RISOLTO Trojan.Zeroaccess sospetto

Pubblicità
axel68 ha detto:
tecnico24 volevo chiederti devo cancellare ancora le chiavi
  1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
  2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2

    ma prima di farlo non ho chiaro il punto    Individuare il file Nettcpip.inf in %winroot%\inf e aprirlo nel Blocco note:
    mi puoi spiegare meglio dove trovarlo e come salvarlo nelblocco note
    grazie
    axel68
Clicca per espandere...
Abilita le cartelle e files nascosti come ho descritto qui
http://www.tomshw.it/forum/windows/...le-sospetti-nel-task-manager.html#post2207244
In esegui di windows copia questo contenuto seguito da ok
notepad c:\windows\inf\nettcpip.inf
te lo aprirà con il blocco note
 
scusa tecnico24 sono sempre alle prese con il ripristino quando dice:
Selezionare Protocollo Internet (TCP/IP), scegliere Disinstalla, quindi .
Riavviare il computer e selezionare la modalità ripristino servizi directory come descritto nei passaggi 2-4.

2 Dopo la visualizzazione delle informazioni relative al BIOS, premere F8.
3 Selezionare la modalità di ripristino servizi di directory e premere INVIO.
4 Per accedere utilizzare la password della modalità ripristino servizi di directory.

il punto 4 per accedere utilizzare la password(?)
non capisco questo punto
grazie
axel68


tecnico24 ha detto:
Abilita le cartelle e files nascosti come ho descritto qui
http://www.tomshw.it/forum/windows/...le-sospetti-nel-task-manager.html#post2207244
In esegui di windows copia questo contenuto seguito da ok
notepad c:\windows\inf\nettcpip.inf
te lo aprirà con il blocco note
Clicca per espandere...
 
axel68 ha detto:
scusa tecnico24 sono sempre alle prese con il ripristino quando dice:
Selezionare Protocollo Internet (TCP/IP), scegliere Disinstalla, quindi .
Riavviare il computer e selezionare la modalità ripristino servizi directory come descritto nei passaggi 2-4.

2 Dopo la visualizzazione delle informazioni relative al BIOS, premere F8.
3 Selezionare la modalità di ripristino servizi di directory e premere INVIO.
4 Per accedere utilizzare la password della modalità ripristino servizi di directory.

il punto 4 per accedere utilizzare la password(?)
non capisco questo punto
grazie
axel68
Clicca per espandere...

Salta il passaggio e continua.
 
solo il passaggio 4 quello della password il resto seguo alla lettera?
grazie
axel68

tecnico24 ha detto:
Salta il passaggio e continua.
Clicca per espandere...

- - - Updated - - -

grazie tecnico24 ho terminato le operazioni non sono riuscito nei passaggi 2,3,4 a fare quello che diceva perchè non sono riuscito ad fare il reboot e selezionare (dopo f8) selezionare in modalità di ripristino servizi di directory............
spero non abbia annullati gli effetti di tutta l'operazione :boh: intanto ho ripristinato la connessione sempre lenta e con continue cadute ma vediao come va.....i terrò aggiornato ancora grazie
:inchino:
axel68

axel68 ha detto:
solo il passaggio 4 quello della password il resto seguo alla lettera?
grazie
axel68
Clicca per espandere...
 
axel68 ha detto:
solo il passaggio 4 quello della password il resto seguo alla lettera?
grazie
axel68



- - - Updated - - -

grazie tecnico24 ho terminato le operazioni non sono riuscito nei passaggi 2,3,4 a fare quello che diceva perchè non sono riuscito ad fare il reboot e selezionare (dopo f8) selezionare in modalità di ripristino servizi di directory............
spero non abbia annullati gli effetti di tutta l'operazione :boh: intanto ho ripristinato la connessione sempre lenta e con continue cadute ma vediao come va.....i terrò aggiornato ancora grazie
:inchino:
axel68
Clicca per espandere...
Hai fatto bene a saltarli , tranquillo non sono necessari.
Se hai fatto tutto alla lettera , non dovresti riscontrare problemi.
Ciao
 
