RISOLTO Trojan.Zeroaccess sospetto

[axel68]

tecnico24 lo spero in verità AVIRA non rilevava niente anche prima durante la scansione ecco perchè non mi sono mai allarmato ad un certo punto mi sono cominciati ad apparire messaggi AVIRA che mi segnalavano tr atrap gen2 (questa segnalazione l'ho avuta fino a due ora fa prima dell'ultima operazione da te consigliata. Come ti dicevo prima mi è rimasto il pc con una connessione lenta ma soprattutto mi cade spessissimo la connessione e devo riprovare fino a quando non si riconnette.
Cosa dire spero di aver ripulito il pc staremo vedere per ora ti ringrazio non so cosa avrei fatto senza di te:inchino: e un apprezzamento anche per questo forum interessantissimo fonte di informazioni utili.
ciao
axel68

 

[tecnico24]

Probabile che il malware abbia danneggiato il protocollo tcp.
Segui questa guida
Ripristina Reinstalla TCP / IP

 

[axel68]

mi ha dato questo log:
reset SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\15\RegLocation
old REG_MULTI_SZ =
SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\?\DhcpDomain
SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\DhcpDomain
reset SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{15F3BA06-8C18-455F-A368-A137D4F65000}\NameServerList
old REG_MULTI_SZ =
<empty>
added SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{15F3BA06-8C18-455F-A368-A137D4F65000}\NetbiosOptions
added SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{3E7B3F33-88C3-49E1-A5C2-29AE7DE4CD0E}\NetbiosOptions
added SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{6E185382-193A-47E4-A192-6432F08A4528}\NetbiosOptions
reset SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{FC7A22E5-40B5-48F0-866D-A1A543BA6349}\NameServerList
old REG_MULTI_SZ =
<empty>
added SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{FC7A22E5-40B5-48F0-866D-A1A543BA6349}\NetbiosOptions
deleted SYSTEM\CurrentControlSet\Services\Netbt\Parameters\EnableLmhosts
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{15F3BA06-8C18-455F-A368-A137D4F65000}\NameServer
added SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{19FED123-A757-4C88-B138-DD0663FE7404}\AddressType
added SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{19FED123-A757-4C88-B138-DD0663FE7404}\DisableDynamicUpdate
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{19FED123-A757-4C88-B138-DD0663FE7404}\RawIpAllowedProtocols
old REG_MULTI_SZ =
0
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{19FED123-A757-4C88-B138-DD0663FE7404}\TcpAllowedPorts
old REG_MULTI_SZ =
0
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{19FED123-A757-4C88-B138-DD0663FE7404}\UdpAllowedPorts
old REG_MULTI_SZ =
0
added SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36951BE1-EBC6-473A-89C8-FE25AE806D84}\DisableDynamicUpdate
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36951BE1-EBC6-473A-89C8-FE25AE806D84}\IpAutoconfigurationAddress
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36951BE1-EBC6-473A-89C8-FE25AE806D84}\IpAutoconfigurationMask
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36951BE1-EBC6-473A-89C8-FE25AE806D84}\IpAutoconfigurationSeed
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36951BE1-EBC6-473A-89C8-FE25AE806D84}\RawIpAllowedProtocols
old REG_MULTI_SZ =
0
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36951BE1-EBC6-473A-89C8-FE25AE806D84}\TcpAllowedPorts
old REG_MULTI_SZ =
0
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36951BE1-EBC6-473A-89C8-FE25AE806D84}\UdpAllowedPorts
old REG_MULTI_SZ =
0
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{FC7A22E5-40B5-48F0-866D-A1A543BA6349}\NameServer
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DontAddDefaultGatewayDefault
added SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SearchList
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\UseDomainNameDevolution
reset Linkage\UpperBind for PCI\VEN_1039&DEV_0190&SUBSYS_01911039&REV_00\3&267A616A&0&20. bad value was:
REG_MULTI_SZ =
PSched
reset Linkage\UpperBind for ROOT\MS_NDISWANIP\0000. bad value was:
REG_MULTI_SZ =
PSched
<completed>

Probabile che il malware abbia danneggiato il protocollo tcp.
Segui questa guida
Ripristina Reinstalla TCP / IP

 

