UFFICIALE Rimozione Rootkit zero access - postate qui se siete infetti

[Angelo Scotti]

In realtà non c'è bisogno di arrestarli perché non sono avviati, sebbene siano impostati tutti ad avvio automatico. Intanto li sto disabilitando tutti, però vorrei toglierli da lì. Sono quelli nello stamp. Dipendono tutti da svchost.exe -k netsvcs in system32.

Edit: DHL5x non si disabilita, dice: nome già in uso come nome di servizio oppure come nome di display di un servizio.

 

[tecnico24]

I servizi e driver di ZeroAccess li abbiamo eliminati con OTL , evidemente c'è ancora traccia.
Ricerca cmd nella casella di ricerca di windows -> tasto destro e su esegui come amministratore
Scrivi
sc delete "nome del servizio che ti appare in services.msc" senza virgolette. seguito dal tasto invio
Riesegui per tutti quei servizi.

 

[Angelo Scotti]

Ho Win Xp 32bit. Comunque, provando ad eseguire come amministratore invece che come utente nella finestrina che si apre da ''esegui come...'', dice che mi mancano le credenziali. Ciononostante, ho provato a eseguire il comando come utente e i servizi non li trova: errore 1060: il servizio specificato non esiste come servizio installato.

Ad ogni modo, in services.msc ci sono ancora tutti. Lascio perdere?

 

[tecnico24]

Ho Win Xp 32bit. Comunque, provando ad eseguire come amministratore invece che come utente nella finestrina che si apre da ''esegui come...'', dice che mi mancano le credenziali. Ciononostante, ho provato a eseguire il comando come utente e i servizi non li trova: errore 1060: il servizio specificato non esiste come servizio installato.

Ad ogni modo, in services.msc ci sono ancora tutti. Lascio perdere?

Non possiamo lascarli cosi , ma non tutti sono dei rootkit , vedo infatti un driver della d-link
Intanto disabilitali tutti , può essere che qualcuno sia ancora in esecuzione.
Scarica Gmer
http://www2.gmer.net/gmer.zip
Estrai ed avvia Gmer.exe
Clicca sul bottone Scan
Attendi la scansione e se rileva qualche servizio in rosso (significa nascosto), clicca col tasto destro sul servizio -> disable service e poi su delete service.

 

[milly18]

Re: Pulizia pc infetti : chiarimenti e procedure

Allego i report. Combifix non funziona ancora sia in modalità normale che provvisoria. Ti volevo precisare che quando ho lanciato per la ricerca Everything Search Engine non compariva solo quel valore indicato ma molti altri. E' meglio che ti invio la lista?

 

[tecnico24]

Re: Pulizia pc infetti : chiarimenti e procedure

Allego i report. Combifix non funziona ancora sia in modalità normale che provvisoria. Ti volevo precisare che quando ho lanciato per la ricerca Everything Search Engine non compariva solo quel valore indicato ma molti altri. E' meglio che ti invio la lista?

Inviami la lista completa , ma penso che i comandi che ti ho dato sono corretti , verifichiamo.

- - - Updated - - -

Inviami la lista completa , ma penso che i comandi che ti ho dato sono corretti , verifichiamo.

P.S:sposto nella sezione apposita.

 

[milly18]

Re: Pulizia pc infetti : chiarimenti e procedure

Poichè ho difficoltà a copiare faccio un breve elenco:

