UFFICIALE Rimozione Rootkit zero access - postate qui se siete infetti

[maxthewizard]

ciao a tutti, è da qualche tempo che il mio pc mi da noie con vari malware, inizialmente mi si era installato questo fake antivirus, system check, che mi mandava avvisi e apriva finestre in continuo impedendo di fatto ogni tipo di attività; tra l'altro mi si erano nascoste tutte le sottocartelle e la maggior parte dei file nell'hd, che ho recuperato con unhide. dopo un po' di traffici e scansioni varie pensavo di aver risolto, i log sembravano puliti e quantomeno system check è andato via. il pc però continua a essere molto lento, perciò ricomincio a fare scansioni e noto qualche malware qui e lì e inoltre non riesco a far funzionare combofix che quando scansiona mi dice che sono infetto dal rootkit zero access e devo riavviare e non mi salva nessun log. tra l'altro stupidamente non ho disattivato il ripristino configurazione di sistema. inoltre stamattina mi si sono di nuovo nascoste le cartelle dell'hd e ho dovuto far rigirare unhide.
vi allego i log di hijack e di malwarebytes, e vi ringrazio in anticipo per ogni aiuto/suggerimento che mi saprete dare.
max

Wikisend: free file sharing service
Wikisend: free file sharing service

 

[tecnico24]

Disattiva il ripristino configurazione di sistema.

Scarica Kaspersky TDSS Killer:
http://support.kaspersky.com/downloa...tdsskiller.exe
● Chiudi tutti i programmi aperti
● Clicca su Start Scan per avviare la scansione
● Se trova file infetti l'azione da intrapendere sarà Cure , invece se trova quello sospetto su Skip.
● Al termine posta il suo relativo log caricandolo su Wikisend: free file sharing service


Inviaci anche il log di Combofix.

 

[maxthewizard]

ciao, intanto grazie mille. il log di tdss è completamente pulito e così anche malwarebytes ora. però combofix non mi salva nessun log, parte la scansione, mi dice che ho il rootkit zeroaccess, poi dopo un po' mi dice che ha rilevato il rootkit e sta lavorandoci, poi però chiede il riavvio senza salvarmi nessun log...

 

[tecnico24]

Ciao , il rootkit ha bloccato completamente Combofix.
Scarica e salva sul desktop questo tool di rimozione per Zero Access
Chiudi tutti i programmi aperti
Avvia il file antizeroaccess.exe
Clicca su Y seguito da Invio per avviare la scansione
Al termine ti mostrerà eventuali rimozioni e pulizia , inviaci il suo log.

Poi riprova a postare il log di Combofix , magari da modalità provvisoria , importante , ci serve !

 

[maxthewizard]

allora antizeroaccess non mi rileva nulla, ti allego cmq il log
Wikisend: free file sharing service
ora riprovo combofix in modalità provvisoria ma dubito funzionerà, ci avevo già provato...

---------- Post added 29-02-2012 at 00:19 ---------- Previous post was 28-02-2012 at 23:30 ----------

come temevo combofix si è comportato come in modalità normale, cioè individua il rootkit zeroaccess (dice che si è infilato nello stack tcp/ip), poi mi dice di essere paziente dato che il rootkit l'ha individuato e ci sta lavorando, poi chiede il riavvio. non fa proprio gli step, e all'inizio esordisce con la frase "failed to get enable lua". sono abbastanza in stallo non so cosa fare...

 

[maxthewizard]

nel frattempo allego anche i log di gmer
Wikisend: free file sharing service
Wikisend: free file sharing service
grazie

 

[tecnico24]

Scarica OTC byoldtimer e salvalo sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
Assicurati che tutti i programmi siano chiusi
Doppio click su otc.exe e si avvierà il programma
Clicca sul Pulsante Cleanup ed attendi il riavvio.

Scarica Combofix da qui:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
prima di salvarlo sul desktop rinominalo in acd.exe (Tasto destro e su salva link con nome..)
Non avviarlo assolutamente , premi dalla tastiera il tasto WINDOWS + il tasto R e copia incolla questa riga:

"%userprofile%\desktop\acd.exe" /killall

Adesso clicca su Ok e dovrebbe partire la scansione
La scansione potrebbe durare molto , bisogna attendere.
Quando ha finito inviaci il log.

 

[maxthewizard]

grazie mille appena torno a casa stasera farò tutto

 

[tecnico24]

Se nemmeno riesci a risolvere , allora il problema è grosso.
Il rootkit ha danneggiato non solo il protocollo tcpip della tua macchina , ma anche il winsock.
Prova e riporta notizie.
Saluti.

