pidio

Sirefef, Rootkit

17 messaggi in questa discussione

ciao

avira ha beccato sirefef, ho seguito il vostro consiglio scaricando kaspersky, ma quando l'ho fatto partire da cd mi si è spento tutto ed è sparito il cd,...

ho fatto la scansione da usb,

ho seguito i cosigli di Angelique in merito a combofix, malwarebite e advance sistem care,

combofix non gira, alla 50 mi dice che un'attività rootkit è stata rilevata e riparte il pc.

advance sc fatta scansione e ripulito tutto

allego i txt di malware e hijhak

sono disperato...

hijackthis.log

mbam-log-2012-03-29 (20-08-39).txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scarica Anti Zero Access: http://anywhere.webrootcloudav.com/antizeroaccess.exe

● posiziona il file scaricato sul Desktop

● avvia il programma con un doppio click

● clicca Y e poi batti Invio, per avviare la scansione

● finita la scansione dovrebbe rilevare (se presente nel tuo sistema) il Rootkit ZeroAccess

allega il report

Scarica ESET Sirefef Remover: http://download.eset.com/special/encyclopaedia/ESETSirefefRemover.exe

● posiziona il file scaricato sul Desktop

● avvia il programma con un doppio click

● segui le istruzioni che verranno rilasciate per completare l'operazione di rimozione del Rootkit ZeroAccess

● comunica se il rootkit è stato rilevato o meno dal tool

Nota: nelle ultime varianti, l'infezione accennata oltre ad infettare l'MBR, e creare una partizione di pochi MB nascosta nel Disco rigido, ha il brutto vizio di distruggere la connessione ad Internet.

Quindi, se aprendo Gestione Disco in questo modo:

"Clicca sul pulsante Start, scegli Pannello di controllo, Sistema e manutenzione, Strumenti di amministrazione e quindi fai doppio click su Gestione computer. Se viene chiesto di specificare una password di amministratore o di confermare, digita la password o conferma.

Nel riquadro di spostamento clicca su Gestione disco"

Se ti ritrovi una partizione di pochi MegaByte (da 2 a 10 per intenderci) fammelo sapere nel tuo prossimo messaggio, allegando una immagine esplicativa.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao, grazie per l'interessamento,

di seguto i reèport

http://imageshack.us/photo/my-images/651/screenshotxnm.jpg/

rootkit dice : win32/sirefef has NOT found on your sistem

di partizioni non ce ne sono in c:

ho un disco E: con una partizione, ma mi sembra che già ci fosse!

non vedo ancora il cd/dvd D:

non so se ho caricato l'immagine il tal caso ci riprovo

grazie ancora pidio

AntiZeroAccess_Log.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe

● posiziona il tool sul Desktop

termina tutti i programmi attivi, comprese le pagine Internet

● avvia il tool con un doppio click

● clicca, in basso a sinistra, sul pulsante Start

scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi

● attendi pazientemente il termine delle operazioni

● clicca, in basso a destra, sul pulsante Exit

● una volta terminate le operazioni, chiudi il programma

Nota - riguardo al programma:

TFC by OldTimer serve ad eliminare i file temporeanei di tutti gli utenti, con facilità e velocemente

Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe

● posiziona il tool sul Desktop

● chiudi tutti i programmi attivi

● avvia il tool con un doppio click

● clicca sul pulsante CleanUp!

● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Nota - riguardo al programma:

OTC by OldTimer serve ad eliminare i programmi che abbiamo utilizzato per la pulizia (ComboFix in particolare) in modo automatico e preciso: al riavvio non noterai più l'icona di ComboFix, è del tutto normale

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

● posiziona il file scaricato sul Desktop

disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:

● clicca sul pulsante Start, in basso a destra

● clicca sul pulsante Esegui (Windows XP), altrimenti scrivi Esegui nella maschera delle ricerche (Windows Vista e Seven) e cliccaci sopra, una volta trovato

● nello spazio bianco che compare, copia ed incolla questa stringa:

"%userprofile%\desktop\ComboFix.exe" /killall

● premi il pulsante Ok (alternativamente, batti Invio sulla tastiera)

● parte ora ComboFix: segui le istruzioni che verranno rilasciate per eseguire la scansione

● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare

senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:

● potrebbero comparire alcuni file sul Desktop, e poi eliminati

● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi

● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio

● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti

● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:

● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te

● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:

● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore

sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.

Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto

ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

purtroppo non parte combofix seguendo la tua procedura, si spegne il pc

invece facendo doppio clik sul programma , fa i 50 step si riavvia il pc ma non lascia report in c:

sono un pò in panico! è grave? mia figlia deve finire la tesi e non vorrei che si blocchi tutto,

grazie per tutto

emi

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scarica Avira AntiVir Rescue System: http://dlpro.antivir.com/package/rescue_system/common/en/rescue_system-common-en.exe

● inserisci un CD R/RW vergine nell'unità ottica CD/DVD ROM

● doppio click sul file rescue_system-common-en.exe: partirà automaticamente la scrittura del file ISO sul CD (non necessita di alcun programma di masterizzazione)

● configura il sistema per avviarlo tramite l'unità ottica CD/DVD ROM (è lo stesso procedimento che si fa' quando si formatta con il CD del Sistema Operativo)

● partirà il LiveCD Antivirus Avira: avvia una Scansione Completa di tutte le unità presenti nel tuo sistema

● elimina tutto ciò che trova

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

come ti dicevo non mi funziona il cd/dvd ,in gestione periferiche, c'è un punto esclamativo giallo sulla periferica cd/dvd

dal sito di avira ho scaricato il programma per creare il ripristino da USB

in allegato i report, perchè l'ho fatto girare due volte in quanto la prima volta si è bloccato il pc appena finita la scansione

p.s. come faccio per riattivare il cd?

rescue-system_scan.log

rescue-system_scan1.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

E' una bella rogna. Il virus infetta l'unità ottica e la connessione, ancora un rimedio valido non si è trovato.

