TR/Rootkit.Gen: hwtdzomb.sys

[rockero]

ciao ragazzi spero mi possiate aiutare subito...Malwarebytes' Anti-Malware e avira i miei antivirus hanno trovato ma non riescono ad eliminare (o forse son io) qsto virus TR/Rootkit.Gen il file nella caretella system32 drivers hwtdzomb.sys
che fare?????

grazie mille!!!

 

[JeanGrey]

Disattiva momentaneamente l'antivirus
Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Se usi Vista: Tasto destro sull'exe, esegui come amministratore
Se usi XP non installare la recovery console
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

 

[rockero]

credo abbiam trovato altri file infetti....panico...posto il log...grazie mille

 

[JeanGrey]

Salva il documento che ti allego CFScript
Con il mouse trascina il file CFScript.txt sull'icona rossa di Combofix

Lascia lavorare il programma
Verrà creato un nuovo log combofix.txt
Allega il rapporto per un controllo.

Scarica Malwarebytes, installa il programma ed aggiorna le firme.
Malwarebytes Anti-Malware - Free software downloads and software reviews - CNET Download.com
Nella scheda scansione, seleziona "scansione completa"
Allega il rapporto.

 

[rockero]

ok...malw già l'ho installato...quindi come faccio???

EDIT
problemone...ho fatto come dicevi ma poi mi ha subito detto che la versione di combo fix era scaduta ora vado per farlo di nuovo e mi dice esegui il programma...che faccio???rifaccio lavorare combo fix e poi copio quel fle passato da te??spero di esser stato chiaro...

EDIT
t allego qsto log nn vorrei che l'ha fatto e nn mi so reso conto...dimmi se è lo stesso tuo o un log nuovo

 

[JeanGrey]

Cortesemente evita il linguaggio stile SMS, se lo usassi anche io, credo avresti qualche difficoltà a seguire la procedura :D

Se Malwarebytes è già installato ti basta aggiornare il programma ed eseguire una scansione.

Hai allegato il mio stesso file CFScript, io ti avevo chiesto un nuovo log di Combofix.

Ora esegui questa operazione

Scarica the Avenger
http://swandog46.geekstogo.com/avenger.zip
Lo salvi in una cartella, scompatti il file .zip
Individua avenger.exe, lo avvii
Inserisci questo script nel box bianco

Files to delete:
c:\windows\system32\drivers\hwtdzomb.sys
c:\windows\system32\CF1468.exe
c:\windows\system32\config\systemprofile\Dati applicazioni\mxncqh.dat
c:\windows\system32\mswins.sys
c:\docume~1\Matteo\IMPOST~1\Temp\kwwalpgr.sys

Drivers to disable:
kwwalpgr
hwtdzomb

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_kwwalpgr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_kwwalpgr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_kwwalpgr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_kwwalpgr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_kwwalpgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kwwalpgr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kwwalpgr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kwwalpgr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kwwalpgr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\kwwalpgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_hwtdzomb
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_hwtdzomb
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_hwtdzomb
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_hwtdzomb
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_hwtdzomb
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwtdzomb
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwtdzomb
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hwtdzomb
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hwtdzomb
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\hwtdzomb

Clicca su Execute
Il pc dovrebbe riavviarsi (se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger

 

[rockero]

Buongiorno!!! allora ho usato avenger come mi hai detto difare e ti posto di seguito il log. Aspetto altri suggerimenti per i prossimi step se ce ne sono da fare.

Grazie mille!!!

 

[JeanGrey]

Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "star"
al termine della scansione ti chiederà il riavvio, dai ok.

Scarica OTC by OldTimer sul desktop
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
clicca su "CleanUP" > "Yes" > "Yes"
riavvia.

Esegui una scansione completa con Malwarebytes ed allega il risultato.

 

[rockero]

Allora fatto tutti i passaggi...e ti posto il log...speriamo sia arrivata la fine :)
grazie

 

[JeanGrey]

Ora esegui una scansione online, meglio sul sito Kaspersky, ed allega il risultato
http://www.tomshw.it/forum/sicurezz...ni-antivirus-online-e-tools-di-rimozione.html

 

[rockero]

fatto...ti posto il log; avevo dimenticato di salvarlo in txt poi l'ho fatto, morale ti allego sia il txt che l'html copiato in un altro file txt (scusa l'errore, maledetta fretta:))....grazie mille

 

[JeanGrey]

Bene, mi pare l'infezione sia risolta, quindi se non ci sono altri problemi possiamo chiudere.

 

[rockero]

dirti grazie è troppo poco....

 

[JeanGrey]

Di nulla.