tecnico24 volevo chiederti se c'è un modo certo per vedere se ho eliminato il rootkit zeroaccess o mi devo affidare solo a comportamenti anomali del pc quali la lentezza della connessione, messaggi strani eccetera , ti chiedo questo perchè sono ad un bivio o aspettare, però so che se si ha un rootkit come zeroaccess piu si aspetta e peggio è e più viene danneggiato il disco (e spero non altro!tipo RAM:shock:!),o farmi coraggio e formattare :(il disco, i documenti e le foto presenti sul disco di backup E: spero non corrotto cercherò di salvarli e ripristinarli se è una soluzione migliore posso portare su un hard disk esterno il backup ..certo forse dovrò in qualche modo ripulire da zeroaccess anche l'hard disk esterno:rolleyes:(perchè potrebbe anche annidarsi li???)comunque scusa se mi sono dilungato la domanda è posso essere certo di aver sconfitto il rootkit o si sta semplicemente ricaricando e si mostrerà a breve con maggiore forza di ora??
Grazie mille
:thanks:
axel68
p.s. ho visto che è stata creata una discussione apposita su zeroaccess con le esperienze di tutti i partecipanti a questo forum devo scrivere li o posso continuare a scrivere in questa, grazie

tecnico24 ha detto:
Hai fatto bene a saltarli , tranquillo non sono necessari.
Se hai fatto tutto alla lettera , non dovresti riscontrare problemi.
Ciao
Clicca per espandere...
 
axel68 ha detto:
tecnico24 volevo chiederti se c'è un modo certo per vedere se ho eliminato il rootkit zeroaccess o mi devo affidare solo a comportamenti anomali del pc quali la lentezza della connessione, messaggi strani eccetera , ti chiedo questo perchè sono ad un bivio o aspettare, però so che se si ha un rootkit come zeroaccess piu si aspetta e peggio è e più viene danneggiato il disco (e spero non altro!tipo RAM:shock:!),o farmi coraggio e formattare :(il disco, i documenti e le foto presenti sul disco di backup E: spero non corrotto cercherò di salvarli e ripristinarli se è una soluzione migliore posso portare su un hard disk esterno il backup ..certo forse dovrò in qualche modo ripulire da zeroaccess anche l'hard disk esterno:rolleyes:(perchè potrebbe anche annidarsi li???)comunque scusa se mi sono dilungato la domanda è posso essere certo di aver sconfitto il rootkit o si sta semplicemente ricaricando e si mostrerà a breve con maggiore forza di ora??
Grazie mille
:thanks:
axel68
p.s. ho visto che è stata creata una discussione apposita su zeroaccess con le esperienze di tutti i partecipanti a questo forum devo scrivere li o posso continuare a scrivere in questa, grazie
Clicca per espandere...
Ho analizzato attentamente i log in precedenza e non risultano infezioni di zero access.
Erano rimasti dei residui di malware , questo si.
ZeroAccess blocca interamente combofix , poichè quest'ultimo è in grado di eliminarlo in automatico.
Avira ti segnala messaggi?la connessione ha problemi?
P.S:continuiamo qui , visto che non si tratta di zeroaccess.
 
tecnico24 avira non mi da piu messaggi(per ora almeno e questo è positivo e mi sembra già un risultato!!:))ma la connessione ha problemi eccome e lo sto constatando perchè ti sto scrivendo dal pc del lavoro e sto notando le differenze che a parte la lentezza (questo puo semplicemente essere dovuto anche da una differente rete!) sul pc di casa mi cade in continuazione la connessione per esempio quando ti scrivo e poi faccio invio spesso a casa devo reinserire l'utenza e la password mentre qui sono collegato e rimango collegato spesso sul pc di casa mentre navigo cade la connessione e devo fare refresh varie volte fino a quando si riconnette sul sito che stavo visualizzando diciamo che è peggiorata molto la navigazione. Ho effettuato il ripristino tcp/ip che mi hai consigliato di fare ieri ma al momento non sembrava essere migliorata la situazione. Mi hanno detto che posso fare 'ripristina' col tasto destro sulla connessione di rete, proverò a farlo.
Tu hai qualche suggerimento da darmi? grazie mille
axel68



tecnico24 ha detto:
Ho analizzato attentamente i log in precedenza e non risultano infezioni di zero access.
Erano rimasti dei residui di malware , questo si.
ZeroAccess blocca interamente combofix , poichè quest'ultimo è in grado di eliminarlo in automatico.
Avira ti segnala messaggi?la connessione ha problemi?
P.S:continuiamo qui , visto che non si tratta di zeroaccess.
Clicca per espandere...
 