[tecnico24]

mi ha dato questo log:
reset SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options\15\RegLocation
old REG_MULTI_SZ =
SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\?\DhcpDomain
SYSTEM\CurrentControlSet\Services\TcpIp\Parameters\DhcpDomain
reset SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{15F3BA06-8C18-455F-A368-A137D4F65000}\NameServerList
old REG_MULTI_SZ =
<empty>
added SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{15F3BA06-8C18-455F-A368-A137D4F65000}\NetbiosOptions
added SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{3E7B3F33-88C3-49E1-A5C2-29AE7DE4CD0E}\NetbiosOptions
added SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{6E185382-193A-47E4-A192-6432F08A4528}\NetbiosOptions
reset SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{FC7A22E5-40B5-48F0-866D-A1A543BA6349}\NameServerList
old REG_MULTI_SZ =
<empty>
added SYSTEM\CurrentControlSet\Services\Netbt\Parameters\Interfaces\Tcpip_{FC7A22E5-40B5-48F0-866D-A1A543BA6349}\NetbiosOptions
deleted SYSTEM\CurrentControlSet\Services\Netbt\Parameters\EnableLmhosts
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{15F3BA06-8C18-455F-A368-A137D4F65000}\NameServer
added SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{19FED123-A757-4C88-B138-DD0663FE7404}\AddressType
added SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{19FED123-A757-4C88-B138-DD0663FE7404}\DisableDynamicUpdate
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{19FED123-A757-4C88-B138-DD0663FE7404}\RawIpAllowedProtocols
old REG_MULTI_SZ =
0
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{19FED123-A757-4C88-B138-DD0663FE7404}\TcpAllowedPorts
old REG_MULTI_SZ =
0
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{19FED123-A757-4C88-B138-DD0663FE7404}\UdpAllowedPorts
old REG_MULTI_SZ =
0
added SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36951BE1-EBC6-473A-89C8-FE25AE806D84}\DisableDynamicUpdate
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36951BE1-EBC6-473A-89C8-FE25AE806D84}\IpAutoconfigurationAddress
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36951BE1-EBC6-473A-89C8-FE25AE806D84}\IpAutoconfigurationMask
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36951BE1-EBC6-473A-89C8-FE25AE806D84}\IpAutoconfigurationSeed
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36951BE1-EBC6-473A-89C8-FE25AE806D84}\RawIpAllowedProtocols
old REG_MULTI_SZ =
0
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36951BE1-EBC6-473A-89C8-FE25AE806D84}\TcpAllowedPorts
old REG_MULTI_SZ =
0
reset SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{36951BE1-EBC6-473A-89C8-FE25AE806D84}\UdpAllowedPorts
old REG_MULTI_SZ =
0
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{FC7A22E5-40B5-48F0-866D-A1A543BA6349}\NameServer
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DontAddDefaultGatewayDefault
added SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SearchList
deleted SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\UseDomainNameDevolution
reset Linkage\UpperBind for PCI\VEN_1039&DEV_0190&SUBSYS_01911039&REV_00\3&267A616A&0&20. bad value was:
REG_MULTI_SZ =
PSched
reset Linkage\UpperBind for ROOT\MS_NDISWANIP\0000. bad value was:
REG_MULTI_SZ =
PSched
<completed>

Se hai problemi esegui la seconda procedura , quella manuale.

 

[axel68]

tecnico24 purtroppo a parte la lentezza della connessione è riapparso il messaggio di errore (sigh sigh!!)
temo stia vincendo zeroaccess!!
questo il solito messaggio che mi appare:
Virus or unwanted program 'TR/ATRAPS.Gen2 [trojan]'
detected in file 'C:\System Volume Information\_restore{AEB44B97-F296-48C8-9A49-70201A7D8179}\RP456\A0053960.ini.
Action performed: Deny accessaxel68

Probabile che il malware abbia danneggiato il protocollo tcp.
Segui questa guida
Ripristina Reinstalla TCP / IP

 

[tecnico24]

Disattiva il ripristino configurazione di sistema

Innanzitutto , prima di operare , è necessario disattivare il ripristino configurazione di sistema:
Per Windows vista / 7:
● Pannello di controllo
● Sistema e sicurezza
● Sistema
● Protezione sistema a sinistra
● Per windows Vista togliere il flag dal disco interessato e confermare con ok
● Per windows 7 cliccate su configura e spuntate su Disattiva protezione , Applica e ok.
Per Windows XP:
● Tasto destro su Risorse del computer
● scheda ripristino configurazione di sistema
● Spuntate il flag su disattiva , Applica e ok.

non dovrebbe apparirti più:verifica.

 

[axel68]

scusami ma non dovrebbe apparmi piu cosa? il messaggio di Avira?
axel68

Disattiva il ripristino configurazione di sistema


non dovrebbe apparirti più:verifica.

 

[tecnico24]

scusami ma non dovrebbe apparmi piu cosa? il messaggio di Avira?
axel68

Si.
La cartella che ti mostra Avira riguarda il ripristino di sistema.
Disattivando il ripristino vengono eliminati tutti i file.

 

[axel68]

l'ho fatto! grazie! scusa l'ignoranza ma quindi il messaggio non voleva dire che avevo ancora il virus sul pc?
axel68

Si.
La cartella che ti mostra Avira riguarda il ripristino di sistema.
Disattivando il ripristino vengono eliminati tutti i file.

 

[tecnico24]

l'ho fatto! grazie! scusa l'ignoranza ma quindi il messaggio non voleva dire che avevo ancora il virus sul pc?
axel68

Si insieda in quelle cartelle.
Avevo dato per scontato che l'avevi disattivato , nella guida in rilievo c'è scritto prima di fare qualsiasi operazione.

 

[axel68]

tecnico :( non mi dire che non avendo fatto questo all'inizio ho inficiato tutte le operazioni eseguite fino ad ora spero di no !!
grazie
axel68

Si insieda in quelle cartelle.
Avevo dato per scontato che l'avevi disattivato , nella guida in rilievo c'è scritto prima di fare qualsiasi operazione.

 

[tecnico24]

tecnico :( non mi dire che non avendo fatto questo all'inizio ho inficiato tutte le operazioni eseguite fino ad ora spero di no !!
grazie
axel68

Piu che infetto , nel tuo pc erano rimasti soli residui.
Combofix di solito non si avvia se il rootkit zeroAccess risiede nel tuo sistema.
Se Avira ti ha rilevato solo quella cartella , con il ripristino dovremmo risolvere , poichè i files vengono eliminati.
Informaci se il messaggio riappare e continua la procedura manuale linkata in precedenza.

 

[axel68]

uff che paura :)pensavo di dover ripetere quello che ho fatto in questi due giorni (ieri notte ho fatto le 2... insomma è stato un po faticoso per un neofita...ostinato!)ma voglio salvare il mio pc !!
per procedura manuale intendi le operazioni per reinstalare il protocollo tcp/ip??
sono queste?

1. Riavviare il controller di dominio.
2. Dopo la visualizzazione delle informazioni relative al BIOS, premere F8.
3. Selezionare la modalità di ripristino servizi di directory e premere INVIO.
4. Per accedere utilizzare la password della modalità ripristino servizi di directory.
5. Fare clic sul pulsante Start, quindi scegliere Esegui.
6. Nella casella Apri digitare regedit, quindi scegliere OK.
7. Individuare le seguenti sottochiavi del Registro di sistema: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
   
8. Fare clic con il pulsante destro del mouse su ciascuna chiave, quindi scegliere Elimina.
9. Scegliere Sì per confermare l'eliminazione di ogni chiave.
10. Chiudere Regedit.
11. Individuare il file Nettcpip.inf in %winroot%\inf e aprirlo nel Blocco note.
12. Individuare la sezione [MS_TCPIP.PrimaryInstall].
13. Modificare la voce Characteristics = 0xa0 e sostituire 0xa0 con 0x80.
14. Salvare il file e chiudere il Blocco note.
15. Nel Pannello di controllo fare doppio clic su Connessioni remote, fare clic con il pulsante destro del mouse su Connessione alla rete locale (LAN), quindi scegliere Proprietà.
16. Nella scheda Generale fare clic su Installa, selezionare Protocollo, quindi scegliere Aggiungi.
17. Nella finestra Selezione protocollo di rete scegliere Disco driver.
18. Nella casella di testo Copiare i file del produttore da digitare C:\Windows\inf, quindi scegliere OK.
19. Selezionare Protocollo Internet (TCP/IP), quindi scegliere OK.

Piu che infetto , nel tuo pc erano rimasti soli residui.
Combofix di solito non si avvia se il rootkit zeroAccess risiede nel tuo sistema.
Se Avira ti ha rilevato solo quella cartella , con il ripristino dovremmo risolvere , poichè i files vengono eliminati.
Informaci se il messaggio riappare e continua la procedura manuale linkata in precedenza.

 

[tecnico24]

Parti dal punto 7 per arrivare al punto 27.

Prima di operare , fai start , digita regedit e dai ok.
Sopra fai file-->>esporta
Intervallo di esportazione : tutto
Salvalo su una cartella a tuo piacimento assicurandoti che abbia estensione .reg

 

[axel68]

tecnico24 volevo chiederti devo cancellare ancora le chiavi

1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
   
2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
   
   ma prima di farlo non ho chiaro il puntoIndividuare il file Nettcpip.inf in %winroot%\inf e aprirlo nel Blocco note:
   mi puoi spiegare meglio dove trovarlo e come salvarlo nelblocco note
   grazie
   axel68
   
   
   

   Parti dal punto 7 per arrivare al punto 27.
   
   Prima di operare , fai start , digita regedit e dai ok.
   Sopra fai file-->>esporta
   Intervallo di esportazione : tutto
   Salvalo su una cartella a tuo piacimento assicurandoti che abbia estensione .reg