UFFICIALE Rimozione Rootkit zero access - postate qui se siete infetti

[Alex1970]

Ciao a tutti,
avendo un pc con w7 x64 infettato (presumo) da zeroaccess, che in qualsiasi modalità grafica si riavvia dopo un minuto, mi sono portato
avanti eseguendo la semplice operazione di scan con FRST64. Allego i file e gradirei di sapere come procedere.

Grazie in anticipo.

 

[tecnico24]

Ciao a tutti,
avendo un pc con w7 x64 infettato (presumo) da zeroaccess, che in qualsiasi modalità grafica si riavvia dopo un minuto, mi sono portato
avanti eseguendo la semplice operazione di scan con FRST64. Allego i file e gradirei di sapere come procedere.

Grazie in anticipo.

Brutta storia e brutta variante.
Scarica OTL sul desktop:
http://oldtimer.geekstogo.com/OTL.exe
Avvia OTL.exe

Metti la spunta su SCAN ALL USERS.

Sotto output metti minimal output

Sotto File scans seleziona 60 Days

Spunta sia LOP Check che Purity Check.

premi su RUN SCAN

Al termine verrano rilasciati OTL.txt e Extras.txt e allegali sul forum.


Allega anche il log di Combofix
http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html

 

[Alex1970]

Grazie.

Nel frattempo ho lanciato TDSSKILLER in modalità forzata all'avvio, ha messo a posto qualcosa, ora il pc è su da oltre 10 minuti; Ms Security Essentials ha rimosso qualcosa, la connessione a Internet funziona (AVIRA si è aggiornato automaticamente). Ho scaricato COMBOFIX da un pc di appoggio, se poi serve ....
Lanciato OTL con le opzioni suggerite, allego i file appena me li rilascia.

Prima di OTL ho anche lanciato RogueKiller, che ha messo a posto altre cose; rileva, ma non mi lascia modificare l'MBR.

 

[tecnico24]

Grazie.

Nel frattempo ho lanciato TDSSKILLER in modalità forzata all'avvio, ha messo a posto qualcosa, ora il pc è su da oltre 10 minuti; Ms Security Essentials ha rimosso qualcosa, la connessione a Internet funziona (AVIRA si è aggiornato automaticamente). Ho scaricato COMBOFIX da un pc di appoggio, se poi serve ....
Lanciato OTL con le opzioni suggerite, allego i file appena me li rilascia.

Siamo fortunati , la connessione di solito non funziona.
Allega i file di OTL e il log di combofix , bisogna rimuovere ancora qualcosa.

 

[milly18]

Re: Pulizia pc infetti : chiarimenti e procedure

Sono dovuta rientrare a casa per potermi connettere perchè non funziona nè internet nè posta. Ho provato nuovamente ad utilizzare Combofix in modalità provvisoria ma non si riavvia in automatico ma rimane nella finestra azzurra. Se chiudo la finestra lo schermo rimane vuoto e se lo riavvio mi crea in C: una icona, come dicevo prima, uguale all'immagine di risorse di computer, ed all'interno c'è quello che realmente c'è in C: e non mi crea il txt.
Adesso ho lanciato Malware e vedrò la fine della scansione domattina. Che virus ho beccato!

 

[tecnico24]

Re: Pulizia pc infetti : chiarimenti e procedure

Sono dovuta rientrare a casa per potermi connettere perchè non funziona nè internet nè posta. Ho provato nuovamente ad utilizzare Combofix in modalità provvisoria ma non si riavvia in automatico ma rimane nella finestra azzurra. Se chiudo la finestra lo schermo rimane vuoto e se lo riavvio mi crea in C: una icona, come dicevo prima, uguale all'immagine di risorse di computer, ed all'interno c'è quello che realmente c'è in C: e non mi crea il txt.
Adesso ho lanciato Malware e vedrò la fine della scansione domattina. Che virus ho beccato!

Forse si tratta del rootkit ZeroAccess.
Aspetto il log di
Malwarebytes
TDSS Killer
Buon lavoro.

 

[Alex1970]

Ecco i files di OTL

- - - Updated - - -

E qui COMBOFIX

- - - Updated - - -

E qui COMBOFIX

- - - Updated - - -

Riavviato in modalità normale dopo Combofix, sembra funzionare tutto .....

