UFFICIALE Rimozione Rootkit zero access - postate qui se siete infetti

Pubblicità
Ciao, mi sento molto stupida ma mi sembra corretto scrivere e dare notizie dopo gli immattimenti che ho fatto passare. Praticamente questa mattina ho dovuto far intervenire un tecnico sul posto per cercare di sistemare la situazione non solo per me ma anche per altre 5 persone che facevano poco o niente non avendo il pc ok. Ha controllato il pc ed ha fatto girare un altro programma e si è messo a controllare. Alla fine a tolto qualcosa di sospetto, non mi chiedere cosa che non mi ricordo, e la linea ancora non andava. Alla fine abbiamo spento e riacceso il router ed è partito. Mi sento una Fantozzi ma io non c'ho proprio pensato perchè il rallentamento della navigazione non è stata simultanea per tutti ma progressiva. Tuttavia nessuno mi toglie dalla testa che nei pc qualcosa c'è perchè, e questa domanda mi assilla, perchè Combofix non va? L'ho provato in 5 pc. In 4 fa uguale e si blocca e solo in uno si riavvia come dovrebbe fare normalmente.
Ti prego non mi mandare al quel paese, sei stato infinitamente gentile :inchino:
 
maxthewizard ha detto:
ciao, intanto grazie mille. il log di tdss è completamente pulito e così anche malwarebytes ora. però combofix non mi salva nessun log, parte la scansione, mi dice che ho il rootkit zeroaccess, poi dopo un po' mi dice che ha rilevato il rootkit e sta lavorandoci, poi però chiede il riavvio senza salvarmi nessun log...
Clicca per espandere...

Ciao,

è capitato pure a me il fatto ke combofix non riuscisse a fare la scansione per colpa del rootkit.zero all'inizio anche io cliccavo su ok e poi riavviava il pc senza fare nulla, xò poi ho fatto una prova e quando mi è uscito il messaggio ke aveva trovato il rootkit.zero invece di cliccare su ok ho chiuso il messaggio con la x e combofix ha continuato la scanzione portando a termine tutta la procedura e pulendo il pc infetto
 
Ciao Tecnico24 spero di essere nella sezione giusta , ho una domandina da farti:

il problema del rootkit scritto nell' altro topic mi è capitato circa una settimana fa e una volta ripulito tutto il pc andava bene , da ieri forse ma non ne sono sicuro per un' altro motivo non so... ho notato che è più lento nel caricamento di windows, circa una decina di secondi e una volta apparso il desktop noto che i monitorini sull' area di notifica sono un po più lenti nell' apparire.

prima di rimuovere il rootkit di cui parlavo avevo notato che sul visualizzatore eventi compariva l'errore ftdisk 49 e 45 che diceva : Impossibile configurare il file di paging per i dettagli arresto anomalo del sistema. Assicurarsi che la partizione di avvio contenga un file di paging e che lo spazio disponibile sia sufficiente a contenere tutta la memoria fisica.

uno volta ripulito con kaspersky tdds killer tutto si è risolto ! ............ma ora dopo alcuni giorno una nuova grana.


Fatto le dovute scansioni con antivirus (nod32) e malwarebyte non ho trovato nulla ,dando un' occhiata con hijackthis mi sembra tutto a posto e ho fatto pure un defrag con l'utility di windows ( che comunque uso 1 volta a settimana quindi il sistema non è mai troppo frammentato............deframmento anche quando non serve per abitudine ) ma non ho risolto nulla.

Ora ogni tanto mi ritrovo il seguente errore sul visualizzatore eventi , e penso che il possibile rallentamento dipenda da questo , non ho la più pallida idea da cosa può dipendere ( ulteriore infezione "spero di no" o problema di altro tipo ) se possibile vorei sapere se è possibile risolvere e come è meglio procedere

GRAZIE MILLE e scusa per il disturbo.

ecco l'immagine dell' errore
 

Allegati

  • errore.webp
    errore.webp
    81.3 KB · Visualizzazioni: 215
salve a tutti ho gia aperto una discussione sul trojan zeroaccess per ora ho seguito le indicazioni ma continuo ad avere problemi mi si apre una finestra dicendo che è presente sul mio pc il trojan atrap gen2 ho seguito le indicazioni molto utili di tecnico24 ma non sono state risolutive al 100%, non mi arrendo e vorrei risolvere il problema se qualcuno puo darmi qualche suggerimento.
Allego il log combofix.txt ciao a tutti :thanks:
axel68
 

Allegati

axel68 ha detto:
salve a tutti ho gia aperto una discussione sul trojan zeroaccess per ora ho seguito le indicazioni ma continuo ad avere problemi mi si apre una finestra dicendo che è presente sul mio pc il trojan atrap gen2 ho seguito le indicazioni molto utili di tecnico24 ma non sono state risolutive al 100%, non mi arrendo e vorrei risolvere il problema se qualcuno puo darmi qualche suggerimento.
Allego il log combofix.txt ciao a tutti :thanks:
axel68
Clicca per espandere...
Non avevamo finito.
Posta il log nella tua discussione
http://www.tomshw.it/forum/sicurezza/264022-trojan-zeroaccess-sospetto.html
 
Il mio pc è infettato dal rootkit.zeroaccess!

Salve,

Da qualche giorno ho beccato questo rootkit infame che non vuol saperne di andarsene! :mad:
I primi segnali sono stati reindirizzamenti non voluti durante la navigazione e impossibilità di connettersi a Facebook con Chrome (ma non con explorer/firefox), adesso anche l'AVG si disabilita su alcune funzioni e mi dà errore...

