THREAD UFFICIALE: Come rimuovere il Rootkit Zero Access

[Alex&Joe]

ComboFix e MalwareBytes..ancora hanno il medesimo
comportamento, anche drweb rimane tagliato fuori
dalla sua scansione in modalita' protetta.


Dopo che ho fatto girare Deldomains, devo riavviare !?


A.

[macliven]

vai in provvisoria se riesci scegli ''con rete'' e vedi se riesci ad eliminarlo(i) non ho capito se sono due

C:\Windows\3203397148:3809022017.exe


questi analizali su virus total

c:\windows\system32\ac3acm.acm

c:\windows\system32\xvidvfw.dll

controlla queste cartelle se le conosci

C:\ABC19239A

c:\users\zara\appdata\roaming\Cimaware

c:\program files\Cimaware

[Alex&Joe]

Allora

c:\windows\system32\ac3acm.acm

c:\windows\system32\xvidvfw.dll

sono 2 files dei codec di Klite, ac3 e xvid..

C:\ABC19239A

lo crea Combofix come cartella temporanea.

c:\users\zara\appdata\roaming\Cimaware

c:\program files\Cimaware

Fanno parte di un programma di recupero
documento ".doc", ".xls", ect..ma comunque
eliminabile tranquillamente.

Per quanto riguarda quel file 320xxx, effetivamte
dovrebbero essere 2, provero' ad eliminarli
dopo che avro' cancellato quella chiave da
registro di winzozz.

Per quanto riguarda il riavvio in mod. provvisoria
con la rete, provero' appena posso.

Grazie di nuovo.
A.

[Alex&Joe]

Accipicchiolina di un virus birbantello...

Anche se abilito la visualizzazione dei file di sistema
compreso i file nascosti, i Log dice che si trova la',
ma non ne vedo la benche' minima traccia !!!!

Non lo vedo ne con Hijackthis, processXP, killbox..ma e' li,
vivo e vegeto a disturbare il povero utente.


A.

[macliven]

procedi con la cancellazione della cartella 1cf6efbe

questi sono due file eliminando la cartella dovrebbero andare via

C:\Windows\3203397148.exe
C:\Windows\3809022017.exe

vai nei servizi e controlla se ne vedi qualcuno sospetto semmai dimmi il nome

[Alex&Joe]

Ho eliminato quelle "cartelle" nel registro e
ho trovato un'altra cartella sospettosa
sotto un altro gruppo di chiavi.

che faccio lascio o tolgo ?!

..sarei fortemente intenzionato a eliminarla..

Poi, riavvio ?!

A.

[vicky67]

ciao Alex
intanto che aspetti macliven esegui questa procedura,non ti porterà via molto tempo.

1)Scarica questo programma e decomprimilo sul desktop
http://download.bleepingcomputer.com...mmyCreator.zip
Apri la nuova cartella che apparirà sul desktop
Doppio click su DummyCreator.exe per avviare il tool
Ora copia e incolla nel box
C:\Windows\3203397148
Premi sul pulsante create
Importante: Arresta e riavvia il pc

2)Scarica junction.zip http://download.sysinternals.com/Files/Junction.zip

Decomprimi e metti Junction.exe in C:\Windows.
Vai su esegui e copia il seguente testo :

cmd /c junction -s c:\ >log.txt&log.txt& del log.txt

Inizierà lo scan del sistema.Un trattino lampeggiante su sfondo nero apparirà. Aspetta che si apra un file di log. Salvalo e allegalo nel prossimo post.
(qualora non parta in mod. normale eseguilo in provvisoria)

3)Scarica OTL,http://oldtimer.geekstogo.com/OTL.exe ,salvalo sul desktop,doppio click sulla sua icona.
Clicca sul tab Cleanup.Verrà richiesto un riavvio.

4)Vedi se ora parte combofix
Riscarica combofix possibilmente da un pc pulito rinominandolo in abc.exe o da
qui
ed eseguilo in modalità provvisoria inserendo in esegui
"%userprofile%\desktop\abc.exe" /killall

Allega i log di junction e combofix.

[Alex&Joe]

Ecco il log di Junction..

Combofix lo lancero' appena ho 5 minuti liberi.

Grazie a tutti di nuovo
A.

[vicky67]

ok
prima di eseguire combofix
scarica inherit http://download.bleepingcomputer.com...es/Inherit.exe
Mettilo sul desktop
Apri start-esegui e incolla la seguente riga ed dai ok

"%userprofile%\desktop\Inherit.exe" " c:\limo\PV.3XE "

Senza riavviare il pc esegui combofix.(se non parte prova in provvisoria)
Se hai fatto tutto come da guida hai buone possibilità che combofix parta ed elimini l'infezione.
Altrimenti tentiamo un'altra cosa.

[Alex&Joe]

Cari ammiratori di swzone.it, dopo che ho
lanciato Inherit.exe riesco ad utilizzare in
parte anche i tool di sysinternals.

Ma ComboFix si pianta alla schermata di "10 minuti",
e neanche aspettando 30 minuti si vede un piccolo
avanzamento, da modalita' provvisoria neanche a parlarne.

Che ne dite se provo a cancellare i residui delle
chiavi corrispondenti al virus come : "1cf6efbe" ??

(vedete post precedenti per chi non conoscesse lo storico del mio caso)

A.

[macliven]

Alex se noti nel post #833 ti avevo gia' detto di eliminare la cartella 1cf6efbe, prova ora e dopo prova se riesci a far partire malwarebytes o combofix

[Alex&Joe]

Si si avevo capito..ma con un controllo piu'
profondo del registro di sistema, ho notato
come del resto ho postato, ci sono le stesse
"cartelle" sparse un po' ovunque.. me ne sono
rimaste altre 2 sotto l'alberatura "software" e non
"services".

che faccio lascio o falcio !?

Se solo riuscissi a terminare questo processo
incriminato di "system" sicuramente anche avira
funzionerebbe a dovere .

A.

[macliven]

puoi dirmi i nomi delle cartelle? non si vedono bene nello screen che mi hai postato oppure fai come l'altra volta , importa il file .reg e inviale vediamo cosa contengono

[Alex&Joe]

Eccolo...qui.

Credo che tra un riavvio e l'altro
quel virus abbia ricreato qualche chiave.

Ho notato che nella rete, questo tipo
di virus ha fatto incesta di computer.

A.

[macliven]

se vai nel registro puoi tranquillamente cancellare quei valori , oppure fai una copia del registro ( per sicurezza) e cancellale tutte

se solo riuscissi ad avviare Norman o virit te le spazzerebbe sicuramente via

prova a seguire il percorso ed elimina solo 1cf6efbe

[HKEY_USERS\S-1-5-21-1481462012-1054147712-2592995562-1000\Software\1cf6efbe]