 

[tecnico24]

Script personalizzato con OTL :apri il programmino , copia incolla queste righe in grassetto nel box vuoto custom scans/fixed

:OTL
[2012/10/04 07:20:11 | 000,328,704 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe.DA4D7AC3039A387E
[2012/10/04 07:15:14 | 000,328,704 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe.C4D8375D1FE21395
[2012/10/03 01:27:32 | 000,049,872 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\lggbdewb.sys
[2012/10/03 01:03:10 | 000,328,704 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe.5F5A13A055074D7B
[2012/10/03 00:40:49 | 000,328,704 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe.215AA0FD2DB15EFC
[2012/10/03 00:40:49 | 000,049,872 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\dprggspk.sys
[2012/10/03 00:37:08 | 000,328,704 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe.60650934B1DB173D
[2012/10/04 19:52:57 | 000,015,600 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012/10/04 19:52:57 | 000,015,600 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012/10/03 01:27:32 | 000,049,872 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\lggbdewb.sys
[2012/10/03 01:03:10 | 000,328,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe.5F5A13A055074D7B
[2012/10/03 00:40:49 | 000,328,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe.215AA0FD2DB15EFC
[2012/10/03 00:40:49 | 000,049,872 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\dprggspk.sys
[2012/10/03 00:37:08 | 000,328,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe.60650934B1DB173D
[2012/10/04 07:20:11 | 000,328,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe.DA4D7AC3039A387E
[2012/10/04 07:15:14 | 000,328,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe.C4D8375D1FE21395
[2012/10/04 19:45:52 | 000,208,216 | ---- | C] (Kaspersky Lab, GERT) -- C:\Windows\SysNative\drivers\10059390.sys
[2012/10/04 19:21:46 | 000,328,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe.7558100ED2C00B29
[2012/10/04 19:21:46 | 000,328,704 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\services.exe.7558100ED2C00B29
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\0x00000001 - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\oledb - No CLSID value found
O18:64bit: - Protocol\Handler\ms-itss - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\mso-offdap - No CLSID value found
O18:64bit: - Protocol\Handler\mso-offdap11 - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
O33 - MountPoints2\{f0d0fbc1-e480-11e1-8aca-c80aa9c16b46}\Shell - "" = AutoRun
O33 - MountPoints2\{f0d0fbc1-e480-11e1-8aca-c80aa9c16b46}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{f0d0fbce-e480-11e1-8aca-c80aa9c16b46}\Shell - "" = AutoRun
O33 - MountPoints2\{f0d0fbce-e480-11e1-8aca-c80aa9c16b46}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{feb400ea-c467-11e0-8c38-9e55cff7a264}\Shell - "" = AutoRun
O33 - MountPoints2\{feb400ea-c467-11e0-8c38-9e55cff7a264}\Shell\AutoRun\command - "" = G:\autorun.exe
@Alternate Data Stream - 1212 bytes -> C:\ProgramData\Microsoft:6jP4lGR8NpnBvalbgLtDlFL03ca
@Alternate Data Stream - 1093 bytes -> C:\Program Files\Common Files\System:QVqxsF2B2VARYmRRl9FKQzU
@Alternate Data Stream - 1046 bytes -> C:\ProgramData\Microsoft:BF8gnLinzO7BK8B7uUfKjQOdh

:Files
C:\Users\Alessio\AppData\Local\{5B78C904-BE6E-48C0-9327-7A6EE3E2707F}
ipconfig /flushdns /c

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]


Clicca sul pulsante RUN FIX.
Attendi il riavvio del pc ed allega il log post-operazione.

 

[Alex1970]

Grazie.

Nel frattempo ho riavviato e sto facendo uno scan veloce con MS Security Essential; navigare naviga; i servizi sono su. Ora faccio partire OTL.

- - - Updated - - -

Dopo il fix, è partito il ripristino all'avvio .... uhm ....

 

[tecnico24]

Grazie.

Nel frattempo ho riavviato e sto facendo uno scan veloce con MS Security Essential; navigare naviga; i servizi sono su. Ora faccio partire OTL.

- - - Updated - - -

Dopo il fix, è partito il ripristino all'avvio .... uhm ....

Riguarda proprio il file services.exe che è stato infettato.
Attendi la fine e informami.

 

[Alex1970]

Finito, riavviato. Ora mi dice che la copia di Windows non è attivata ... E' uscito il report di OTL, devo uploadarlo ?

 

[tecnico24]

Finito, riavviato. Ora mi dice che la copia di Windows non è attivata ... E' uscito il report di OTL, devo uploadarlo ?

Si , fammi controllare il report dell'operazione.

 

[Alex1970]

Eccolo

 

[tecnico24]

Eccolo

Verifichiamo altri residui.

Scarica Antizeroaccess:
http://anywhere.webrootcloudav.com/antizeroaccess.exe
Avvialo , clicca sul pulsante Y per far partire la scansione
al termine ti mosterà se il pc è infetto o meno
Se appare la scritta verde sei pulito , altrimenti rilascia un log
Allegalo.

 

[Alex1970]

Mi dice che è un eseguibile a 32bit, come faccio ad usarlo per x64 ?