PROBLEMA Rootkit.ZeroAccess virus! Impossibile connettersi alla rete

ElPocho796

Utente Attivo
8
0
Buona sera ragazzi.
Qualche giorno fa ho preso un virus al pc (Windows 7). Inizialmente il virus non dava problemi, c'era solo Kapersky Antivirus che rompeva avvisandomi del virus. Ho provato a scansionare con due antivirus diversi (Kapersky e Avast), ma non sono riusciti a rimuoverlo.
Il virus si "sveglia" e inizia a lavorare in rete, qualsiasi pagina aprivo da una ricerca mi riportava nella pagina di Google. (nella barra indirizzi dopo il dominio radice c'era scritto qualcosa, ma non ricordo)
Stamattina scopro che non mi fa connettere più a internet! la diagnostica alcune volte mi dice "Impossibile rilevare automaticamente le impostazioni di questo proxy di rete" e delle volte "Impossibile indivduare il problema".
E ancora, se voglio aprire alcune voci, ad esempio Protezione sistema, mi si presenta un errore "Errore imprevisto nella pagina delle proprietà: Errore di Ripristino configurazione di sistema. Riprovare a eseguire Ripristino configurazione di sistema. (0x81000203)"

Ho salvato un log da HiJackThis: hijackthis.txt

Ci ho provato anche con ComboFix, ma lasciandolo aperto per un oretta non va avanti, rimane sempre all'inizio, mi si presentano ogni tanto soltanto due avvisi, sempre uguali:
1) You are infected with Rootkit.ZeroAccess! It has inserted itselft into the tcp/ip stack. This is a particulary difficult infection.
If for any reason that you're unable to connect to the internet after running ComboFix, reboot once and see if that fixes it.
If it's not fixed, run ComboFix one more time.

2)Rootkit is detected
Be patient as this may take some moments

Come posso risolvere? Prima di tutto vorrei ritornare in rete col mio pc! :(
 
Ultima modifica:

FDAC

Utente Attivo
1,335
194
Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe
● posiziona il tool sul Desktop
● chiudi tutti i programmi attivi
● avvia il tool con un doppio click
● clicca sul pulsante CleanUp!
● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Riavvia il PC E:

Scarica Anti Zero Access: http://anywhere.webrootcloudav.com/antizeroaccess.exe
● posiziona il file scaricato sul Desktop
● avvia il programma con un doppio click
● clicca Y e poi batti Invio, per avviare la scansione
● finita la scansione dovrebbe rilevare (se presente nel tuo sistema) il Rootkit ZeroAccess
allega il report


Riavvia il PC E:
Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● clicca sul pulsante Start, in basso a destra
● clicca sul pulsante Esegui (Windows XP), altrimenti scrivi Esegui nella maschera delle ricerche (Windows Vista e Seven) e cliccaci sopra, una volta trovato
● nello spazio bianco che compare, copia ed incolla questa stringa:
"%userprofile%\desktop\ComboFix.exe" /killall
● premi il pulsante Ok (alternativamente, batti Invio sulla tastiera)
● parte ora ComboFix: segui le istruzioni che verranno rilasciate per eseguire la scansione
● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.
Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno
 
Ultima modifica:
  • Mi piace
Reazioni: ElPocho796

ElPocho796

Utente Attivo
8
0
Mille grazie! Ecco il log di Anti Zero Access: AntiZeroAccess_Log.txt

ComboFix continua a darmi ogni tot di minuti i seguenti avvisi:

Avviso 1: You are infected with Rootkit.ZeroAccess! It has inserted itselft into the tcp/ip stack. This is a particulary difficult infection.
If for any reason that you're unable to connect to the internet after running ComboFix, reboot once and see if that fixes it.
If it's not fixed, run ComboFix one more time.

Avviso 2: Rootkit is detected
Be patient as this may take some moments

Il programma non va avanti, è fermo a "Tipicamente non impiega più di 10 minuti ecc..."
Che fare?

EDIT
Nessun problema! ComboFix ha riavviato il PC! A breve allegherò il log
 
Ultima modifica:

FDAC

Utente Attivo
1,335
194
Prova a fare queste scansioni per poter individuare, da dove nasce il problema:
scarica Scanner Servizio Farbar sul desktop :
http://download.bleepingcomputer.com/farbar/FSS.exe
Metti un segno di spunta in tutte le caselle sul lato sinistro.
Clicca su "Scan".
Si creerà un log (FSS.txt) nella stessa directory in cui viene eseguito lo strumento.
Posta il log.



Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e a Purity Check.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:
netsvcs
/ Md5start
Afd.sys
atapi.sys
csrss.exe
Dhcpcsvc.dll
explorer.exe
lsass.exe
nsiproxy.sys
regedit.exe
services.exe
svchost.exe
tcpip.sys
tdx.sys
userinit.exe
winlogon.exe
/ Md5stop
% Systemdrive% \ *.*
% SystemRoot% \ *. / Mp / s
% SystemRoot% \ system32 \ *. sys / 90
% SystemRoot% \ system32 \ *. exe / lockedfiles
% SystemRoot% \ system32 \ drivers \ *. sys / lockedfiles
% Windir% \ assembly \ GAC \ *. ini
% Windir% \ assembly \ GAC_MSIL \ *. ini
% Windir% \ assembly \ gac_32 \ *. ini
% Windir% \ assembly \ gac_64 \ *. ini
% Windir% \ assembly \ temp \ *. ini
% Windir% \ assembly \ tmp \ u / s
"%WinDir%\$NtUninstallKB*$."
% ALLUSERSPROFILE% \ Application Data \ *. exe
HKLM \ System \ CurrentControlSet \ Services \ dhcp
HKLM \ System \ CurrentControlSet \ Services \ AFD
HKLM \ System \ CurrentControlSet \ Services \ tdx
HKLM \ System \ CurrentControlSet \ Services \ Tcpip
HKLM \ System \ CurrentControlSet \ Services \ nsiproxy
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.
 
  • Mi piace
Reazioni: ElPocho796

ElPocho796

Utente Attivo
8
0
Ecco anche il log di ComboFix: ComboFix.txt

Se questo non basta procederò a scansionare con Scanner Servizio Farbar e OTL, come consigliatomi da FDAC. Aspetto vostre risposte :)
 

FDAC

Utente Attivo
1,335
194
Il virus può essere stato preso da programmi P2P, come da aver aperto una mail infetta.

Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe
● posiziona il tool sul Desktop
termina tutti i programmi attivi, comprese le pagine Internet
● avvia il tool con un doppio click
● clicca, in basso a sinistra, sul pulsante Start
scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi
● attendi pazientemente il termine delle operazioni
● clicca, in basso a destra, sul pulsante Exit
● una volta terminate le operazioni, chiudi il programma

Nota - riguardo al programma:
TFC by OldTimer serve ad eliminare i file temporeanei di tutti gli utenti, con facilità e velocemente

Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe
● posiziona il tool sul Desktop
● chiudi tutti i programmi attivi
● avvia il tool con un doppio click
● clicca sul pulsante CleanUp!
● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Nota - riguardo al programma:
OTC by OldTimer serve ad eliminare i programmi che abbiamo utilizzato per la pulizia (ComboFix in particolare) in modo automatico e preciso: al riavvio non noterai più l'icona di ComboFix, è del tutto normale
 
  • Mi piace
Reazioni: ElPocho796

sansansanto

Nuovo Utente
1
0
scusami FDAC ma anche io ho riscontrato lo stesso problema e ho risolto semplicemente avviando ComboFix....facendo così vado incontro a qualche rischio?? (ossia non avendo avviato i due programmi in precedenza)
inoltre perchè eliminare ComboFix e gli altri programmi utilizzati per la pulizia? io trovo utili tenerli sul pc perchè anche senza connessione posso avviarli senza doverli reinstallare, nel caso si ripresenti lo stesso problema....
grazie anticipatamente per la risposta :)
 

FDAC

Utente Attivo
1,335
194
Ciao.
Di norma, dopo una bonifica, si tende a rimuovere ComboFix in quanto se dovesse servirti nuovamente dovresti scaricarlo dal sito ufficiale, e non puoi quindi utilizzare la versione già installata sul PC.

ComboFix non è la panacea di tutti i malware, è un tool potentissimo, veramente, va utilizzato, come dice il disclaimer, sotto la supervisione di un esperto..
Potrebbe essere bastato quello, ma non ti assicuro nulla.

Per maggiori ragguagli, apri un nuovo topic, allegando il log di ComboFix, e, perchè no, quello di AntiZeroAccess.

Francesco
 

Entra

oppure Accedi utilizzando
Discord Ufficiale Entra ora!