THREAD UFFICIALE: Come rimuovere il Rootkit Zero Access

[macliven]

Non c'e' un metodo visivo per combofix per
vedere se accede con la scansione su disco o
rimane appeso !? ..giusto per capire i motivi
della sua lungaggine.

apri il task manager e vedi se e' in esecuzione


apri il registro start/esegui -> regedit

segui il percorso di questa chiave

HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es

quando sei su -> services vedi quali servizi ci sono sotto la cartellina gialla ma non toccare niente

[Alex&Joe]

Ho visto nell'alberatura indicata quali servizi
ci sono.. la lista non e' corta,
cosa devo vedere nello specifico ?!

Nel mentre ho trovato un malware-remover
"Norman Malware Cleaner", che mi ha fatto
un log dove si identifica queste infezioni :

Scanning running processes and process memory...
C:\Windows\system32\services.exe: Process infected with W32/ZAccess.R
Terminated thread (in process: C:\Windows\system32\services.exe)
C:\Windows\System32\DriverStore\FileRepository\stw rt.inf_827e372d\STacSV.exe: Process infected with W32/Patched.BH
Terminated process: C:\Windows\System32\DriverStore\FileRepository\stw rt.inf_827e372d\STacSV.exe
C:\Windows\System32\DriverStore\FileRepository\stw rt.inf_827e372d\STacSV.exe: File infected with W32/Patched.BH

IL problema non sta' nel capire l'infezione, ma trovare il
modo di toglierla !!

Attendo ulteriori istruzioni .

Saluti
AleX

[macliven]

IL problema non sta' nel capire l'infezione, ma trovare il
modo di toglierla !!

si ma se non conosci l'infezione diventa piu' difficile....non credi??

controlla in quell'albero se c'e' qualche servizio col nome sospetto casomai fai uno screen

[Alex&Joe]

Ecco il 1o risultato..

Abbiamo scovato quel processo come un servizio ,
pero' non appare nella lista standard dei processi di winzozz.

Saluti
A.

[macliven]

vai col tasto destro accanto al valore nella finestra di destra ed elimina

controlla che non ci siano altri servizi sospetti

[Alex&Joe]

Ma il valore della "pseudo cartella" posta a sinistra dell'alberatura,
cioe' "1cf6efbe" lo lascio integro o la cancello ?!

A.

[macliven]

vai col tasto destro sulla cartella 1cf6efbe e scegli ''esporta'' salva il file .reg sul desktop e inviamelo con un p.m.(mess. privato)

[bonovox767]

Alex&Joe non ricominciare a quotare o torni al 66%

[Alex&Joe]

macliven ti ho inviato un mesg. in privato ..

[macliven]

aspetta lo sto cercando

[macliven]

ok

elimina solo il valore per ora lo trovi nella finestra a destra accanto a

"ImagePath'' 3203397148:3809022017.e xe

tasto destro elimina

[Alex&Joe]

Brutte notizie..

anche se cancello quel valore,
al prossimo riavvio viene ricreato
c'era da aspettarselo.

In piu' ogni tanto mi salta fuori il B.O.D
(bluescreen of death) !!

Prossimo ?!

Saluti
A.

ps: si vede all'orizzonte una simpatica formattazione
con acquisto di un HDisk esterno da 200Gb, vorrei
evitarlo.

[macliven]

certo se continui a chiudere e riaccendere il pc l'infezione si fa una bella risata....prova da start esegui scrivi hijackthis e dai ok vedi se si apre il programma

se non funziona vedi se riesci a scaricare dds Doppio clic per avviare il file dds.scr, si apre una finestra dos, a fine scansione si apriranno 2 report,salvali con il nome che hanno e inseiscili su wikisend come hai fatto per gli altri.

[Alex&Joe]

Finalmente un po' di luce...

Eliminado quella chiave riesco ad impadronirmi di
Hjackthis e DDS.scr, in allegato i log che mi hai richiesto
incluso quello di hijackthis, cosa ne pensi !?

Avira rimane disattivato e Combofix non si muove affatto.

Provo a riscaricarmi DrWeb-cureit e vedo se riesco
a farlo girare.

Saluti
A.

[macliven]

mentre controllo prova se riesci a far partire combofix o malwarebytes

scarica DelDomains

clic con tasto destro del mouse e scegli "Installa"