Olimpo Informatico

[DEX7ER]

Salve a tutti.

A lavoro ho a che fare con un pc infettato dal (a quanto ho letto) celeberrimo virus che blocca qualsiasi download con la frase che dà il titolo al topic. Ho visto che ci sono alcuni topic aperti ma ho anche capito che ogni caso va analizzato in maniera particolare e, quindi, ho preferito non riprendere le vecchie discussioni ma aprirne un'altra. Mi sono però premunito: ho scaricato i 4 cavalieri dell'Apocalisse (Hitman, Combofix, Adw e OTL) e ho provveduto ad effettuare i primi passaggi. Allego quindi i log dei primi 2 programmi e aspetto fiducioso il vostro aiuto.

Hitman:

HitmanPro_20131203_1055.log

Combofix:

ComboFix.txt

Vi lascio un acconto di ringraziamenti per l'attenzione, il resto a lavoro finito.

[R16]

Ciao .
Il pc è infettato pesantemente dal rootkit "Zero Access".

Serve anche una scansione con RougeKiller :
Scarica RougeKiller sul desktop.
link (per S.O 32 bit)
link (per S.O 64 bit)
Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, clicca su "Delete"
Finite le eliminazioni, clicca su "Report".
Postalo qui.

N.B:
Questa scansione deve essere eseguita PRIMA di OTL, il quale deve essere eseguita per ULTIMO.

[DEX7ER]

Eccomi, grazie ancora per il tempo dedicatomi. RogueKiller l'avevo scaricato ma l'avevo perso tra i download. Ovviamente seguo le tue indicazioni per le varie scansioni, le prime due le avevo fatte autonomamente in funzione del fatto che nelle precedenti discussioni rappresentavano il primo passo della terapia.

Scansione con RogueKiller effettuata, report:

_D_12032013_164225.txt]RKreport[0]_D_12032013_164225.txt

[R16]

Ciao.

Ripeti la scansione con RogueKiller.
Finita la scansione clicca ancora su Delete.
Finita l'eliminazione clicca su Report.
Postalo qui.

Poi:
Scarica TDSSKiller sul desktop:
link
Fai doppio clik su TDSSKiller.exe
Clicca su:
Change parameters.
Metti la spunta su "detect tdlfs file system"
Clicca OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Il rootkit ha infettato anche l'MBR. (Master Boot Record)
Scarica aswMBR.exe sul desktop.
link
Fai doppio clic aswMBR.exe per eseguirlo
Ti chiederà di aggiornare le firme.
Clicca Si.
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui.

Ci sono anche infezioni da adware.
Fai la scansione con Adwcleaner. (che avevi in programma.)

[DEX7ER]

Rieccomi. Ho quasi tutto il materiale.

RogueKiller:

_D_12042013_102232.txt]RKreport[0]_D_12042013_102232.txt

TDSSKiller:

TDSSKiller.2.8.16.0_04.12.2013_10.23.28_log.txt

aswMBR mi dà problemi, per tre volte interrompe dopo qualche minuto la scansione con questo messaggio di errore:



Ho provato a riavviare e a ripetere l'operazione ma non è cambiato nulla.

AdwCleaner (non so se i report sono necessari):

.txt]AdwCleaner[R0].txt

.txt]AdwCleaner[S0].txt

[R16]

Ciao.

[DEX7ER]

Scrivo da casa e quindi non potrò agire sul PC infetto prima di domattina. Posso però già anticiparti che la voce per cui ho scelto "skip" non aveva l'opzione "cure" (ne aveva 3: skip, quarantine e un'altra che non ricordo), al contrario dell'altra voce. Dopo la prima scansione verrà aggiunta da TDSSKiller o rischio di non trovarla comunque?

[R16]

Ciao.
Ecco la guida ufficiale:
link
L'opzione "Cure" c'è quando il programma è sicuro di avere trovato un'infezione.
L'opzione Skip c'è quando la ritiene sospetta.
Quando si ferma sui file che ti ho indicato nel post precedent, sarà Skip.
Tu clicca sul menù a tendina, e seleziona Cure, e poi Continue.

Se non trovi Cure, clicca su quarantine, e poi Continue.
Lui lo sposterà nella cartella "quarantine" e il file non potrà più nuocere.

[DEX7ER]

Ho provato a rifare la scansione con TDSSKiller ma stavolta non trova nulla di sospetto (ho provato anche ad aggiornarlo e a rifare la scansione: stesso risultato). Entrambe le volte spuntando l'opzione "detect tdlfs file system". Ti metto comunque il report per completezza:

TDSSKiller report.txt

Visto il risultato "pulito" ho riprovato una scansione con aswMBR ma mi dà lo stesso risultato di prima.