Dunque, per adesso ho provato con i seguenti programmi:

- Kaspery TDSSKiller (non trova nulla)
- RogueKiller (corregge qualche chiave di registro, ma nulla che ha a che fare cool rootkit)
- Malwarebytes (non trova nulla)
- Hitman Pro (non trova nulla)
- Windows Repair All in One (non fa niente, come CCleaner)
- Antizeroaccess.exe (mi dice che non trova nulla, ma nel log mi dice che ha eliminato il rootkit!)
- Combofix (lo rileva, ma non ho risolto nulla) :(

Con Combofix in particolare credevo di avere speranze, ma si bloccava sempre (dopo i 50 step, o al riavvio), finchè una volta son riuscito a farlo terminare correttamente e ad avere il log, anche se il rootkit sta sempre lì!!! :skept:

Allego i log di Antizeroaccess e quello di Combofix, sperando che qualcuno possa dirmi come risolvere senza formattare.... :boh:

- - - Updated - - -

Scusate, non avevo notato che c'era il topic dedicato toppato... :rolleyes:

Nel frattempo ho visto un po' le prime pagine, ho provato con KillZA, ma non me lo rileva nemmeno...
In pratica, al momento, l'unico programma che lo "vede" è Combofix, ma quando ha finito tutto e riavvio, il rootkit è ancora lì! :(
 

Allegati

Secondo me invece il rootkit è andato ,bisogna ripristinare ciò che ha danneggiato o che risulta mancante.
Scarica Winsockfix
sul desktop
Chiudi tutti i programmi aperti
Apri il tool
clicca su Fix
Attendi il riavvio del sistema.

Scarica Avg Remover
http://download.avg.com/filedir/util/avgrem/avg_remover_stf_x86_2013_2706.exe versione per Sistemi a 32 bit
http://download.avg.com/filedir/util/avgrem/avg_remover_stf_x64_2013_2706.exe versione per Sistemi a 64 bit
Avvialo ed esegui la procedura di rimozione.
Rienstallalo da zero
Antivirus gratis | Software per la protezione antivirus | AVG Free
o meglio ancora scarica Antivir Free
Scarica il Miglior Antivirus Gratis | Avira Free Antivirus 2012
aggiornalo alle ultime definizioni ed effettua una scansione completa del sistema
posta il report
 
Ho eseguito winsockfix, disintallato AVG e messo Avira. Ti allego il log del suo scan. :sisi:

- - - Updated - - -

La cosa strana è che però Combofix continua a rilevarmi il rootkit.
Infatti quando lo eseguo mi avverte con "you are infected with rootkit.zeroaccess!", poi continua a cercare e mi compare l'avviso "rootkit detected", seguito da "combofix ha rilevato zeroaccess ed è necessario riavviare il pc". Riavvio, continua a fare lo scan, e (quando non si blocca al 50 step), mi viene fuori il report. Ti allego l'ultimo, quello che ho fatto ora, dopo aver seguito le tue istruzioni.
 

Allegati

Ho analizzato il log di combofix , non c'è traccia del rootkit.
Forse si tratterà di una variante diversa , non capisco perchè combofix rileva ancora il rootkit.
Il mio consiglio è quello di verificare se il pc ha problemi , perchè altrimenti di fronte a questo rootkit a volte bisogna arrendersi.
Se hai problemi su riendirizzamenti o cose varie , procediamo subito , altrimenti se hai risolto devi dircelo tu.

Piccoli consigli :
Disinstalla tutte le versioni di Java dal pannello di controllo
Scarica ATF Cleaner
sul desktop
Non necessità di installazione , avvialo con un doppio click
clicca su Select All
quando ha finito clicca su Empty selected.
Riscarica Java
Download gratuito del software Java
qualora ci fossero aggiornamenti , effettuali senza pensarci due volte.
Effettua scansioni periodiche con l'antivirus aggiornato.
 
Ho ripulito tutto con AFT e poi disinstallato/reinstallato Java. :sisi:
Ora durante la navigazione con Chrome non sembrano esserci reindirizzamenti nè altre stranezze, però Combofix continua a rilevarmi il rootkit (allego l'ultimissimo log)... :look:

Non so quanto sia attendibile, dal momento che mi rileva anche una versione di AVG 2012 attiva, quando l'ho disinstallato con il tool che mi hai postato e ho messo Avira al suo posto... :boh:
 

Allegati

MrBungle ha detto:
Ho ripulito tutto con AFT e poi disinstallato/reinstallato Java. :sisi:
Ora durante la navigazione con Chrome non sembrano esserci reindirizzamenti nè altre stranezze, però Combofix continua a rilevarmi il rootkit (allego l'ultimissimo log)... :look:

Non so quanto sia attendibile, dal momento che mi rileva anche una versione di AVG 2012 attiva, quando l'ho disinstallato con il tool che mi hai postato e ho messo Avira al suo posto... :boh:
Clicca per espandere...
Ripeto l'importante è che non hai problemi di nessun tipo.
 
salve. Ho scoperto di avere il pc infettato da zero access (windows xp professional sp3, symantec endpoint protection). Ho fatto girare Fixzeroaccess scaricato dal sito symantec e ha trovato e fissato un driver infetto (cdrom.sys). Malwarebytes non trova nulla. Ho scaricato e girato combofix; ha trovato rootkill nella stack tcp/ip. E' arrivato alla fine, ha fatto reboot ed un ulteriore giro e poi ha prodotto un report. Sono tranquillo? c'è ancora qualcosa da temere? Come faccio ad allegarvi il report di combofix? grazie
 

Allegati

Ultima modifica:
Pubblicità
Pubblicità
Indietro
Top