tecnico24 ci provo ma non sai che casino scaricare qualcosa con questa rete (connessione) mi si impalla e devo riniziare da capo il download!!!:grrrr: un mezzo calvario e una angoscia non era così prima !!!sigh sigh!!
axel68

tecnico24 ha detto:
Ciao axel ,
scarica sul pc che ha problemi di conessione Farbar Service Scanner:
Downloading Farbar Service Scanner
spunta
Internet services
Other services

Clicca su SCAN
attendi e posta il log che apre.
Clicca per espandere...
 
axel68 ha detto:
tecnico24 ci provo ma non sai che casino scaricare qualcosa con questa rete (connessione) mi si impalla e devo riniziare da capo il download!!!:grrrr: un mezzo calvario e una angoscia non era così prima !!!sigh sigh!!
axel68
Clicca per espandere...
Capisco , verifichiamo di cosa si tratta almeno , ultimo download giuro :asd:
 
tecnico24 oggi non va la connessione non mi si collega e quando anche ci riesco cade subito la linea quindi non riesco a scaricare nulla volevo chiederti aver fatto ripristina su connessione di rete (Connessione alla rete locale (LAN))puo aver provocato qualcosa non lo so cavolo non ci voleva senza rete è difficile !!!:((mezz'ora per scrivere questo messaggio!!) ma ieri non era così e nemmeno quando ho fatto tutte le operazioni per debellare il rootkit adesso è veramente peggiorato se ce la faccio ti invio il log stasera altrimenti loscarico al lavoro e lo faccio girare domani sera grazie
axel68


tecnico24 ha detto:
Riprova : è un eseguibile , non necessità di installazione , verifica correttamente il download.
Clicca per espandere...

- - - Updated - - -

Farbar Service Scanner Version: 27-10-2012
Ran by Admin (administrator) on 29-10-2012 at 21:48:47
Running from "C:\Documents and Settings\Admin\Desktop"
Microsoft Windows XP Professional Service Pack 3 (X86)
Boot Mode: Normal
****************************************************************
Internet Services:
============
Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo IP is accessible.
Yahoo.com is accessible.

File Check:
========
C:\WINDOWS\system32\dhcpcsvc.dll
[2008-04-13 18:13] - [2008-04-13 18:13] - 0126976 ____A (Microsoft Corporation) 699EE7F752A25180AEB92C3A0EAEE440
C:\WINDOWS\system32\Drivers\afd.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
C:\WINDOWS\system32\dnsrslvr.dll
[2008-04-13 18:13] - [2009-04-20 18:18] - 0045568 ____A (Microsoft Corporation) B7A1162B1A26DF7B60D5D9500006096C
C:\WINDOWS\system32\svchost.exe
[2008-04-13 18:14] - [2008-04-13 18:14] - 0014336 ____A (Microsoft Corporation) BB8363ABEC09AA2F9B363484E282117C
C:\WINDOWS\system32\rpcss.dll
[2008-04-13 18:13] - [2009-02-09 11:51] - 0401408 ____A (Microsoft Corporation) BC4E0226341AAEC1222336B3AED86BAB
C:\WINDOWS\system32\services.exe
[2008-04-13 18:14] - [2009-02-09 12:22] - 0111104 ____A (Microsoft Corporation) 26845F272435302E0F3322E660A24F7D

Extra List:
=======
epfwtdir(8) Gpc(6) IPSec(10) NetBT(11) PSched(7) Tcpip(9)
0x0B0000000A0000000400000001000000020000000300000005000000060000000700000008000000090000000B000000

**** End of log ****
 
FSS non rileva proprio niente , come vedi afferma tutti i servizi funzionanti e leggittimi.
Scarica Winsockfix.zip che ti ho allegato qui in basso
Estrai ed avvia winsockfix.exe
Clicca su Fix
conferma eventuali messaggi
Riavvia il pc e verifica.

P.S:se hai problemi a scaricare , procurati un altro pc e "sposta" il materiale sul pc in questione che ha problemi.
 

Allegati

Pubblicità
Pubblicità
Indietro
Top