UFFICIALE Rimozione Rootkit zero access - postate qui se siete infetti

frankdiser · 17 Gennaio 2013

ok

- - - Updated - - -

frankdiser ha detto:
ok

Ecco i file TXT !

OTL.Txt

Extras.Txt

- - - Updated - - -

grazie mille. Aspetto l'analisi.

tecnico24 · 17 Gennaio 2013

In effetti hai una chiave infetta da Zero Access.
Inoltre , hai il pc pieno di adware da eliminare.
Segui queste indicazioni alla lettera:
Apri OTL
sotto il box "custom scans / fixes "
copia questo codice :

Codice:

:OTL
PRC - C:\Users\Public\Documents\AppData\PoApp\PService.exe (PService)
SRV - (SoftwareUpd) -- C:\Users\Francesco\AppData\Local\SoftwareUpdater\SoftwareUpdService.exe (SoftwareUpdService)
SRV - (PowerOffer Service) -- C:\Users\Francesco\AppData\Local\PosService\Pos.exe (PowerOfferService)
SRV - (ServUpdater) -- C:\Users\Francesco\AppData\Local\ServUpdater\ServiceUpd.exe (ServiceUpd)
FF - prefs.js..backup.old.browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..backup.old.browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: ' http://search.findeer.com'
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar_IT Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2851640&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search Safer"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "searchsafer.com"
FF - prefs.js..extensions.enabledAddons: {28387537-e3f9-4ed7-860c-11e69af4a8a0}:4.4.0.01
FF - prefs.js..extensions.enabledAddons: {ea2b95c2-9be8-48ed-bdd1-5fcd2ad0ff99}:0.3.8.1
FF - prefs.js..extensions.enabledAddons: {1FD91A9C-410C-4090-BBCC-55D3450EF433}:1.0
FF - prefs.js..extensions.enabledAddons: {C9B68337-E93A-44EA-94DC-CB300EC06444}:4.51.0
FF - prefs.js..extensions.enabledAddons: {EEE6C361-6118-11DC-9C72-001320C79847}:1.3.0.1
FF - prefs.js..extensions.enabledAddons: plugin@yontoo.com:1.20.00
FF - prefs.js..extensions.enabledAddons: ffxtlbr@funmoods.com:1.5.1
FF - prefs.js..extensions.enabledAddons: 50045ae3b5088@50045ae3b50c1.info:1.0
FF - prefs.js..extensions.enabledAddons: {EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}:2.0
FF - prefs.js..extensions.enabledAddons: {08d495ab-a86c-47b0-82ef-da87bf92f730}:3.15.1.0
FF - prefs.js..extensions.enabledAddons: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.5.7
FF - prefs.js..extensions.enabledAddons: crossriderapp5060@crossrider.com:0.85.36
FF - prefs.js..extensions.enabledAddons: {ADFA33FD-16F5-4355-8504-DF4D664CFE83}:1.0.16
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.12.2.100005
FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.1.2.3
FF - prefs.js..extensions.enabledItems: {30488549-5379-4FBE-9492-1CFA0593F1CD}:1.0
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.2.20100119091315
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:14.0.1
FF - prefs.js..extensions.enabledItems: {08d495ab-a86c-47b0-82ef-da87bf92f730}:3.3.3.2
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: plugin@yontoo.com:1.20.00
FF - prefs.js..extensions.enabledItems: {9565115d-c7d6-46d3-bd63-b67b481a4368}:3.3.5.1
FF - prefs.js..extensions.enabledItems: {e3393495-8103-46a0-8181-270273eddd60}:3.3.3.2
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.5.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1}:3.3.3.2
FF - prefs.js..extensions.enabledItems: {ea2b95c2-9be8-48ed-bdd1-5fcd2ad0ff99}:0.3.8.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
FF - prefs.js..extensions.enabledItems: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}:5.3.0.7550
FF - prefs.js..extensions.enabledItems: support@predictad.com:1.11
FF - prefs.js..keyword.URL: "http://utils.chatzum.com/?url="
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://isearch.babylon.com/?babsrc=adbartrp&babsrc=SP_ss&mntrId=50f044a00000000000000026182341e7&q="
O4 - HKU\S-1-5-21-2719045835-969650260-2273849715-1001..\Run: [zeakapnybuto] C:\Users\Francesco\zeakapnybuto.exe File not found
O4 - HKLM..\Run: [PosService] C:\Users\Public\Documents\AppData\PoApp\PLauncher.exe (PLauncher)
O4 - HKU\S-1-5-21-2719045835-969650260-2273849715-1001..\Run: [Optimizer Pro] C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe (PC Utilities Pro)
O4 - HKU\S-1-5-21-2719045835-969650260-2273849715-1001..\Run: [Trojan Killer] C:\Program Files (x86)\GridinSoft Trojan Killer\_trojankiller.exe (GridinSoft LLC.)
[2012/12/21 12:28:03 | 000,000,000 | ---D | C] -- C:\Users\Francesco\AppData\Local\ServUpdater
[2012/12/21 12:28:03 | 000,000,000 | ---D | C] -- C:\Users\Francesco\AppData\Local\PowerOffer
[2012/12/21 12:28:03 | 000,000,000 | ---D | C] -- C:\Users\Francesco\AppData\Local\PosService
[2012/12/21 03:34:44 | 000,000,000 | ---D | C] -- C:\Users\Francesco\AppData\Local\SoftwareUpdater
[2012/12/21 03:34:44 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyPcCleaner
[2012/12/21 03:34:43 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\MyPcCleaner
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{098E4315-8177-4BB6-B207-0250A84E9E32}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0A26D7F9-A807-41CB-97F9-169FF7F94390}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3E2F1698-64B6-48F7-BCC3-96FC7E55EBD3}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{734AF912-C5ED-4304-B4F6-B23633C12D4D}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 176.31.229.24,176.31.229.25
[2009/07/14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini


