Author Topic: problema debellamento rootkit zero access 800000cb.@ & 80000000.@  (Read 10179 times)

0 Members and 1 Guest are viewing this topic.

Offline mantov

  • Newbie
  • *
  • Posts: 9
Ciao a tutti

ho un problema con questo rootkit e questo trojan...avast li rivela e li blocca ma non riesce ad eliminarli in maniera definitiva...provato anche lo scan all'avvio. li rivela li elimina ma una volta arrivato al desvktop si rigenerano...l'infezione è approdata nel mio pc grazie ad un falso aggiornamento adobe reader
ogni tre minuti mi escono i pop up ...qualcuno può aiutarmi?

Grazie!!

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4115
Re: problema debellamento rootkit zero access 800000cb.@ & 80000000.@
« Reply #1 on: May 11, 2012, 02:02:23 PM »
Ciao e benvenuto nel forum,
che versione hai di avast (7.0.1426?) (Free Pro Is?)? Che sistema operativo utilizzi?
Dove rileva queste infezioni avast? Riesci a postare la scheramata?
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline mantov

  • Newbie
  • *
  • Posts: 9
Re: problema debellamento rootkit zero access 800000cb.@ & 80000000.@
« Reply #2 on: May 11, 2012, 02:26:02 PM »
ciao

allora...la versione di avast è la 7.0.1426 free...il sistema operativo è win xp home edition

la schermata non so come postartela ma la posizione originaria che vedo dal cestino dei virus è

C:\WINDOWS\installer\{c81168e2-1ed5-ea0f-73ec-7d3a9bf1d313}\U

infezione: Win64:Sirefef-A [Trj]

processo: C:\WINDOWS\System32\svchost.exe
« Last Edit: May 11, 2012, 02:33:19 PM by mantov »

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4115
Re: problema debellamento rootkit zero access 800000cb.@ & 80000000.@
« Reply #3 on: May 11, 2012, 02:34:09 PM »
Ciao,
ma avevi avast anche prima dell'infezione?
Sei sicuro che li elimina? Prova comunque a non spostarli nel cestino, ma elimina direttamente.
Quando ti escono di nuovo i pop-up e rifai la scansione avast trova di nuovo i rootkit nella stessa posizione che hai indicato?
Prova inoltre a fare una scansione con MBAM free
http://www.malwarebytes.org/products/malwarebytes_free
e vedere se li rileva o li elimina del tutto.
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline mantov

  • Newbie
  • *
  • Posts: 9
Re: problema debellamento rootkit zero access 800000cb.@ & 80000000.@
« Reply #4 on: May 11, 2012, 02:44:49 PM »
avast l'ho sempre avuto.....malwerebytes non trova niente ...se li elimino tempo tre secondi e si ricreano nella stessa posizione...sia che li elimino dalla scansione all'avvio che dal cestino.... :-\

eliminarli subito non è nelle opzioni del pop up il quale dice che non è richiesta nessuna azione

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4115
Re: problema debellamento rootkit zero access 800000cb.@ & 80000000.@
« Reply #5 on: May 11, 2012, 03:13:26 PM »
Prova a fare una scansione con questo programma
http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi
e posta il log ottenuto per favore (per farlo basta che clicchi Attachments and other options mentre stai scrivendo il post e quando ti appare Attach: selezioni sul tuo pc il file)

Ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline mantov

  • Newbie
  • *
  • Posts: 9
Re: problema debellamento rootkit zero access 800000cb.@ & 80000000.@
« Reply #6 on: May 11, 2012, 03:18:21 PM »
fatto


Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4115
Re: problema debellamento rootkit zero access 800000cb.@ & 80000000.@
« Reply #7 on: May 11, 2012, 04:12:42 PM »
Incomincia a cancellare queste voci (rifai la scansione e poi FIX CHECKED):
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

se non sai che programma è fai il fix anche di questo
O4 - HKLM\..\Run: [KeepInSync] C:\Programmi\File comuni\EmmegiSoft\KeepInSync\KeepInSync.exe

Ti  consiglio inoltre di rimuovere Advanced SystemCare
O4 - HKCU\..\Run: [Advanced SystemCare 5] "C:\Programmi\IObit\Advanced SystemCare 5\ASCTray.exe" /AutoStart
O23 - Service: Advanced SystemCare Service 5 (AdvancedSystemCareService5) - IObit - C:\Programmi\IObit\Advanced SystemCare 5\ASCService.exe

Facci sapere se non si risolve.
ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline mantov

  • Newbie
  • *
  • Posts: 9
Re: problema debellamento rootkit zero access 800000cb.@ & 80000000.@
« Reply #8 on: May 11, 2012, 04:26:41 PM »
ti ringrazio tantissimo per la tua gentilezza ed attenzione...
le voci sono state rimosse...ma purtroppo i pop up rimangono ... ti allego il log

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4115
Re: problema debellamento rootkit zero access 800000cb.@ & 80000000.@
« Reply #9 on: May 11, 2012, 04:44:21 PM »
Di niente  ;),
proviamo con questo:
Download aswMBR.exe (http://public.avast.com/~gmerek/aswMBR.exe ) sul desktop.
Fai doppio click su di esso, clicchi Scan per iniziare la scansione, quando è finita, salva il log sul desktop e allegalo nel prossimo post.

ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4115
Re: problema debellamento rootkit zero access 800000cb.@ & 80000000.@
« Reply #10 on: May 11, 2012, 04:51:54 PM »
E posta anche il log ottenuto con combofix:

Quote
Download Combofix da  questo link e salvalo sul tuo desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------------------------------------------

IMPORTANTE - Disabilita avast e qualsiasi altro antivirus attivo, potrebbe creare problemi!

--------------------------------------------------------------------

Doppi click sul file ComboFix.exe e segui le inidicazioni
Poi posta il log che ha creato sotto C:\ComboFix.txt
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline mantov

  • Newbie
  • *
  • Posts: 9
Re: problema debellamento rootkit zero access 800000cb.@ & 80000000.@
« Reply #11 on: May 11, 2012, 05:22:39 PM »
purtroppo il maledetto appena abbasso gli scudi di avast inibisce combofix...vedo dal task che il processo svanisce...lunedi ritorno qui e ci riprovo ora devo partire con mia moglie...ti ringrazio per il momento...spero saremo più fortunati ....buon fine settimana e grazie per il supporto

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4115
Re: problema debellamento rootkit zero access 800000cb.@ & 80000000.@
« Reply #12 on: May 11, 2012, 06:01:34 PM »
Ok, allora prova ad avviare il sistema nella modalita provvisoria (devi premere continuamente F8 all'avvio del PC durante il boot), e quindi ad eseguire combofix da questa modalità.
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline mantov

  • Newbie
  • *
  • Posts: 9
Re: problema debellamento rootkit zero access 800000cb.@ & 80000000.@
« Reply #13 on: May 14, 2012, 12:05:52 PM »
Ciao Giogio!!

sono riuscito a fare la scansione con combofix ma il tools di avast non riesco a scaricarlo..intanto ti mando il log di combo

grazie e buona giornata..

riuscita ora la scan del tools di avast da modalità provvisoria
« Last Edit: May 14, 2012, 02:23:21 PM by mantov »

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4115
Re: problema debellamento rootkit zero access 800000cb.@ & 80000000.@
« Reply #14 on: May 14, 2012, 07:30:01 PM »
Ciao,
i log sembrano ok, come va il tuo sistema ora?
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52