 

[maxthewizard]

niente purtroppo. ho lanciato otc, lo scan è durato pochi secondi in realtà e si è riavviato, poi ho fatto come hai detto con combofix ma nulla da fare, come sempre rileva il rootkit e si riavvia senza salvare nessun log...avresti altri suggerimenti o sono spacciato?

 

[tecnico24]

Dovremmo rienstallare il protocollo tcpip danneggiato dal malware , pero prima dobbiamo eliminarlo o almeno di riparare la situazione piuttosto critica.

Scarica OTL.exe:
http://oldtimer.geekstogo.com/OTL.exe
Salvalo sul desktop e clicca sul Pulsante Cleanup.
Verranno eliminati tutti i tool che hai utilizzato , in questo caso rimuovi anche acd.exe che abbiamo rinominato noi.

Riscarica Combofix senza rinominarlo e digita questa riga in esegui:

"%userprofile%\desktop\combofix.exe" /stepdel

Dovrebbe partire , altrimenti se ti si blocca nuovamente (aspetta un pò prima di dare sentenze) riavvia il computer in modalità provvisoria e da lì riproverai nuovamente.

Allega il log di TDSS Killer che non hai postato e quello di combofix.

 

[uptheirons84]

Mi inserisco nella discussione perchè anch'io ho un problema simile. In pratica ho perso tutti i punti di ripristino che avevo e diverse cartelle presenti in C: sono sparite. Poco importa, si trattava di programmi che non uso più. La vera noia è che Windows Update non và... Ogni volta che provo ad effettuare aggiornamenti mi dà l'errore 80096001. Inoltre, in "Gestione attività" noto che c'è sempre uno dei processi "svchost.exe" che lavora a percentuali intorno al 6-8%. Ho effettuato le seguenti scansioni:
Kaspersky Internet Security: nessuna infezione trovata
Kaspersky TDSS Killer: trovato solo un file sospetto che riguarda il driver virtuale che ho installato con Daemon Tools (già rilevato in passato con AVG anti-rootkit), quindi nulla di anormale
Combofix: alla prima scansione rimaneva lì per ore ed ore impallato. Avvio Vista in modalità provvisoria e avvio nuovamente la scansione, dopo qualche ora mi segnala che ha rilevato il rootkit zeroaccess. Dopo qualche minuto mi chiede di riavviare, lo faccio ma all'avvio di Vista non succede nulla e il problema persiste (niente log, stessi sintomi). Riavvio Combofix stavolta in modalità normale, dopo qualche minuto segnala di aver trovato il medesimo rootkit, riavvio il sistema e punto e a capo.

Ho letto tutta la discussione e ho provato TUTTI i passaggi suggeriti da tecnico24 ma la situazione è sempre la stessa.
@ tecnico24: nel tuo ultimo post parlavi di reinstallare il protocollo TCP/IP, può essere una soluzione?

 

[tecnico24]

Ho letto tutta la discussione e ho provato TUTTI i passaggi suggeriti da tecnico24 ma la situazione è sempre la stessa.
@ tecnico24: nel tuo ultimo post parlavi di reinstallare il protocollo TCP/IP, può essere una soluzione?

La risoluzione del protocollo tcpip non è una soluzione per il rootkit , che va eliminato.
Ci sono diverse varianti da zeroaccess , quella meno pericolosa a quella più ardua che costringe alla formattazione , poichè i driver del sistema vengono infettati e il rootkit prende pieno controllo del computer.
Scarica Aswmbr:
http://public.avast.com/~gmerek/aswMBR.exe
Salvalo sul desktop
Doppio click su Aswmbr.exe e clicca su Scan.
Attendi pazientemente il log e allegalo nel forum.

Scarica Junction:
http://download.sysinternals.com/Files/Junction.zip
Estrai l'archivio .zip dal desktop e inserisci il file junction.exe in C:\Windows
Apri il comando esegui e copia incolla questa riga:

cmd /c junction -s c:\ >log.txt&log.txt& del log.txt

Clicca su OK.
Si avvierà lo scan ed al termine il log del programma , allegalo.

 

[maxthewizard]

nulla, anche dopo otl e in modalità provvisoria combofix non mi salva nessun log. non mi si blocca, parte la scansione rileva il rootkit e dopo dice che è costretto a riavviare, senza salvare nessun log.
ti allego tdss, che cmq non ha trovato nulla...
Wikisend: free file sharing service

 

[tecnico24]

Esegui le istruzioni indicate per uptheirons.
Se Junction non rilascia il log , provare in modalità provvisoria.