Cartella $NtUninstallKB909394$ in C:\WINDOWS
Cartella $NtUninstallKB926239$ in C:\WINDOWS
Cartella $NtUninstallKB942288-v3$ in C:\WINDOWS
Cartella spuninst in C:\WINDOWS\$NtUninstallKB909394$
Cartella spuninst in C:\WINDOWS\$NtUninstallKB926239$
Cartella spuninst in C:\WINDOWS\$NtUninstallKB942288-v3$
apph_sp.sdb in C:\WINDOWS\$NtUninstallKB926239$
apphelp.sdb in C:\WINDOWS\$NtUninstallKB926239$
msi.dll in C:\WINDOWS\$NtUninstallKB942288-v3$
msiexec.exe in C:\WINDOWS\$NtUninstallKB942288-v3$
msihnd.dll in C:\WINDOWS\$NtUninstallKB942288-v3$
msimsg.dll in C:\WINDOWS\$NtUninstallKB942288-v3$
msisip.dll in C:\WINDOWS\$NtUninstallKB942288-v3$
netrndis.in in C:\WINDOWS\$NtUninstallKB909394$
da reg00001 a reg00117 in C:\WINDOWS\$NtUninstallKB942288-v3$
rndismp.sys in C:\WINDOWS\$NtUninstallKB909394$
rndismpx.sys in C:\WINDOWS\$NtUninstallKB909394$
spuninst.exe in C:\WINDOWS\$NtUninstallKB909394$\spuninst
spuninst.exe in C:\WINDOWS\$NtUninstallKB926239$\spuninst
spuninst.exe in C:\WINDOWS\$NtUninstallKB942288-v3$\spuninst
spuninst.inf in C:\WINDOWS\$NtUninstallKB909394$\spuninst
spuninst.inf in C:\WINDOWS\$NtUninstallKB926239$\spuninst
spuninst.inf in C:\WINDOWS\$NtUninstallKB942288-v3$\spuninst
spuninst.txt in C:\WINDOWS\$NtUninstallKB909394$\spuninst
spuninst.txt in C:\WINDOWS\$NtUninstallKB926239$\spuninst
spuninst.txt in C:\WINDOWS\$NtUninstallKB942288-v3$\spuninst
sysmain.sdb in C:\WINDOWS\$NtUninstallKB926239$
updspapi.dll in C:\WINDOWS\$NtUninstallKB909394$\spuninst
updspapi.dll in C:\WINDOWS\$NtUninstallKB926239$\spuninst
updspapi.dll in C:\WINDOWS\$NtUninstallKB942288-v3$\spuninst
usb8023.sys in C:\WINDOWS\$NtUninstallKB909394$
usb8023.sys in C:\WINDOWS\$NtUninstallKB909394$

 

[tecnico24]

C:\WINDOWS\$NtUninstallKB909394$
C:\WINDOWS\$NtUninstallKB942288-v3$
C:\WINDOWS\$NtUninstallKB926239$

Rieffettua lo stesso procedimento per queste tre cartelle.

Esse non sono visibili , ma ottenendo i permessi necessari possiamo eliminarle.

Poi riprova con Combofix.

 

[Angelo Scotti]

Eseguita scanskone totale. Non ha trovato nessun elemento nascosto. Intanto sono riuscito a disabilitare tutti i servizi.

 

[tecnico24]

Eseguita scanskone totale. Non ha trovato nessun elemento nascosto. Intanto sono riuscito a disabilitare tutti i servizi.

Per essere sicuri , anche se secondo me del rootkit non c'è piu' traccia , fai tasto destro sui servizi incriminati.
Esempio (in questo caso un servizio non nocivo )


Clicca su proprietà e poi in alto esce il nome del servizio.
A questo punto nel promt digita sc delete nomedelservizio
se ti da errore per tutti quei servizi , significa che sono stati eliminati.

Ti faccio ripetere la procedura , poiche' forse in precedenza si son commessi errori nella dicitura del servizio stesso.

 

[Angelo Scotti]

Effettivamente sì, ogni servizio ha un nome effettivo diverso da quello in elenco. Ora l'errore che mi dà all'eliminazione è un FAILED 5: Accesso negato.

 

[tecnico24]

Effettivamente sì, ogni servizio ha un nome effettivo diverso da quello in elenco. Ora l'errore che mi dà all'eliminazione è un FAILED 5: Accesso negato.

Apri il registro di sistema : in esegui scrivi regedit e dai ok
tasto destro su HKEY_CLASSES_ROOT
seleziona Autorizzazioni
In utenti e gruppi , seleziona utenti
In autorizzazioni seleziona la casella controllo completo
fai click su applica e poi ok
riavvia il computer e riprova.

 

[Angelo Scotti]

Fatto. Purtroppo, sempre la stessa canzone: accesso negato.

 

[tecnico24]

Portati in questa chiave di registro
HKEY_LOCAL_MACHINE
|SOFTWARE
|Microsoft
|Windows NT
|CurrentVersion
|Winlogon
|SpecialAccounts
|UserList

Clicca col tasto destro in uno spazio vuoto accanto scegli nuovo->valore Dword rinominalo in Administrator e dagli valore 1.
Riavvia il sistema ed accedi come Administrator.

 

[Angelo Scotti]

Bene. Finalmente sono riuscito ad eliminarli tutti. Ti ringrazio per tutto l'aiuto che mi hai dato :)