Certo è che con Emule su quel PC tutto è possibile. :censored:

Internet funziona?

Scarica Kaspersky TDSS Killer: http://support.kaspersky.com/downloads/utils/tdsskiller.exe

● posiziona il file scaricato sul Desktop

● clicca due volte sul file TDSSKiller.exe per avviare l'applicazione

● successivamente premi il pulsante Start scan

Nota - riguardo al programma:

● non cliccare sul pulsante Stop scan per nessun motivo, la scansione si interromperebbe

Giunti a questo punto, inizia la scansione del sistema alla ricerca di software malevolo:

● se viene trovato un file infetto, l'azione di default sarà Cure: clicca quindi su Continua

● se viene trovato un file sospetto, l'azione di default sarà Skip: clicca quindi su Continua

● se non viene rilevato nulla, chiudi semplicemente il programma al termine della scansione

Una volta terminata la scansione, si presenterà una di queste due opzioni:

non è necessario il riavvio del sistema: allega il Report situato nel Disco Locale C:\, di nome TDSSKiller.[Version]_[Date]_[Time]_log.txt

● è necessario riavviare il sistema: clicca su Riavvia ora, infine allega il risultato della scansione (si trova nello stesso percorso menzionato poco fa')

Modificato da *FDAC*

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Un attacco "laterale" al problema è masterizzare un rescuedisc con altro PC (suggerisco quello di Avira o di AVG, quello di BitDefender è più versatile ma deve essere aggiornato via internet) per poi procedere a fare una scansione offline con quello ;)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

non ha trovato niente, il file è troppo grande l'ho spezzato

esiste un programma meglio di emule? lo usa mia moglie ma scarica solo musica e qualche film

grazie anche a pike, ora provo a masterizzare avira rescue su una altro pc e poi vedo di farlo partire da qui,

comunque internet funziona bene

TDSSKiller.2.7.24.0_02.04.2012_18.06.15_log.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao angeli custodi

ho seguito il tuo consiglio,PIKE, masterizzato avia rescue su altro pc, in allegato il report!

ma suppongo che alla fine dovrò formattare il pc.. sigh

buona serata

pidio

rescue-system_scan.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao a tutti, ho avuto anch’io il problema di Sirefef AC AH ecc. e Microsoft Essential lo bloccava ma ogni 30 sec si ripresentava. Ho applicato i consigli indicati nel sito Microsoft

http://answers.microsoft.com/it-it/windows/forum/windows_7-security/il-computer-%C3%A8-infettato-da-malware-come-devo/5ebffd3e-1fe3-40d0-932e-1a5f7277549e

fino al punto in cui cita Avira (5) e lì mi sono stufato!

Allora cercando in giro ho trovato uno che l’aveva risolto così (Windows 7):

1. scaricare il free removal tool di zeroaccess dal sito Simantec e salvarlo con un altro nome qualsiasi sul desktopo

2. disabilitare la creazione di punti di ripristino

3. cancellare tutti i punti di ripristino (è lì che si annida il maledetto)

4. staccare la connessione Internet

5. lanciare il removal tool dal desktop (fa riavviare il PC) e ripetere l’esecuzione almeno tre volte (alla terza dovrebbe dire che non trova più file infetti)

io così l’ho risolto.

Ricordarsi di riabilitare la creazione dei punti di ripristino e crearne subito uno nuovo.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

GiorgioF, grazie della tua esperienza.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao

ho provato la soluzione di giorgio, già al primo riavvio non ha rilevato virus! allora mi sono armato di pazienza ed ho cercato di individuare da dove partisse il problema:

in modalità provvisoria sono andato nell'editor registro di sistema (regedit da esegui) ed ho trovato un file start in.... [RUN] eliminato ...

avira non da virus ogni 10 minuti, non mi viene più l'errore all'avvio (impossibile trovare il file.....) , ho fatto girare combofix ma non mi da il report

però ho il file report di hijackthis me lo analizzate per favore

grazie

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, il report di combofix si trova nel Disco Locale C: ed ha nome ComboFix.txt; allegalo nel tuo prossimo post.

Hijackthis coi rootkit centra poco, comunque ha rilevato delle infezioni.

Attendo il log di ComboFix, dopodiche procederemo ad uno script per eliminare le restanti infezioni.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao , purtroppo combofix non rilascia report!

mi spiego

lancio combofix .... quando inizia lo scan, mi esce questo rettangolo "You are infected with rootkit.zeroaccess! it has inserted itself into the tcp/ip stak. This is a particulary difficult infection.

If for any reason that you’are unable to connect to the internet after running combofix, reboot once and see if that fixed it.

If it’s not fixed, run combofix one more time"

gli dico OK si riavvia il pc....al riavvio parte combofix arriva alla 50 e si spegne il pc, ma non c'è nessun report, ho fatto una ricerca in tutte le cartelle!

ho provato a lanciarlo in modalità provvisoria ,ma il risultato è lo stesso!

pensavi di aver risolto invece...

grazie della tua disponibilità

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora