UFFICIALE Rimozione Rootkit zero access - postate qui se siete infetti

Pubblicità
Re: Pulizia pc infetti : chiarimenti e procedure

Malwarebytes non segnala nulla e anche TDSS killer a parte un file sospetto che però non è un malware.

Scarica RogueKiller 8.1.0.0 Download
sul desktop.
Avvia RogueKiller.exe
aspetta il caricamento dei servizi
clicca sul pulsante Scan
Quando ha finito , non effettuare operazioni ed allega il rapporto in formato .txt
Se il rapporto non viene fuori , clicca sul pulsantino Report

Scarica nuovamente Combofix sul desktop : PERO NON APRIRLO!
clicca sulla tastiera la bandierina di windows + tasto R

copia | incolla questo codice:

"%userprofile%\desktop\combofix.exe" /killall

clicca su ok e attendi che si avvia.
 
Ecco qua.

Comunque, tra i servizi ci sono ancora quelli creati dal rootkit (hanno per descrizione "This service allows the parents di controllare le attività dei propri bambini online eccetera eccetera") che mi mandano in crash il sistema con conseguente BSOD ogni cinque minuti (e risultano tutti errori nel visualizzatore eventi. Nell'ultimo BSOD era riportato il file win32k.sys
 

Allegati

Ultima modifica:
Re: Pulizia pc infetti : chiarimenti e procedure

Sto facendo girare Combofix ma è fermo da oltre 30' dopo lo stage 50 che di solito nel mio pc è l'ultimo. Quanto può durare? oppure lo devo bloccare io, perchè anche le altre volte faceva così e rimaneva fermo. Inoltre parlando con mio padre, che ha in uso uno dei pc, mi ha detto che tramite Skype ha ricevuto un messaggio da un utente sconosciuto con foto che non ha aperto, ma non so se può essere di peso.
Comunque ringrazio per l'assistenza e chiedo scusa per l'insistenza ma ho anche tutti gli altri pc nella stessa situazione e non so come fare perchè sono due giorni che riusciamo a lavorare al 30%.

- - - Updated - - -

Dopo un'ora ho bloccato Combofix ed invece di generarmi un report in C: ho solo la copia, che presumo faccia inizialmente il programma, del pc. Allego report per RogueKiller. Grazie
 

Allegati

Re: Pulizia pc infetti : chiarimenti e procedure

Apri Rogue Killer
attendi lo scan dei servizi
Portati nel tab registry
Seleziona queste voci in grassetto :
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> FOUND
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[TASK][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1454471165-162531612-725345543-1003UA.job : C:\Documents and Settings\ammin1.AMMIN\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe -> FOUND
[TASK][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1454471165-162531612-725345543-1003Core.job : C:\Documents and Settings\ammin1.AMMIN\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe -> FOUND


Clicca sul pulsante Delete.

Scarica OTL sul desktop:
http://oldtimer.geekstogo.com/OTL.exe
Avvia OTL.exe

Metti la spunta su SCAN ALL USERS.

Sotto output metti minimal output

Sotto File scans seleziona 60 Days

Spunta sia LOP Check che Purity Check.

premi su RUN SCAN

Al termine verrano rilasciati OTL.txt e Extras.txt e allegali sul forum.

Scarica Everything Search Engine
http://www.voidtools.com/
Installalo e nello spazio vuoto digita:
C:\WINDOWS\$NtUninstallKB
verifica se c'è questa cartella sopra citata però con la $ finale e informaci.
 
Re: Pulizia pc infetti : chiarimenti e procedure

Grazie mille, inizio subito a lavorare. Ma come faccio dopo con gli altri pc? Devo rifare sempre tutto il lavoro per ogni pc?
 
Re: Pulizia pc infetti : chiarimenti e procedure

milly18 ha detto:
Grazie mille, inizio subito a lavorare. Ma come faccio dopo con gli altri pc? Devo rifare sempre tutto il lavoro per ogni pc?
Clicca per espandere...
Il percorso è lungo , ed essendo dietro ad un pc non è facile aiutarti.
Con calma vediamo di fare il tutto , ci vuole pazienza , ma poi non è detto che siano tutti infetti o che il rootkit abbia infettato il tuo pc.
 
Incolla nel box vuoto di OTL:

:OTL
SRV - (pmsveh) -- %systemroot%\system32\asapiw2k.dll File not found
SRV - (mfesmfk) -- %systemroot%\system32\ec2007service.dll File not found
SRV - (ICAM5USB) -- %systemroot%\system32\generichidservice.dll File not found
SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found
SRV - (dbmanagerscheduler) -- %systemroot%\system32\CdaC15BA.dll File not found
SRV - (atinevxx) -- %systemroot%\system32\Alpham2.dll File not found
SRV - (aswlsvc) -- %systemroot%\system32\wstcodec.dll File not found

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[CLEARALLRESTOREPOINTS]
[Reboot]

Clicca sul pulsante Run fix.
Riallega il report.
 
Re: Pulizia pc infetti : chiarimenti e procedure

Sei anche fin troppo paziente.
Allego i 2 report ed ho verificato la presenza della cartella e ti confermo che è presente diverse volte e la stringa è sempre preceduta dal simbolo indicato e dopo è seguito da numero ed il simbolo come: $NtUninstallKB842773$
 

Allegati

Re: Pulizia pc infetti : chiarimenti e procedure

Chiudi tutti i programmi aperti.

Scaricati Grantperms.zip:
http://download.bleepingcomputer.com...GrantPerms.zip
Estrai il file .zip e doppio click su Grantperms.exe
Copia | incolla:
C:\Windows\$NtUninstallKB842773$
Clicca su Unlock , attendi fino a cliccare su Ok.
Posta il log generato in List permission.

Scarica DUMMYCreator
http://download.bleepingcomputer.com...mmyCreator.zip
Estrai il file Dummycreator.zip sul desktop e doppio click su dummycreator.exe
per avviare il tool.
Copia |incolla :
C:\Windows\$NtUninstallKB842773$
Premi sul pulsante Create.


avvia OTL.

Nel box bianco in basso , copia | incolla:
Codice: 
:Services
:Processes
KILLALLPROCESSES
:Files
C:\Windows\$NtUninstallKB842773$


Clicca sul pulsante RUN FIX ed attendi il riavvio.

Prova a far partire combofix.
 
Pubblicità
Pubblicità
Indietro
Top