo dopo che il programma in precedenza citato per la pulizia e riconfigurazione del registro ha fatto il suo lavoro (suppongo abbia sostituito file mancanti e/o rovinati, oppure ha reimpostato le connessioni in maniera corretta).
Grazie a prescindere e buona giornata.

TheS

 

[tecnico24]

Nessuna traccia dal log di Combofix.
Buona giornata

 

[TheS]

Nessuna traccia dal log di Combofix.
Buona giornata

Allora è il software che mi manda in tilt: ogni volta che mando in atto una scansione, mi dice che lo trova e mi riavvia il PC per debellarlo, tranne poi trovarlo ancora.
Poi vi invio uno screenshot della schermata che mi compare, almeno non potete pensare che ho le visioni :-)
Ok, buona giornata anche a te/voi.

TheS

 

[TheS]

Nessuna traccia dal log di Combofix.
Buona giornata

Ciao ragazzi.
Non sò spiegarmelo: riesco a connettermi ad internet, navigare tranquillamente, TUTTI i software di protezione installati danno esito negativo (Malwarebytes, Bitdefender, Roguekiller, Windows Firewall attivo e funzionante, tutti costantemente aggiornati), ma OGNI volta che lancio Combofix mi dice che c'è sempre un'attività Rootkit legata allo stack TCP/IP, poi rileva ZERO ACCESS, e riavvia il computer svolgendo il solito lavoro di 50 e passa stage.
Sono anche in contatto con la Bitdefender a cui stò fornendo file di LOG e varie che crea l'Antivirus, ma nemmeno loro sono venuti a capo di nulla.
A questo punto mi sa che formatto tutto e buonanotte, pur di evitare di avere questo virus "silente" che dormicchia nel Root senza sapere che combina.
Buona giornata

TheS

P.S.: se riesco, allegherò una foto (non posso fare uno screenshot quando compare la schermata di avviso, in quanto il software non mi consente di lanciare alcun programma contestualmente alle sue operazioni di disinfezione)

 

[tecnico24]

Parere mio , non bisogna prendere per legge l'attività di combofix.
Se non riscontri problemi , il rootkit è stato eliminato.
In passato un utente ebbe il tuo stesso problema sulla rilevazione continua di combofix , ma risultavano chiavi di registro mancanti e combofix non riusciva ad eseguirsi correttamente.

 

[TheS]

Ciao Tecnico.
In effetti è l'unico software che rileva il virus.
Intanto mi sono sistemato un altro Hdd con Windows 7 a 64 bit, da zero, e pian piano mi ci installo tutti i programmi che avevo su XP.
Quindi, appena possibile, riformatto, così dò anche una ripulita al registro.
Una domanda: se conservo le impostazioni utente, facendo un backup (c'è la funzione apposita di XP) si possono anche trasferire eventuali infezioni, o no?
Grazie ancora e buona giornata

TheS

 

[tecnico24]

Non ci sono infezioni quindi di conseguenza nessun rischio.
Prima del trasferimento , ti consiglio di dare una lettura alle procedure post disinfezione.

 

[Davide1992]

Ciao, avast mi ha rilevato un infezione win64/pached.a e come da te consigliato ho eseguito combofix, ti allego il log e spero in qualche tuo consiglio :D
log combofix.txt

 

[vabbè]

Buongiorno! Il mio computer è infetto da un po', ma ho cercato di sopportarlo perchè mi mancava il tempo di seguire la guida per la rimozione. Ogni tanto mancava l'audio o non mi riconosceva i vari supporti e poi si sistemava da se. Da ieri ha iniziato a non connettersi più alla vodafone station e adesso nn so come aggiornare e scaricare i vari programmi per provarci. Potete aiutarmi? Ovviamente scrivo da un altro pc. Grazie

- - - Updated - - -

Ho appena cambiato porta di accesso nella vodafone station e son riuscita a collegarmi. Provo a seguire le indicazioni.

