THREAD UFFICIALE: Come rimuovere il Rootkit Zero Access

[maxper]

Ciao a tutti ,
Il mio pc XP SP2 e' da 2 giorni che ha cominciato a fare il pazzo :
niente accesso a molte funzioni del Pannello di Controllo a parte la cartella stampanti , appare regolarmente la dicitura "impossibile accedere alla periferica,al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie" .
Il mio soft antivirus mcafee enterprise e' disattivato , nessuna scansione possibile .
Sono entrato con BART-PE e lanciato AVIRA sul disco C , rilevato il virus in questione .
Riavviato pc e fatto il log di hijackthis , vi posto anche una schermata del task manager con un processo sconoscituo che e' ovviamente impossibile da chiudere .
Combofix sembra partire poi si ferma , cambia l'icona e diventa inaccessibile come per il pannello di controllo .
Grazie in anticipo dell'aiuto che vorrete darmi .

[vicky67]

Esegui queste operazioni
• Scarica Malwarebytes Anti-Malware -> Malwarebytes Anti-Malware - Free software downloads and software reviews - CNET Download.com
dopo averlo installato è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controllo si trova nel Tab "File di log").Il file di log va preso solamente dopo aver eliminato gli oggetti.

•Scarica rkunhooker,salvalo sul desktop.http://www.kernelmode.info/ARKs/RKUnhookerLE.EXE
Doppio click su rkunhooker.exe per avviarlo.
Clicca sul tab Report,poi clicca su scan.
Metti il segno di spunta su Drivers,Stealth.Non spuntare il resto.Clicca su ok.
Aspetta la fine delle operazioni e poi clicca su File-Save Report.
Salva il report.Clicca su Close.
Allega il report.

N.B.Se ricevi un avvertimento che rootkit Unhooker detiene un malware ignoralo.E' un falso positivo.


•Scarica OTL, http://oldtimer.geekstogo.com/OTL.exe salvalo sul desktop,doppio click sulla sua icona.
Metti la spunta su SCAN ALL USERS.
Sotto output spunta minimal output
Sotto Extra Registry , seleziona Use SafeList.
Sotto Standard Registry metti All.
Clicca sulla freccettina di File Age e seleziona 60 Days
Metti la spunta a LOP Check and Purity Check.

Clicca su RUN SCAN
A fine scansione OTL produrrà due file di log (OTL.txt ed Extras.txt),
Allegali.
Se sono troppo grandi(superiori a 100 kb) allegali su Wikisend: free file sharing service

Allega i rispettivi log

[maxper]

Ciao , grazie della risposta .

- Malwarebytes e' stato probabilmente intercettato ed ha smesso di funzionare dopo 5 secondi , disinstallato , reinstallato riaggiornato e rilanciato , nuovamente bloccato e inaccessibile come per il pannello di controllo . Ho comunque continuato con gli altri due scan .
- rkunhooker OK , allego .
- OTL ok , allego .

2 report li posto diretti , l'altro e' qui :
Wikisend: free file sharing service

Grazie .

[vicky67]

il pc è infetto da bootkit e altro.

Per eliminare l'infezione

Scarica TDSS killer http://support.kaspersky.com/downloa...tdsskiller.exe e salvalo sul desktop.Doppio click su
TDSSKILLER.exe per avviare l'applicazione e poi su start scan.
Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.
Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Se un riavvio è richiesto il report si trova in C:\folder in questa forma "TDSSKiller.[Version]_[Date]_[Time]_log.txt"

Poi Incolla il contenuto del file in allegato nel box custom scans/fixes di OTL e poi clicca sul pulsante rosso RUN FIX
Quando ha fatto riceverai un log.Allegalo nel prossimo post.

Log da allegare tdss e OTL

[maxper]

TDSS killer ha fatto il suo lavoro , allego report .
OTL si e' fermato alla riga :
Processing PRC - C:\WINDOWS\1477292969:1447883431.exe File not found
e non ha piu' proseguito , l'ho lasciato li per 10\15 minuti , poi ho riavviato il sistema , quindi niente log .
Dovevo lasciarlo di piu' ??

[vicky67]

Riesegui tdss killer e cambia l'azione da skip a cure per il seguente file Suspicious file (Hidden): C:\WINDOWS\1477292969:1447883431.exe. md5: 8f2bb1827cac01aee6a16e30a1260199

Al termine riavvia il pc e riesegui tdss killer
Dovrai postare poi entrambi i log di tdss killer

Scarica SystemLook da uno dei seguenti link e salvalo sul desktop.
http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jps...SystemLook.exe

Doppio clic su SystemLook.exe per avviarlo
Copia il seguente codice nella schermata principale

:filefind
redbook.sys

Allega il log.
Log da allegare 2 di tdss killer e systemLook

[maxper]

Ho lanciato tdss killer 3\4 volte e trova sempre file diversi da curare e sempre lo stesso file da rimuovere , allego i log .
Anche systemlook ha trovato 2 file - allego il log .

Mi e' quasi venuta voglia di formattare tutto e reinstallare .........

[vicky67]

Sei infetto da rootkit zero access.E' una bestiaccia,soprattutto se non si riesce a far partire combofix.Infetta diversi driver di sistema e blocca le autorizzazioni dei programmi.
Dobbiamo cercare di far partire combofix.

1)Esegui con OTL quest'altro script che ti allego.(come hai fatto precedentemente)


2)Scarica junction http://download.sysinternals.com/Files/Junction.zip


1)Decomprimi e metti Junction.exe in C:\Windows.
Vai su esegui e copia il seguente testo :

cmd /c junction -s c:\ >log.txt&log.txt& del log.txt

Inizierà lo scan del sistema. Aspetta che si apra un file di log. Salvalo e allegalo nel prossimo post.

[maxper]

OTL e' partito poi e' scomparso tutto e si e' fermato al desktop senza icone , non ha fatto il reboot , reboot lanciato con ctrl+alt+canc .

Junction ha lavorato , allego il log .

[vicky67]

Infatti il rootkit ha negato l'accesso ai programmi antimalware.
Vediamo se riusciamo a sbloccarli.
scarica http://download.bleepingcomputer.com...es/Inherit.exe sul desktop
Vai su start-esegui e incolla uno per volta i seguenti comandi e dai ok.

Codice:

"%userprofile%\desktop\Inherit.exe" "c:\Documents and Settings\Beth DeMars\Desktop\spyware files\HijackThis.exe"
"%userprofile%\desktop\Inherit.exe" "c:\22ok\ComboFix.exe"
"%userprofile%\desktop\Inherit.exe" "c:\22ok\HijackThis.exe"
"%userprofile%\desktop\Inherit.exe" "c:\Documents and Settings\RICAMBI\Desktop\ComboFix.exe"
"%userprofile%\desktop\Inherit.exe" "c:\\Documents and Settings\RICAMBI\Desktop\OTL.exe"
"%userprofile%\desktop\Inherit.exe" "c:\\WINDOWS\assembly\GAC_MSIL\Desktop.ini"
"%userprofile%\desktop\Inherit.exe" "c:\\WINDOWS\system32\rundll32.exe"

Elimina la copia di combofix e riscaricalo sul desktop ed eseguilo come da istruzioni.
Se non parte riesegui junction e allega il log.

[maxper]

@vicky67
Combofix partito....... tra poco ti dico .

Combofix ha fatto il suo lavoro .
Grazie infinite.... se abbiamo finito .

Allego log combofix

[vicky67]

@Maxper

Eliminato
Adesso scarica il tool di rimozione Mcaffe
rimuovere mcafee

Riapri Otl
Clicca sul tab Cleanup.Verrà richiesto un riavvio.Al termine ogni traccia di combofix e OTL verrà rimossa.

Elimina i programmi usati

Disattiva e riattiva il ripristino configurazione di sistema. Come disattivare e attivare Ripristino configurazione di sistema in Windows XP

Reinstalla un antivirus(ti consiglio avira antivir).ciao

[maxper]

@vicky67
Grazie per l'aiuto , tutto risolto..... anche l'antivirus .

Mille grazie ,
Max

[Alex&Joe]

Buongioro ragazzi..

IO ho un problema molto simile,
ho lanciato Combofix da oltre 4 ore
ed e' ancora in esecuzione.

Cosa faccio ?!
Lascio in esecuzione ComboFix
per altre 4 ore ?!

il virus gia' mi ha bloccato:
zone alarm
avira
dr.web
malaware bites
diversi antivirus online.

Aiutatemi, non posso formattare il pc,
possiedo dei documenti di lavoro importanti.

Grazie in anticipo
AleX

[Alex&Joe]

Scusate, giusto per tenere il filo del problema

Sono le 8.15, ComboFix ha smesso di funzionare .

Ho trovato in compenso il processo che crea
fastidio "3203397148:3809022017.exe" .

Cosa mi consilgiate oltre al panico !?

Saluti
AleX