problema debellamento rootkit zero access 800000cb.@ & 80000000.@

Ciao a tutti

ho un problema con questo rootkit e questo trojan…avast li rivela e li blocca ma non riesce ad eliminarli in maniera definitiva…provato anche lo scan all’avvio. li rivela li elimina ma una volta arrivato al desvktop si rigenerano…l’infezione è approdata nel mio pc grazie ad un falso aggiornamento adobe reader
ogni tre minuti mi escono i pop up …qualcuno può aiutarmi?

Grazie!!

Ciao e benvenuto nel forum,
che versione hai di avast (7.0.1426?) (Free Pro Is?)? Che sistema operativo utilizzi?
Dove rileva queste infezioni avast? Riesci a postare la scheramata?

ciao

allora…la versione di avast è la 7.0.1426 free…il sistema operativo è win xp home edition

la schermata non so come postartela ma la posizione originaria che vedo dal cestino dei virus è

C:\WINDOWS\installer{c81168e2-1ed5-ea0f-73ec-7d3a9bf1d313}\U

infezione: Win64:Sirefef-A [Trj]

processo: C:\WINDOWS\System32\svchost.exe

Ciao,
ma avevi avast anche prima dell’infezione?
Sei sicuro che li elimina? Prova comunque a non spostarli nel cestino, ma elimina direttamente.
Quando ti escono di nuovo i pop-up e rifai la scansione avast trova di nuovo i rootkit nella stessa posizione che hai indicato?
Prova inoltre a fare una scansione con MBAM free
http://www.malwarebytes.org/products/malwarebytes_free
e vedere se li rileva o li elimina del tutto.

avast l’ho sempre avuto…malwerebytes non trova niente …se li elimino tempo tre secondi e si ricreano nella stessa posizione…sia che li elimino dalla scansione all’avvio che dal cestino… :-\

eliminarli subito non è nelle opzioni del pop up il quale dice che non è richiesta nessuna azione

Prova a fare una scansione con questo programma
http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi
e posta il log ottenuto per favore (per farlo basta che clicchi Attachments and other options mentre stai scrivendo il post e quando ti appare Attach: selezioni sul tuo pc il file)

Ciao

fatto

Incomincia a cancellare queste voci (rifai la scansione e poi FIX CHECKED):
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

se non sai che programma è fai il fix anche di questo
O4 - HKLM..\Run: [KeepInSync] C:\Programmi\File comuni\EmmegiSoft\KeepInSync\KeepInSync.exe

Ti consiglio inoltre di rimuovere Advanced SystemCare
O4 - HKCU..\Run: [Advanced SystemCare 5] “C:\Programmi\IObit\Advanced SystemCare 5\ASCTray.exe” /AutoStart
O23 - Service: Advanced SystemCare Service 5 (AdvancedSystemCareService5) - IObit - C:\Programmi\IObit\Advanced SystemCare 5\ASCService.exe

Facci sapere se non si risolve.
ciao

ti ringrazio tantissimo per la tua gentilezza ed attenzione…
le voci sono state rimosse…ma purtroppo i pop up rimangono … ti allego il log

Di niente ;),
proviamo con questo:
Download aswMBR.exe (http://public.avast.com/~gmerek/aswMBR.exe ) sul desktop.
Fai doppio click su di esso, clicchi Scan per iniziare la scansione, quando è finita, salva il log sul desktop e allegalo nel prossimo post.

ciao

E posta anche il log ottenuto con combofix:

Download Combofix da questo link e salvalo sul tuo desktop http://download.bleepingcomputer.com/sUBs/ComboFix.exe

IMPORTANTE - Disabilita avast e qualsiasi altro antivirus attivo, potrebbe creare problemi!


Doppi click sul file ComboFix.exe e segui le inidicazioni
Poi posta il log che ha creato sotto C:\ComboFix.txt

purtroppo il maledetto appena abbasso gli scudi di avast inibisce combofix…vedo dal task che il processo svanisce…lunedi ritorno qui e ci riprovo ora devo partire con mia moglie…ti ringrazio per il momento…spero saremo più fortunati …buon fine settimana e grazie per il supporto

Ok, allora prova ad avviare il sistema nella modalita provvisoria (devi premere continuamente F8 all’avvio del PC durante il boot), e quindi ad eseguire combofix da questa modalità.

Ciao Giogio!!

sono riuscito a fare la scansione con combofix ma il tools di avast non riesco a scaricarlo…intanto ti mando il log di combo

grazie e buona giornata…

riuscita ora la scan del tools di avast da modalità provvisoria

Ciao,
i log sembrano ok, come va il tuo sistema ora?

ora non escono più pop up e i problemi sono scomparsi anche se alla scansione completa del sistema (non quella all’avvio) mi rileva un file che risulta però offline…mentre la scansione all’avvio è pulita…che dire…grazie mille Giogio!!! incrocio le dita affichè tutto resti stabile ;D

grazie grazie grazie!!!

Ok! :slight_smile:
Ora disinstalla combofix, cliccando sul pulsante start, poi esegui e digita Combofix /Uninstall, disintalla dal pannello di controllo HijackThis, e tutti gli altri tool che non servono di sicurezza (tranne MBAM e AVAST).
Ti consiglio inoltre di eseguire una pulitura dei file temporanei dal sistema con il programma grautito CCleaner
http://www.piriform.com/ccleaner
settimanalmente e/o mensilemente.

mi rileva un file che risulta però offline..
Dove si trova? Cosa intendi offline?

ciao

sto facendo di nuovo la scansione dopo la disinstallazione di combo e di hjeck…è pulita …"il file è offline attualmente non disponibile"percorso C:\WINDOWS\winstart.bat…è una nota di avast nel report ma senza alcuna severità assegnata…stò tranquillo?

Strano… prova a vedere se trovi il file sotto quel percorso e poi testalo su questo sito:
https://www.virustotal.com/

ciao

edit:
comuque non dovrebbe essere un problema, mi sono informato, e sono dei file non più disponibili a causa di certi tool di backup o sincronizzazione
http://forum.avast.com/index.php?topic=56835.msg479458#msg479458
http://forum.avast.com/index.php?topic=55297.msg467476#msg467476