:Files
C:\$Recycle.Bin\S-1-5-18\$32e5931e4081c0f61d2f15ac81656d82\n
C:\ProgramData\99EC6DF828.sys
C:\Users\Francesco\AppData\Local\unins000.dat
C:\Users\Francesco\AppData\Local\unins000.exe


:reg
[-HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
[-HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
[-HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
[-HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
[-HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
[-HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64

:Commands
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]

Clicca RUN FIX in alto
aspetta le operazioni
il pc si riavvierà
al ritorno posta il log.

frankdiser · 17 Gennaio 2013

Ok fatto.
Ecco il log.

01172013_184902.log

tecnico24 · 17 Gennaio 2013

Adesso riesegui una nuova scansione con OTL e posta i due report.

frankdiser · 17 Gennaio 2013

ecco la seconda scansione

OTL.Txt

Extras.Txt

com'è la faccenda?

tecnico24 · 17 Gennaio 2013

ZeroAccess è ancora lì.
Scarica RogueKiller
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
sul desktop.
Tasto destro-esegui come amministratore.
Aspetta il caricamento
clicca su Accept
clicca su SCAN
quando ha finito ti rilascia un report , postalo.
P.S:se non te lo rilascia , clicca a destra su report e postalo.

frankdiser · 18 Gennaio 2013

eccolo il report con RogueKiller.
_S_01182013_02d0013.txt]RKreport[1]_S_01182013_02d0013.txt

spero che sei ancroa in linea, perché mi ha individuato il ZeroAccess credo, quindi dovrei fare delete?

tecnico24 · 18 Gennaio 2013

Nel tab Registry lascia spuntate solo queste due:
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$32e5931e4081c0f61d2f15ac81656d82\n.) -> FOUND
[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$32e5931e4081c0f61d2f15ac81656d82\n.) -> FOUND

clicca a destra su Delete.

Riavvia il pc ed esegui combofix come amministratore.

frankdiser · 18 Gennaio 2013

uno dei due Zero Access, quello HKCR, è ricomparso nella lista con quelli non spuntati, REPLACED (C:\windows\sistem32\wbem\fastprox.dll) Zero access

mentre l'altro è scomparso
comunque ora procedo con combofix

- - - Updated - - -

Combofix, dopo essere partito e aver fatto alcuni passaggi di barre, poi mi compare il messaggio

Warning
Do not run ComboFix in Compatibility Mode.
Doing so may damage the machine.

tecnico24 · 18 Gennaio 2013

E' un infezione molto difficile da eliminare.
Esegui una scansione con TDSS Killer:
http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html
posta il report.

