UFFICIALE Rimozione Rootkit zero access - postate qui se siete infetti

[tecnico24]

Il rootkit oramai è stato eliminato.

Procediamo al secondo passo:
Scarica questi due file che ti allegato qui in basso
IMPORTANTE:occorre avere i diritti di amministratore.

Scarica il file Comandi.zip che ti ho allegato qui in basso.
Estrai i due file .bat sul desktop
Doppio click su Reset.bat ed attendi il lavoro
Doppio click su Update.bat ed attendi il lavoro

Al termine riavvia il pc.

P.S:controlla che Kaspersky non blocchi il firewall.
Se disattivi tutti i componenti della sicurezza l'errore esce ancora?
Hai configurato bene le porte?

 

[uptheirons84]

Il rootkit oramai è stato eliminato.

Procediamo al secondo passo:
Scarica questi due file che ti allegato qui in basso
IMPORTANTE:occorre avere i diritti di amministratore.

Scarica il file Comandi.zip che ti ho allegato qui in basso.
Estrai i due file .bat sul desktop
Doppio click su Reset.bat ed attendi il lavoro
Doppio click su Update.bat ed attendi il lavoro

Al termine riavvia il pc.

P.S:controlla che Kaspersky non blocchi il firewall.
Se disattivi tutti i componenti della sicurezza l'errore esce ancora?
Hai configurato bene le porte?

Scaricati ed eseguiti i due files, riavviato il pc ma il problema c'è sempre.
Anche provando a disattivare Kaspersky Internet Security, Windows Update continua a dare errore.

 

[tecnico24]

Apri il prompt dei comandi (tasto destro e su esegui come amministratore) e dai i seguenti comandi seguiti da Invio:

netsh interface ipv4 reset
netsh interface ipv6 reset

Riavvia il sistema.

Poi sempre dal prompt :

netsh winsock reset

Riavvia il pc.

Se non risolvi , dovremmo passare a soluzioni più drastiche che preferisco utilizzarle come ultima spiaggia.

 

[uptheirons84]

Apri il prompt dei comandi (tasto destro e su esegui come amministratore) e dai i seguenti comandi seguiti da Invio:

netsh interface ipv4 reset
netsh interface ipv6 reset

Riavvia il sistema.

Poi sempre dal prompt :

netsh winsock reset

Riavvia il pc.

Se non risolvi , dovremmo passare a soluzioni più drastiche che preferisco utilizzarle come ultima spiaggia.

Provato anche questo ma nessun miglioramento

 

[tecnico24]

Procedi così:

Scaricati il tool Complete Internet Repair che ti ho allegato in basso.

I programmi in esecuzione devono essere arrestati , compresi ovviamente antivirus , firewall e altro.
Disabilita anche gli aggiornamenti automatici nel caso fossero attivi.

Avvia il tool posizionato sul desktop
Seleziona tutte le spunte a sinistra e clicca sotto sul pulsante Go.

Riavvia il computer


Riemposta anche il file host predefinito:
Reimpostazione del file Hosts predefinito

 

[uptheirons84]

Procedi così:

Scaricati il tool Complete Internet Repair che ti ho allegato in basso.

I programmi in esecuzione devono essere arrestati , compresi ovviamente antivirus , firewall e altro.
Disabilita anche gli aggiornamenti automatici nel caso fossero attivi.

Avvia il tool posizionato sul desktop
Seleziona tutte le spunte a sinistra e clicca sotto sul pulsante Go.

Riavvia il computer


Riemposta anche il file host predefinito:
Reimpostazione del file Hosts predefinito

Eseguito anche Complete internet repair come da istruzioni, riavviato, reimpostato anche il file hosts predefinito usando il tool linkato sul sito di Microsoft, riavviato ancora ma... Niente, la situazione è sempre la medesima. Nota: in entrambi i casi, dopo aver riavviato, mi son trovato attivato Windows Firewall, volevo sapere se è normale, in ogni caso l'ho disattivato nuovamente.

 

[tecnico24]

Eseguito anche Complete internet repair come da istruzioni, riavviato, reimpostato anche il file hosts predefinito usando il tool linkato sul sito di Microsoft, riavviato ancora ma... Niente, la situazione è sempre la medesima. Nota: in entrambi i casi, dopo aver riavviato, mi son trovato attivato Windows Firewall, volevo sapere se è normale, in ogni caso l'ho disattivato nuovamente.

Disabilita il firewall da services.msc , in modo tale che non può crearti conflitti.

Posta un log di Hijackthis.

 

[uptheirons84]

Disabilita il firewall da services.msc , in modo tale che non può crearti conflitti.

Posta un log di Hijackthis.

Disabilitato anche Windows Firewall.

Ecco il log di Hijackthis.

Hijackthis.txt

 

[tecnico24]

Passiamo alla soluzione manuale:

Procediamo prima al backup , prima di effettuare operazioni al registro:
Start
Nella casella di ricerca digita regedit
ok
In alto clicca su File-Esporta e scegli il percoso dove salvare il file .reg di backup.

Leggi questa guida:

Ripristina Reinstalla TCP / IP

Inizia da dove dice di eliminare le chiavi Winsock e Winsock2 e procedi.

 

[uptheirons84]

Passiamo alla soluzione manuale:

Procediamo prima al backup , prima di effettuare operazioni al registro:
Start
Nella casella di ricerca digita regedit
ok
In alto clicca su File-Esporta e scegli il percoso dove salvare il file .reg di backup.

Leggi questa guida:

Ripristina Reinstalla TCP / IP

Inizia da dove dice di eliminare le chiavi Winsock e Winsock2 e procedi.

Ho letto le istruzione da te linkate ma ho un paio di dubbi.
Innanzitutto, il metodo descritto fa riferimento ad una versione di Windows Server 2003, è applicabile anche sul mio Vista?
Poi, c'è da dire che non possiedo una copia di Vista su dvd, dispongo solamente dei dischi di ripristino fornitimi dal produttore del mio pc. Possono essere utlizzati ugualmente? Non voglio combinare nulla di irreparabile...:blush:

 

[tecnico24]

Lo so , il metodo però è lo stesso.
In caso di probabili problemi(anche se non credo proprio) puoi tentare un ripristino.

 

[ComboFix]

Passiamo alla soluzione manuale:

Procediamo prima al backup , prima di effettuare operazioni al registro:
Start
Nella casella di ricerca digita regedit
ok
In alto clicca su File-Esporta e scegli il percoso dove salvare il file .reg di backup.

Leggi questa guida:

Ripristina Reinstalla TCP / IP

Inizia da dove dice di eliminare le chiavi Winsock e Winsock2 e procedi.

Io penso di avere lo stesso problema al Tcp/Ip,deve essere un rootkit,perchè mi chiude le connessioni e con Esetnod32 mi dava sempre tcp/ip infetto. Poi con system mechanic mi esce internet connection broken,e non si può fixare

 

[uptheirons84]

Lo so , il metodo però è lo stesso.
In caso di probabili problemi(anche se non credo proprio) puoi tentare un ripristino.

Per ripristino cosa intendi, ripristinare proprio Vista usando i dischi?
Poi non ho ben capito se i suddetti cd vadano bene per ripristinare il protocollo TCP/IP.

 

[maxthewizard]

io nel frattempo che avevo iniziato la discussione e mi ero eclissato negli ultimi giorni, ho salvato i dati che mi servivano (senza fare un backup che avevo paura rigenerasse il rootkit) e ho riformattato...alla fine ci ho guadagnato tempo e salute (in incazzature varie :)), la connessione mi era partita proprio nel tentare di modificare i winsock e mi stavo lobotomizzando davanti a 2 pc diversi. è la prima volta che mi dichiaro sconfitto davanti a un virus ma devo dire che a volte, a parte la soddisfazione personale di sconfiggerlo, forse è la cosa migliore da fare.
in ogni caso mille grazie a tecnico24 per il tempo che mi ha dedicato e i suggerimenti che certamente riutilizzerò in futuro; probabilmente neanche immagini quanto è prezioso il lavoro che fate.
ciao
max

 

[uptheirons84]

Ho notato una stranezza analizzando il log di Windows Update che posto qui di seguito

WindowsUpdate.log

Come si può leggere verso le ultime righe del log, l'errore 80096001 è causato dalla mancata autenticazione della firma del file muv4wuredir.cab. Andando nel percorso specificato nel log, ho notato che tale file non c'è proprio... Leggendo poi il log nella parte superiore, dove ci sono aggiornamenti passati effettuati con successo, si vedono altri files le cui firme sono state autenticate. Anche tali files non si trovano nei percorsi indicati... Vorrei capire se questo c'entra con il mio problema e se è risolvibile.
Tra l'altro segnalo che quel processo svchost.exe è perennemente in attività con percentuali che oscillano dal 6% al 10%.