UFFICIALE Rimozione Rootkit zero access - postate qui se siete infetti

R16 · 4 Marzo 2014

Ciao.
Scarica FRST sul desktop: (è obligatorio)

Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )

Farbar Recovery Scan Tool Download

Avvialo e clicca Esegui.

Sulla finestra che ti compare clicca SI.

Clicca Scan.

Aspetta pazientemente la fine della scansione.

Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt)

nady76 · 5 Marzo 2014

Ecco i log.

- - - Updated - - -

Ok, scusa: ho ufficialmente troppi log.
Ecco quelli giusti....

R16 · 5 Marzo 2014

@nady76
scarica questo file sul DESKTOP: (dove si trova FRST)

Wikisend: free file sharing service

Avvia FRST e clicca su FIX.

Attendi la fine della scansione.
Posta il file fixlog.txt.

nady76 · 5 Marzo 2014

Abbi pazienza, ma quando cerco di effettuare il download del file mi apre un'altra finestra internet quindi non mi da l'opzione di salvare il file sul desktop. E poi come fa FRST a riconoscerlo, direttamente dal desktop? Oppure devo fare qualche altra azione su FRST??

R16 · 5 Marzo 2014

ma quando cerco di effettuare il download del file mi apre un'altra finestra internet quindi non mi da l'opzione di salvare il file sul desktop.

E dove te lo scarica ?

E poi come fa FRST a riconoscerlo, direttamente dal desktop?

Di questo non ti preoccupare....

nady76 · 5 Marzo 2014

@R16

Credo di essere riuscita.

Ecco il log.

R16 · 5 Marzo 2014

Apri OTL e clicca su CleanUP.
Si disinstallerà sia Combofix che lo stesso OTL
Al riavvio fai una pulizia con CCleaner. (registro compreso)

Riscarica OTL:
Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.

nady76 · 5 Marzo 2014

@ R16

Combofix non mi si è disinstallato! Ce lo ancora sul desktop nominato abc.

Faccio lo stesso la scansione con OTL??

R16 · 5 Marzo 2014

Faccio lo stesso la scansione con OTL??

Sì.

nady76 · 5 Marzo 2014

Ho fatto l'upload del file su wikisend, come lo inserisco nella discussione???

- - - Updated - - -

Ecco i log.
OTL.Txt
Extras.Txt

R16 · 5 Marzo 2014

Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Codice:

:OTL
PRC - C:\Programmi\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe (APN)
DRV - (aako01tb) --  File not found
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1343024091-2000478354-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-1343024091-2000478354-839522115-1003\..\Toolbar\WebBrowser: (no name) - {41564952-412D-5637-4300-7A786E7484D7} - No CLSID value found.
O4 - HKLM..\Run: [Ai Nap] C:\Programmi\ASUS\AI Suite\AiNap\AiNap.exe ()
O4 - HKLM..\Run: [ApnTBMon] C:\Programmi\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe (APN)
O16 - DPF: {1ABA5FAC-1417-422B-BA82-45C35E2C908B} http://kitchenplanner.ikea.com/IT/Core/Player/2020PlayerAX_IKEA_Win32.cab (20-20 3D Viewer for IKEA)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225097803109 (WUWebControl Class)
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/products/plugin/autodl/jinstall-1_3_1_13-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-29-0.cab (EPUImageControl Class)
O16 - DPF: {CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-1_3_1_13-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0015-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_16-windows-i586.cab (Java Plug-in 1.5.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: Garmin Communicator Plug-In https://static.garmincdn.com/gcp/ie/2.9.1.0/GarminAxControl.CAB (Reg Error: Key error.)
[2014/03/04 11.43.33 | 005,187,080 | R--- | C] (Swearware) -- C:\Documents and Settings\IS PILLONIS\Desktop\abc.exe
[2014/03/04 11.41.09 | 000,187,464 | ---- | C] (Webroot) -- C:\Documents and Settings\IS PILLONIS\Desktop\antizeroaccess.exe
[2014/03/04 11.38.49 | 001,933,048 | ---- | C] (Bleeping Computer, LLC) -- C:\Documents and Settings\IS PILLONIS\Desktop\iexplo.exe
[2014/03/04 11.27.16 | 000,000,000 | ---D | C] -- C:\Documents and Settings\IS PILLONIS\Impostazioni locali\Dati applicazioni\AskPartnerNetwork
[2014/03/04 11.24.15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\IS PILLONIS\Impostazioni locali\Dati applicazioni\VNT
[2014/03/04 11.24.07 | 000,000,000 | ---D | C] -- C:\Programmi\VNT
[2014/03/04 11.24.05 | 000,000,000 | ---D | C] -- C:\Programmi\AskPartnerNetwork
[2014/03/04 11.24.05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dati applicazioni\AskPartnerNetwork
[2014/03/04 11.18.55 | 000,509,872 | ---- | C] (Ask Partner Network) -- C:\Documents and Settings\IS PILLONIS\Documenti\APNSetup.exe
[2008/11/04 09.12.47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dati applicazioni\Azureus
[2013/08/19 16.58.17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dati applicazioni\Zylom


:Files
C:\FRST
ipconfig /flushdns /c


:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*" 


:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]

Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
Dimmi come funziona il pc.

- - - Updated - - -

nady76 · 6 Marzo 2014

Saranno 15 minuti che lavora!
È normale?

- - - Updated - - -

La barra della progressione è ancora tutta bianca...

- - - Updated - - -

Ecco il log.
03052014_224157.log

All'avvio il computer è molto lento.
Malwarebytes e Avira possono andare in conflitto??
Ho cercato di chiudere i processi di mwb da task manager 2 volte, ma mi si è impallato il computer. Per il resto mi sembra che vada abbastanza bene.

- - - Updated - - -

Ma verso la fine dell'ultimo log c'è questa stringa (era il file che non si eliminava, dove mi rilevava il virus):

File\Folder C:\FRST\Quarantine\Install05-03-2014_18-49-33\Install\{c1591889-c173-7922-9eac-95f5c4d5299c}\ \ \*ﯹ๛
\{c1591889-c173-7922-9eac-95f5c4d5299c} not found!

- - - Updated - - -

Oddio ma che ho scritto! Questa è la stringa:

File\Folder C:\FRST\Quarantine\Install05-03-2014_18-49-33\Install\{c1591889-c173-7922-9eac-95f5c4d5299c}\ \ \*ﯹ๛\{c1591889-c173-7922-9eac-95f5c4d5299c} not found!

Filvekkia · 9 Marzo 2014

Ciao a tutti!
Ho provato alcune soluzioni classiche di quando becco virus...ma niente.
Credo di avere questo rootkit zero acces: non funziona + services.msc, windows defendere fa le bizze, centro sicurezza pc non parte,
ho altissimo uso di memoria anche senza nulla aperto.
Se potete darmi una mano ve ne sarei grato.
Ho già scaricato molti software x l'occorrenza.
Grazie.

R16 · 9 Marzo 2014

@
Scarica FRST sul desktop: (è obligatorio)

Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )

Farbar Recovery Scan Tool Download

Avvialo e clicca Esegui.

Sulla finestra che ti compare clicca SI.

Clicca Scan.

Aspetta pazientemente la fine della scansione.

Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt)

Filvekkia · 9 Marzo 2014

R16 ha detto:
@
Scarica FRST sul desktop: (è obligatorio)

Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )

Farbar Recovery Scan Tool Download

Avvialo e clicca Esegui.

Sulla finestra che ti compare clicca SI.

Clicca Scan.

Aspetta pazientemente la fine della scansione.

Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt)

Grazie della rapidità :)

Cerca

UFFICIALE Rimozione Rootkit zero access - postate qui se siete infetti

R16

nady76

Nuovo Utente

Allegati

R16

nady76

Nuovo Utente

R16

nady76

Nuovo Utente

Allegati

R16

nady76

Nuovo Utente

R16

nady76

Nuovo Utente

R16

nady76

Nuovo Utente

Filvekkia

Nuovo Utente

R16

Filvekkia

Nuovo Utente

Allegati

Ci sono discussioni simili a riguardo, dai un'occhiata!

Entra

Discussioni Simili