Possiedi una pendrive formattata?
segui anche queste istruzioni e posta il log:

Scarica uno dei due file a seconda del sistema operativo
http://download.bleepingcomputer.com/farbar/FRST64.exe 64 bit

http://download.bleepingcomputer.com/farbar/FRST.exe 32 bit

Inseriscilo nella chiavetta.
Inserisci la chiavetta nel Pc infetto
Riavvia il computer e premi ripetutamente F8
Clicca su Ripristina il computer tra le opzioni da scegliere
Completa inserendo la lingua , e il tuo account
fino a scegliere il prompt dei comandi
scrivi notepad seguito da invio
Si aprira un file di testo clicca in alto su file->apri e cerca la lettera in cui viene identificata la chiavetta
Una volta identificata la lettera , nel prompt digita X:\frst.exe dove X è la lettera che hai cercato in precedenza che identifica la chiavetta usb.
Clicca invio
Il tool si avvierà
accetta le condizioni di contratto
premi su SCAN
Quando la scansione è finita, verrà prodotto un report delle operazioni salvato nella chiavetta stessa , chiamato FRST.TXT
postalo in allegato su WikiFortio - Wikifortio

frankdiser · 19 Gennaio 2013

TDSS sembra non aver trovato nulla
TDSSKiller.2.8.15.0_19.01.2013_22.31.10_log.txt

Di Chiavetta ne ho una, che uso comunemente.
Devo formattarla? basta il modo veloce o approfondito?

tecnico24 · 20 Gennaio 2013

Si formattala e poi procedi.

turbo5 · 26 Aprile 2013

Salve a tutti, ho Windows 8 Pro 64 bit, ed alcuni giorni fa ho un preso in mix di virus tra zeroaccess, conedex e sirefef; dopo decine di scansioni con i programmi più disparati, (Malware-bytes, SUPERAntispyware, mrt.exe, ed altri anti-rootkit) credo di averli rimossi quasi del tutto. Le uniche cose che rimangono sono i servizi base e la connettività internet che non riesco a ripristinare, tra questi firewall e defender, che non ne vogliono sapere di avviarsi. Combofix, l'unico che forse poteva realmente salvarmi, non è ancora compatibile con Win 8, siete la mia ancora di salvezza, grazie!

tecnico24 · 26 Aprile 2013

Ciao turbo5.

Proviamo con FSS
scaricalo , avvialo e spunta tutte le caselle seguito da scan.
Posta il log generato e vediamo.

turbo5 · 26 Aprile 2013

tecnico24 ha detto:
Ciao turbo5.

Proviamo con FSS
scaricalo , avvialo e spunta tutte le caselle seguito da scan.
Posta il log generato e vediamo.

ecco qui

Farbar Service Scanner Version: 14-04-2013
Ran by Sergio (administrator) on 26-04-2013 at 13:56:07
Running from "M:\"
Windows 8 Pro with Media Center (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Attempt to access Local Host IP returned error: Localhost is blocked: Other errors
LAN connected.
Attempt to access Google IP returned error. Other errors
Attempt to access Google.com returned error: Other errors
Attempt to access Yahoo IP returned error. Other errors
Attempt to access Yahoo.com returned error: Other errors

Windows Firewall:
=============
MpsSvc Service is not running. Checking service configuration:
The start type of MpsSvc service is OK.
The ImagePath of MpsSvc service is OK.
The ServiceDll of MpsSvc service is OK.

Firewall Disabled Policy:
==================

System Restore:
============

System Restore Disabled Policy:
========================

Action Center:
============

Windows Update:
============
wuauserv Service is not running. Checking service configuration:
The start type of wuauserv service is OK.
The ImagePath of wuauserv service is OK.
The ServiceDll of wuauserv service is OK.

Windows Autoupdate Disabled Policy:
============================

Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is set to Demand. The default start type is Auto.
The ImagePath of WinDefend service is OK.

Windows Defender Disabled Policy:
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1

Other Services:
==============

File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys
[2013-04-09 22:17] - [2013-03-02 11:59] - 2231528 ____A (Microsoft Corporation) B6D52E2C38B49A156E58FF5B9C6CA8BE

C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll
[2013-04-09 22:17] - [2013-03-02 04:45] - 3240448 ____A (Microsoft Corporation) 79F95469604B77296346DE7DB463EA2A

C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll
[2013-03-13 15:35] - [2013-01-29 01:08] - 1555920 ____A (Microsoft Corporation) 905601FFF40D8DA9FA82CBE77D1F5EB1

C:\Program Files\Windows Defender\MsMpEng.exe
[2013-03-13 15:35] - [2013-01-29 03:57] - 0014920 ____A (Microsoft Corporation) 473B9548568BA927ACE0B77EC208A561

C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\iphlpsvc.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit

**** End of log ****

UFFICIALE Rimozione Rootkit zero access - postate qui se siete infetti

frankdiser

Nuovo Utente

tecnico24

frankdiser

Nuovo Utente

tecnico24

frankdiser

Nuovo Utente

tecnico24

frankdiser

Nuovo Utente

tecnico24

frankdiser

Nuovo Utente

tecnico24

frankdiser

Nuovo Utente

tecnico24

turbo5

Nuovo Utente

tecnico24

turbo5

Nuovo Utente