THREAD UFFICIALE: Come rimuovere il Rootkit Zero Access

[dubo]

scarica otl ==> http://oldtimer.geekstogo.com/OTL.exe sul desktop, avvialo con un doppio click e scegli clean up, il pc dovra' essere riavviato. dopo il riavvio ne' otl ne' combofix saranno piu' presenti, dopo il riavvio scarica nuovamente combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe rinomina combofix prima di salvarlo sul desktop in abc.exe
(per rinominare il file tasto destro sul link, salva con nome e cambia il nome che appare in abc.exe)
Una volta scaricato il programma non devi cliccare sull'icona del programma, clicca il tasto windows(logo bandierina)+R e nello spazio bianco di esegi copia e incolla questo comando, cosi' com'e':

"%userprofile%\desktop\abc.exe" /killall <==copia e incolla

Premi OK, dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.dopo il riavvio allega il log C:\combofix.txt al prossimo post .

[Alex&Joe]

Dopo 2h ...combofix rimane in fase di scanning,
ma non va' avanti con gli step .

E' normale ?!

A.

[macliven]

spero di sbagliarmi ma credo che tu sia infetto da Rootkit Zero Access

scarica questo programmino sul desktop avvialo e digita la lettera Y

attendi la fine della scansione e posta il rapporto che rilascia

[Alex&Joe]

AntiZero Access..mi ha segnalato
dei file appartenenti alla parte del KERNEL
e di VMWARE come infetti, credo che siano
dei falsi positivi.

Ho rimosso avira, vediamo se era quello a bloccarmi
Combofix...vi terro' informati.

A.

[macliven]

purtroppo avevo ragione questo rootkit infetta driver di sistema e scarica altre infezioni e tu ne sei pieno (speriamo bene)

riesegui il tool dovrebbe esserci l'opzione per eliminarlo

esegui anche tdskiller e salvalo sul desktop
Doppio click sull'.exe per avviare l'applicazione e poi su start scan.

Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.
Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Se un riavvio è richiesto il report si trova in C:\folder in questa forma "TDSSKiller.[Version]_[Date]_[Time]_log.txt"

[Alex&Joe]

Ho rimosso Zona Alarm acciaccato,
e rieseguito il tool per il rootkit...

Ora sembra tutto ok ..
Ma combofix non ne vuole sapere di funzionare,
ho notato che se faccio chkdsk /F /R mi dice
che il volume e' occupato da un altro processo
e non puo' essere controllato.

Altro ?!

Saluti
A.

[macliven]

posta il nuovo rapporto di zero access ed esegui tds killer come ti ho indicato

posta anche il log che rilascia

[Alex&Joe]

Rieccoci..


Rimosso anche Avira, era zoppicante..

A.

[macliven]

c'e' ancora da eliminare qualcosa e non poco

ora segui attentamente questi passaggi non tralasciare niente





scarica ccleaner

Importante:
In fase d’installazione togli la spunta altrimenti viene installata Yahoo Tollbar.
Avvialo e clicca su:
- Opzioni Avanzate
Togli la spunta da:
- Elimina file solo se più vecchi di 48 ore
Clicca i tasti:
- Pulizia (il primo in alto a Sinistra)
- Analizza ( Pulsante in basso Centrale)
- Avvia Pulizia (Pulsante in basso a Destra)


Correzione errori File di Registro

Clicca i tasti:
- Registro (Secondo tasto in alto a Sinistra)
- Trova Problemi (Pulsante in basso Centrale)
- Ripara selezionati Pulsante in basso a Destra
- alla domanda:
- Vuoi eseguire il Backup delle modifiche del Registro”
- clicca:
- SI

scarica atf cleaner

Spunta la voce:
- Select all
Premi il tasto:
- Empty Select



elimina combofix con OTC by OldTimer
posizionalo sul Desktop ed eseguilo
Compare la seguente finestra, clicca su CleanUp!
Viene richiesta conferma per l'operazione, clicca Yes


scarica combofix da qui
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file" ,basta che cambi il nome che ti appare in abc.exe)
Fatto questo, clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\abc.exe" /killall

Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt , allegalo come da regolamento

[Alex&Joe]

Nada...

Ho fatto tutto quello che serviva fin'ora,
Ccleaner e ATF incluso.

Appena parte Combofix, arriva alla schermata
mitica dei "10 minuti" li si pianta .

Credo che se non riesco ad buttare giu' il
processo che ho messo in allegato, combofix
non riuscira' ad fare la scansione come si deve.

Idee a riguardo ?!

Saluti
A.

[macliven]

quel processo e' l'infezione di prima prova a killarlo oppure riesegui il tool di prima

[Alex&Joe]

Gia' fatto..

Quel malefico processo, non e' killabile ..
C'ho provato diverse volte ma quando
mando OK per killarlo non succede nulla.

A.

[macliven]

riesci a darmi il percorso? oppure prova a rinominarlo in .old o .txt cosi' lo rendiamo innocuo perlomeno

[Alex&Joe]

Il sistema di ricerca di Vista non me lo trova,
con process_explorer tra le caratteristiche del
processo mi mette "n/a" nel path..quindi.

Non vorrei che fosse un processo creato da
qualcosa che viene a sua volta rinominato
in memoria del S.O.

A.

[macliven]

prima di proseguire prova a rinominare combofix .scr

scarica Everything search engine e digita nello spazio bianco C:\WINDOWS\$NtUninstallKB non inserisco il nome completo perche' varia da pc a pc l'infezione legata ai numeri casuali ma dovrebbe finire in $

prova a cercare questa cartella e dimmi se corrisponde e/O COSA C'E' DENTRO