UFFICIALE Rimozione Rootkit zero access - postate qui se siete infetti

[R16]

Ciao.
Scarica FRST sul desktop: (è obligatorio)


Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )


Farbar Recovery Scan Tool Download


Avvialo e clicca Esegui.


Sulla finestra che ti compare clicca SI.


Clicca Scan.


Aspetta pazientemente la fine della scansione.


Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt)

 

[nady76]

Ecco i log.

- - - Updated - - -

Ok, scusa: ho ufficialmente troppi log.
Ecco quelli giusti....

 

[R16]

@nady76
scarica questo file sul DESKTOP: (dove si trova FRST)

Wikisend: free file sharing service

Avvia FRST e clicca su FIX.

Attendi la fine della scansione.
Posta il file fixlog.txt.

 

[nady76]

Abbi pazienza, ma quando cerco di effettuare il download del file mi apre un'altra finestra internet quindi non mi da l'opzione di salvare il file sul desktop. E poi come fa FRST a riconoscerlo, direttamente dal desktop? Oppure devo fare qualche altra azione su FRST??

 

[R16]

ma quando cerco di effettuare il download del file mi apre un'altra finestra internet quindi non mi da l'opzione di salvare il file sul desktop.

E dove te lo scarica ?

E poi come fa FRST a riconoscerlo, direttamente dal desktop?

Di questo non ti preoccupare....

 

[nady76]

@R16

Credo di essere riuscita.

Ecco il log.

 

[R16]

Apri OTL e clicca su CleanUP.
Si disinstallerà sia Combofix che lo stesso OTL
Al riavvio fai una pulizia con CCleaner. (registro compreso)

Riscarica OTL:
Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.


Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.

 

[nady76]

@ R16


Combofix non mi si è disinstallato! Ce lo ancora sul desktop nominato abc.

Faccio lo stesso la scansione con OTL??

 

[R16]

Faccio lo stesso la scansione con OTL??

Sì.

 

[nady76]

Ho fatto l'upload del file su wikisend, come lo inserisco nella discussione???

- - - Updated - - -

Ecco i log.
OTL.Txt
Extras.Txt

 

[R16]

Avvia OTL.


Sotto "Custom Scans\Fixes" copia-incolla questo codice:

:OTL
PRC - C:\Programmi\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe (APN)
DRV - (aako01tb) --  File not found
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1343024091-2000478354-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-1343024091-2000478354-839522115-1003\..\Toolbar\WebBrowser: (no name) - {41564952-412D-5637-4300-7A786E7484D7} - No CLSID value found.
O4 - HKLM..\Run: [Ai Nap] C:\Programmi\ASUS\AI Suite\AiNap\AiNap.exe ()
O4 - HKLM..\Run: [ApnTBMon] C:\Programmi\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe (APN)
O16 - DPF: {1ABA5FAC-1417-422B-BA82-45C35E2C908B} http://kitchenplanner.ikea.com/IT/Core/Player/2020PlayerAX_IKEA_Win32.cab (20-20 3D Viewer for IKEA)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225097803109 (WUWebControl Class)
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/products/plugin/autodl/jinstall-1_3_1_13-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-29-0.cab (EPUImageControl Class)
O16 - DPF: {CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-1_3_1_13-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0015-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_16-windows-i586.cab (Java Plug-in 1.5.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: Garmin Communicator Plug-In https://static.garmincdn.com/gcp/ie/2.9.1.0/GarminAxControl.CAB (Reg Error: Key error.)
[2014/03/04 11.43.33 | 005,187,080 | R--- | C] (Swearware) -- C:\Documents and Settings\IS PILLONIS\Desktop\abc.exe
[2014/03/04 11.41.09 | 000,187,464 | ---- | C] (Webroot) -- C:\Documents and Settings\IS PILLONIS\Desktop\antizeroaccess.exe
[2014/03/04 11.38.49 | 001,933,048 | ---- | C] (Bleeping Computer, LLC) -- C:\Documents and Settings\IS PILLONIS\Desktop\iexplo.exe
[2014/03/04 11.27.16 | 000,000,000 | ---D | C] -- C:\Documents and Settings\IS PILLONIS\Impostazioni locali\Dati applicazioni\AskPartnerNetwork
[2014/03/04 11.24.15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\IS PILLONIS\Impostazioni locali\Dati applicazioni\VNT
[2014/03/04 11.24.07 | 000,000,000 | ---D | C] -- C:\Programmi\VNT
[2014/03/04 11.24.05 | 000,000,000 | ---D | C] -- C:\Programmi\AskPartnerNetwork
[2014/03/04 11.24.05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dati applicazioni\AskPartnerNetwork
[2014/03/04 11.18.55 | 000,509,872 | ---- | C] (Ask Partner Network) -- C:\Documents and Settings\IS PILLONIS\Documenti\APNSetup.exe
[2008/11/04 09.12.47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dati applicazioni\Azureus
[2013/08/19 16.58.17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dati applicazioni\Zylom


:Files
C:\FRST
ipconfig /flushdns /c


:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*" 


:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]

Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
Dimmi come funziona il pc.

- - - Updated - - -

 

[nady76]

Saranno 15 minuti che lavora!
È normale?

- - - Updated - - -

La barra della progressione è ancora tutta bianca...

- - - Updated - - -

Ecco il log.
03052014_224157.log


All'avvio il computer è molto lento.
Malwarebytes e Avira possono andare in conflitto??
Ho cercato di chiudere i processi di mwb da task manager 2 volte, ma mi si è impallato il computer. Per il resto mi sembra che vada abbastanza bene.

- - - Updated - - -

Ma verso la fine dell'ultimo log c'è questa stringa (era il file che non si eliminava, dove mi rilevava il virus):

File\Folder C:\FRST\Quarantine\Install05-03-2014_18-49-33\Install\{c1591889-c173-7922-9eac-95f5c4d5299c}\ \ \*ﯹ๛
\{c1591889-c173-7922-9eac-95f5c4d5299c} not found!

- - - Updated - - -

Oddio ma che ho scritto! Questa è la stringa:


File\Folder C:\FRST\Quarantine\Install05-03-2014_18-49-33\Install\{c1591889-c173-7922-9eac-95f5c4d5299c}\ \ \*ﯹ๛\{c1591889-c173-7922-9eac-95f5c4d5299c} not found!

 

[Filvekkia]

Ciao a tutti!
Ho provato alcune soluzioni classiche di quando becco virus...ma niente.
Credo di avere questo rootkit zero acces: non funziona + services.msc, windows defendere fa le bizze, centro sicurezza pc non parte,
ho altissimo uso di memoria anche senza nulla aperto.
Se potete darmi una mano ve ne sarei grato.
Ho già scaricato molti software x l'occorrenza.
Grazie.

 

[R16]

@
Scarica FRST sul desktop: (è obligatorio)


Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )


Farbar Recovery Scan Tool Download


Avvialo e clicca Esegui.


Sulla finestra che ti compare clicca SI.


Clicca Scan.


Aspetta pazientemente la fine della scansione.


Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt)

 

[Filvekkia]

@
Scarica FRST sul desktop: (è obligatorio)


Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )


Farbar Recovery Scan Tool Download


Avvialo e clicca Esegui.


Sulla finestra che ti compare clicca SI.


Clicca Scan.


Aspetta pazientemente la fine della scansione.


Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt)

Grazie della rapidità :)