Ho preferito non agire con FRST prima di risolvere l'inconveniente con i primi due programmi. Dimmi tu se posso farlo comunque.

[R16]

Ciao.

[DEX7ER]

Capisco, scusami ma quando ho a che fare con questo tipo di cose cerco di non fare il passo più lungo della gamba per non pentirmi amaramente in seguito

Ecco i log di FRST:

FRST.txt

Addition.txt

[R16]

Adesso devi avere un po di pazienza che lo devo analizzare per bene.
Seguiranno eventuali istruzioni.
A proposito :come funziona il pc?
Che problemi riscontri?

scarica questo file sul desktop (dove hai FRST)

link

Avvia FRST e clicca su FIX.
Attendi la fine della scansione.
Posta il file fixlog.txt.

[DEX7ER]

Ma figurati, ovviamente problemi di tempo non ce ne sono. È già tanto quello che mi stai dedicando in maniera totalmente disinteressata e per questo ti ringrazio nuovamente

Il computer viene usato solo per gestire una stampante non utilizzata in maniera eccessiva e quindi un'analisi dettagliata sul suo funzionamento non sarebbe possibile. I problemi più importanti che lo affliggevano erano l'impossibilità di scaricare file da internet (da cui il titolo del topic) e riavvii in automatico ogni ora circa (quello dovuto, penso, all'infezione dell'MBR).

Entrambi i sintomi sono scomparsi, tant'è che sono appena riuscito a scaricare Chrome e Avira e quindi a dare un minimo di protezione da eventuali ulteriori minacce esterne.

Attendo ultra-pazientemente l'analisi dei log e le successive istruzioni. Grazie ancora.

[R16]

[DEX7ER]

Rieccomi! Le 2 ore di scansione di MBAM e le 3 di Avira mi hanno fatto ritardare un po' la raccolta del materiale. MBAM ha trovato 20 elementi e ho provveduto ad eliminarli, Avira ne ha trovati 2 e li ho eliminati conservando una copia dei trojan (TR/ZAccess.H) in quarantena. Tutto ok, se non fosse che la Real-Time protection mi segnala (sul pop-up in basso a destra) 88/90 virus e se provo ad entrare nella finestra vera e propria di Avira il conto arriva a quasi 1000 elementi trovati. Forse sono io che non ho afferrato qualcosa e quelle cifre non rappresentano effettive minacce presenti nel PC. Ce lo diranno i report mi sa. Eccoli qua:

FRST

Fixlog.txt

MBAM

mbam-log-2013-12-05 (19-42-08).txt

Avira

AVSCAN-20131206-103418-6563EB41.LOG

OTL

OTL.Txt

Extras.Txt

Ah, una cosa. Dopo la scansione di MBAM il computer ha avuto un problema al riavvio (già fatto altre volte): prima di aprire la schermata con il sistema operativo lo schermo è diventato nero (con il cursore al centro) e non ha più finito l'avvio. Ho dovuto spegnerlo, riavviarlo in modalità provvisoria e poi riavviare da lì. Dimmi tu se potrebbe aver compromesso qualcosa nel lavoro di pulizia.

[R16]

Ciao.

[DEX7ER]

Non li conosco ma mi informerò presso colui il quale ha utilizzato il PC e ha causato tutto ciò (mio nipote). Ti faccio sapere il prima possibile.

[R16]

In ogni caso, i file eliminati da Mbam si possono ripristinare.
Per il momento NON lo fare.

Il pc è ancora infetto:
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

[DEX7ER]

Il secondo file è stato riconosciuto ma non c'è assolutamente bisogno di recuperarlo. Riguardo al primo non ha saputo dirmi nulla ma da una rapida ricerca su Google ho visto che è qualcosa di sospetto; quindi direi che anche del secondo non è necessario assolutamente un recupero.

Ecco i log.

Post fix:

12062013_184404.log

Post scan:

OTL.Txt

Extras.Txt

[R16]

Ciao.
Direi che ci siamo.

Vai in "Programmi e funzionalità" e rimuovi Hitman Pro.

Cestina RogueKiller.

Cestina aswMBR.

Cestina FRST assieme ai suoi log (che hai sul Desktop)

Vai in C: ed elimina la cartella FRST.

Svuota il Cestino.

Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Apri OTL e clicca su CleanUP.
Si disistallerà Combofix, TDSSKiller, e lo stesso OTL.
Ti chiederà il riavvio del pc: acconsenti.

Ripeti la pulizia con CCleaner.

Tieni installato Malwarebytes. (è un ottimo software)
Ricorda di aggiornarlo sempre prima di ogni scansione.

Se hai domande o riscontri problemi, chiedi pure.