Pagina 1 di 2 12 UltimaUltima
Risultati da 1 a 15 di 16

Discussione: Nod32 ha "bloccato" Win64/Sirefef.AR trojan ma ora non funziona a dovere.

  1. #1
    Senior Member L'avatar di CharmeZx
    Data Registrazione
    23-11-2005
    Località
    Lombardia
    Messaggi
    439

    Nod32 ha "bloccato" Win64/Sirefef.AR trojan ma ora non funziona a dovere.

    Ciao a tutti,
    Ieri stavo cercando dei voli aerei quando la pagine del browser è stata indirizzata su altri strani siti di pubblicità e il Nod32 ha trovato e messo in quarantena un virus : "Win64/Sirefef.AR trojan". Diciamo che la reattività del pc dal quel momento mi è sembrata un po' piu' lentam ma non ho avuto particolari problemi. Stamattina ho riacceso il pc e l'antivirus dà un messaggio di allerta della protezione che recita cosi' :"Analysis of application protocols will not function" (An error occoured while starting services.Analysis of application protocols (POP3, HTTP) will not function). Ho cercato notizie e ho letto che con tali virus sono a rischio i dati e le credenziali per esempio della home banking. Ho fatto una scansione col Nod32 ma non ha trovato nulla. Avrei bisogno di un consiglio. Ho windows 7 64bit. Grazie.

  2. #2
    SWZone Staff - Moderatore L'avatar di vicky67
    Data Registrazione
    19-05-2009
    Località
    poggio mirteto (ri)
    Messaggi
    3.821
    ciao CharmeZx
    credo che sei stato infettato dal rootkit zero access.

    Fai queste 2 scansioni per scoprirlo.

    -Esegui una scansione con FRST.Trovi le istruzioni qui
    Usa il procedimento da pc scaricando FRST a 64 bit.

    Esegui poi una scansione con FSS

    -Scarica Farbar Service Scanner Downloading Farbar Service Scanner
    Metti la spunta a tutto
    Premi "Scan".
    Verrà creato un log (FSS.txt) nella stessa directory del tool
    Allega il log.

    Allega i 2 log

  3. #3
    Senior Member L'avatar di CharmeZx
    Data Registrazione
    23-11-2005
    Località
    Lombardia
    Messaggi
    439
    Ok, intanto grazie, allego i log...
    File Allegati File Allegati

  4. #4
    SWZone Staff - Moderatore L'avatar di vicky67
    Data Registrazione
    19-05-2009
    Località
    poggio mirteto (ri)
    Messaggi
    3.821
    Ok il pc è infetto da zero access che ha danneggiato alcuini servizi relativi a firewall-centro sicurezza windows defender.
    OPra scarica il file in allegato e copialo sulla pendrive dove hai FRST.
    Riavvia FRST com hai fatto precedentemente solo che questa volta clicca su FIX una sola volta.
    Allega il log fixlog.txt che troverai sulla pendrive.
    Al riavvio esegui questo tool.

    Scarica services repair http://kb.eset.com/library/ESET/KB%2...icesRepair.exe

    Doppio click su servicesRepair.exe.
    Se una notifica appare clicca su continua o esegui,poi clicca si quando ti chiede di procedere.
    Una volta che il tool ha finito ti verrà chiesto di riavviare il pc.Clicca si per arrestarlo.
    Al riavvio esegui nuovamente farbar service scan ed allega il log.
    Verifica che tutto funzioni correttamente.
    File Allegati File Allegati

  5. #5
    Senior Member L'avatar di CharmeZx
    Data Registrazione
    23-11-2005
    Località
    Lombardia
    Messaggi
    439
    Allora, erroneamente avevo formattato la pen drive e quindi ho dovuto rifare il procedimento, ora allego il log che hai richiesto e procedo con le altre operazioni sperando di aver operato nel modo corretto...
    File Allegati File Allegati

  6. #6
    Senior Member L'avatar di CharmeZx
    Data Registrazione
    23-11-2005
    Località
    Lombardia
    Messaggi
    439
    Dunque, ho eseguito il tool ed al riavvio tutto sembra funzionare, l'antivirus ha ripreso a funzionare correttamente e non dà piu' il messaggio di allerta, fino ad ora è l'unica differenza che noto ma comunque tutto funziona, ho rifatto farbar service scan e allego il log...
    File Allegati File Allegati

  7. #7
    SWZone Staff - Moderatore L'avatar di vicky67
    Data Registrazione
    19-05-2009
    Località
    poggio mirteto (ri)
    Messaggi
    3.821
    Perfetto.
    Il pc era stato infettato dal rootkir zero access la cui variante cancella alcune chiavi di registro relative ad alcuni servizi descritti precedentemente non permettendone quindi l'avvio.Nod ti segnalava appunto degli errori nell'avvio di questi servizi.
    Ora l'infezione è eliminata e i servizi ripristinati.