 

[farfugliante]

Ciao a tutti,

sto cercando di ripprendermi dall'infezione che Combofix e Avira penso abbiano fermato. Ho per' ancora problemi con i servizi che non riesco a far ripartire, per cui vi chiedo un aiuto.

Situazione:
Windows XP + service pack 3.
Malfunzionamenti evidenti: manca il servizio windows audio e quindi l'audio non funziona (il beep di sistema ve bene e la scheda audio con il suo software di gestione va benissimo); e' sparito il servizio di aggiornamento windows. Forse anche altre cose non vanno, ma non sono macroscopiche. Internet funziona e anche gli altri programmi principali vanno.
Scansioni:
Avira mi dice che e' presente un oggetto nascosto e suggerisce di usare l'avira Antivir Rescue System, ma nessun altro rilevamento è presente.
Le scansioni con FRST, FSS e TDSSkiller sono allegate.
Visualizza allegato FSS.txt
Visualizza allegato FRST.txt
Visualizza allegato TDSSKiller.20130724_1721_log.txt
Mi pare che il rootkit non ci sia più, ma anche che a livello di servizi sia accaduto un disastro, ma non so andare oltre, per cui un aiuto e' davvero benvenuto.

Grazie in anticipo.

 

[frankdiser]

Gentili responsabili Toms.
Non voglio assillarvi con il mio pc.
Pertanto ho fatto tutte le operazioni da voi indicate nella guida. Ma ho paura che i miei sono virus infami che si nascondono.

Credo di avere più di un virus.
Mi si aprono continue pagine Popup.
E continui link sotto le parole delle pagine web: questo credo sia il virus Public Security Directorate

Ho proceduto con ComboFix: ebbene alla fine NON mi rilascia nessun file di Report!

Ho proceduto con MalwareByte, ma non trova più nulla.

Ho proceduto con K. TDSS KIller, ma trova solo un file Suspicious, a cui propone SKIP.

Ho fatto anche ADW Cleaner ma all'improvviso si è chiuso da solo lasciandomi questo report, e sul pc non trovo ADW.

Ho proceduto con SpyHunter: ha individuato alcuni e poi ho eliminato, ma Public Security Directorate (o chi per esso) è ancora lì, in ogni pagina web su decine di parole.
SpyHunter ora non trova più nulla. Tranne file 3 file sospetti mela sezione grigia, che ha disabilitato. Ma non so cosa sono.


Cosa devo fare?

.txt]AdwCleaner[R1].txt

.txt]AdwCleaner[S1].txt

TDSSKiller.2.8.15.0_31.07.2013_10.00.03_log.txt

 

[Bastet]

Salve a tutti,

non sono un'esperta di informatica ma ho fatto qualche ricerca e credo di essere infetta da questo famigerato rootkit.zeroaccess.
Ho acceso il pc e ho trovato la risoluzione dello schermo sballata, non ho accesso alla rete (sto scrivendo dal pc di mio padre) e non posso accedere alla modalità provvisoria premendo "Esc" durante il boot (ma facendo "Esegui > msconfig" sì).

Ho provato a rimuoverlo seguendo pedissequamente queste istruzioni, ma senza esito:

"1. Disconnettersi da Internet (eventualmente spegnere il router)
2. Lanciare subito Combofix che è in grado di stroncare ed eliminare la maggior parte del rootkit: non toccare neppure il mouse mentre lavora e disinstallare precedentemente eventuali emulatori tipo Daemon Tools.
3. Disattivare il Ripristino di Sistema
4. Lanciare Elibagla cliccando sull'opzione "Explorar" assicurandosi che la casella "Eliminar ficheros automaticamente " sia spuntata
5. Lanciare ATF-Cleaner selezionando l'ultima casella (seleziona tutto) e fargli fare la pulizia del PC
6. Lanciare Findykill, scegliere la lingua e iniziare con l'opzione 1 (Ricerca dei files infetti) e salvare il log (find1.txt)
7. Lanciare di nuovo Findykill e scegliere l'opzione 2 (Soppressione dei files infetti) e slavare il nuovo log (find2.txt)
NOTA SU FINDYKILL:
La scansione è abbastanza lenta ma permette 2 cose: primo la conferma che tutti i files infetti sono stati eliminati, e secondo, non meno importante, che fra questi file c'è il "portatore" del Rootkit.
8. Adesso lanciare e aggiornare Malwarebytes, ed eseguire una scansione approfondita: una volta finita selezionare "Mostra tutti i risultati" e poi premere il pulsante in basso a sinistra per eliminare quanto trovato.
9. A questo punto è necessario ripristinare servizi e programmi: utilizzate il Tool di ripristino per i servizi (le procedure possono anche essere fatte manualmente, ma così è più veloce), mentre tutti i programmi che davano l'errore "applicazione win32 non valida", gli antimalware disabilitati e i drivers corrotti dovrammo essere disinstallati e reinstallati.
10. Riattivare il Ripristino di Sistema"

Ho anche provato con TDSSKiller, ma neanche quello ha funzionato.
Non so più cosa fare. So che ci sono altri programmi come SpyHunter, Avast Anti-Rootkit, McAfee Rootkit Remover, GMER ecc. ... ma prima di proseguire a tentoni vorrei un parere di qualcuno che se ne intende.

Grazie.

 

[LM21173]

Ho riscontrato anche io un problema con un ZeroAcess, subito mi bloccava alcuni comunissimi programmi, poi ha cominciato a disattivarmi la connessione e a disattivarmi il firewall di windows e di McAfee, con Combofix si è magicamente ripristinato tutto, restava solo che era un po' lento, allora pulizia con CCleaner (tolti 22GB di file temporanei). Tutto bene, finchè non ho deciso di fare una ulteriore scansione con OTL che ha chiesto il riavvio: non è più partito; è stranamente partito stamattina ma non posso più eseguire i programmi con i privilegi amministrativi! Ho pensato di creare un nuovo utente, solo che mi fa crashare il pannello di controllo...pensavo di fare una scansione con Kasperky Rescue Disk 10 ma non riesco a bootare da chiavetta/CD (Dell Vostro 270, oggi sento l'assistenza al riguardo), non posso passarvi i logs perchè la cartella C:\WINDOWS\Logs chiede privilegi amministrativi e non posso accedervi...se collego un altro HD con XP, faccio il boot con quello e scansiono tutto con Kasperky? Grazie

PS: Win8 x64...i rootkit ZA non infettavano solo i win32??

 

[nady76]

Ciao! Anche io ho evidentemente problemi con zero access: questa è la mia storia (scusate ma sono un autodidatta perciò prego per un po' di pazienza).
Qualche mese fa in seguito a vari malfunzionamenti del pc ho rilevato sul computer questo Zeroaccess (non ricordo con quale tool). Speravo di averlo eliminato: così sembrava!!
Negli ultimi tempi tuttavia ho avuto notevoli rallentamenti: ho fatto scansioni con avira e ho trovato dei virus, cancellando i quali mi se ne sono riformati altri. Rifatta la scansione con avira non è stato trovato niente, ma il pc non andava come di solito. Ho scansionato con Panda Active scan e mi ha trovato il Trj/Agent.IVN. Allora ho scansionato con
-RKill
-Malwarebytes
-Adw Cleaner
-TDSS Killer
-Combofix
L'unico che mi ha dato risultati è stato RKill che mi ha trovato Zero Acces nella stessa cartella del Trj/Agent.IVN. Per il resto non sono brava a valutare i log ma del rootkit non vedo il nome in nessuno.
Combofix mi ha fatto l'analisi (nonostante io non sia riuscita a disattivare in nessuna maniera lo scanner di avira), e non risulta niente, almeno credo.
Inoltre ho notato che più di una volta, mentre faccio la scansione con malwarebyte, avira(che non riesco a disattivare) mi trova dei virus nella stessa cartella del troyan, denominati in maniera sempre diversa.
Ho provato a cancellare manualmente la cartella dove mi rileva ZeroAccess, ma chiaramente non me lo permette.
Che devo fare?