    Cancella la cartella FRST in C.

    Se vuoi puoi eseguire una scansione con malwarebytes(facoltativa)

    Usa ccleaner Download CCleaner 3.27.1900 - FileHippo.com per pulire il sistema
    • Avvia l’eseguibile per installare l’applicazione.
    • Quando ti chiede di installare la toolbar Yahoo togli la spunta al box.
    • Avvia CCleaner.
    • Lascia le impostazioni di default e clicca su Analizza.Al termine clicca su Avvia Pulizia.

    Disattiva e riattiva il ripristino configurazione di sistema.
    Attivare o disattivare Ripristino configurazione di sistema
    Crea un nuovo punto pulito del sistema.

  8. #8
    Senior Member L'avatar di CharmeZx
    Data Registrazione
    23-11-2005
    Località
    Lombardia
    Messaggi
    439
    Ti voglio ringraziare per il preziosissimo aiuto, faro' la pulizia con CCleaner, il ripristino configurazione l'avevo già disattivato... Grazie ancora!

  9. #9
    Senior Member L'avatar di CharmeZx
    Data Registrazione
    23-11-2005
    Località
    Lombardia
    Messaggi
    439
    Ho provato ora a cancellare la cartella ma mi dice che è impossibile eliminarla e dà l'errore 0x80070091:la directory non è vuota..

  10. #10
    SWZone Staff - Moderatore L'avatar di vicky67
    Data Registrazione
    19-05-2009
    Località
    poggio mirteto (ri)
    Messaggi
    3.821
    Prova a cancellarla in modalità provvisoria loggandoti come amministratore.
    Altrimenti scarica OTL e copia la scitta in basso(senza parola codice) nel box bianco.Clicca quindi su RUN FIX.Allega il log scaturito se la cartella non venisse cancellata.

    Codice:
    :Files
    C:\FRST

  11. #11
    Senior Member L'avatar di CharmeZx
    Data Registrazione
    23-11-2005
    Località
    Lombardia
    Messaggi
    439
    Operazione compiuta grazie ancora !!!

  12. #12
    New Member
    Data Registrazione
    08-06-2013
    Messaggi
    3
    salve approfitto di questo post, perché ho lo stesso problema dell'utente Charmezx.. avrei bisogno del file fixlist.txt

    allego i file richiesti

    FRST.txtFSS.txt


    in pratica ieri il nod ha bloccato il virus in questione.. ma ha arrecato danno al registro penso.. e i servizi non partono più tutti.. mi servirebbe ripulir le schifezze e far restartar i servizi compromessi..
    il nod ovviamente mi dice che non si può avviare, windows firewall, defender, centro messaggi etc. non funzionano.

    se cortesemente mi inviaste il fixlist ve ne sarei grato, grazie.

  13. #13
    SWZone Staff - Moderatore L'avatar di vicky67
    Data Registrazione
    19-05-2009
    Località
    poggio mirteto (ri)
    Messaggi
    3.821
    ciao samsung
    Il rootkit è entrato nel pc.
    Ora eliminiamo il rootkit zero access,comunemente chiamato sirefef da alcuni antivirus e poi sistemiano i servizi compromessi.
    Scarica il file in allegato sul desktop.Posiziona anche FRST sul desktop altrimenti il fix non funziona.
    Riapri FRST e clicca sul pulsante FIX una sola volta.
    Allega il log che troverai sul desktop chiamato fixlist.txt.
    Domani sistemiamo i servizi.
    File Allegati File Allegati

  14. #14
    New Member
    Data Registrazione
    08-06-2013
    Messaggi
    3
    Fixlog.txt

    fatto

    credo di dover lanciare il servicerepair.exe che avevi linkato sopra ora?

  15. #15
    New Member
    Data Registrazione
    08-06-2013
    Messaggi
    3
    Fixlog.txt

    FSS after fix.txt



    ok perfetto, ho fatto il servicerepair.exe, ho riavviato e sembra che tutto sia tornato alla normalità, nod firewall defender centro sicurezza funge tutto come prima.. ed il log sembra apposto.

    solo questa voce suona strana.. ma credo sia ininfluente
    HKCR\CLSID\{C55BBCD6-41AD-48AD-9953-3609C48EACC7} => Key not found

    grazie di tutto, se ci son novità su questa voce dimmi pure

Segnalibri

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •