Trojan Backdoor.Win32.ZAccess.ob

**Bartjsp** · 16-09-2011, 18:59

Ragazzi è un pomeriggio che sto uscendo pazzo per eliminare questo maledetto trojan.

Anti-virus posseduto, Kaspersky, lo vede ma non lo elimina (complimenti), ho scaricarto i vari tools dal loro sito, nulla da fare. Mi chiede di eliminarlo, confermo, risponde che al riavvio sarà rimosso e invece eccolo sempre lì.

Non si riesce neanche a terminare il processo. Ho provato con Spydoctor Search & Destroy, nulla da fare. Ho cercato sulla rete e si trovano solo baggianate, tutta roba falsa.

Non posso neanche formattare il pc per la grande quantità di dati che ci sono.

**menatwork** · 16-09-2011, 19:09

ciao

scarica TDSSKiller

Estrai il contenuto sul desktop.
Assicurati che TDSSKiller.exe sia sul desktop.

Start > Esegui > copia/incolla il seguente comando e dai OK.

"%userprofile%\Desktop\TDSSKiller.exe"

Clicca su Start Scan.
Se c’è un’infezione, l'azione di default sarà cure. Clicca su continua.
Se c’è il sospetto di un’infezione, l'azione di default sarà skip. Clicca su continua.
Se viene richiesto il riavvio, accetta.
Il rapporto si troverà in C:, sotto queste sembianze: TDSSKiller.[Version]_[Date]_[Time]_log.txt
Se non è stato richiesto il riavvio, chiudi e clicca su report. Salva il contenuto in un file di testoe postalo

scarica combofix sul desktop

alla richiesta se vuoi installare la recovery console clicca su NO

esegui ComboFix.exe

segui le instruzioni

finita la scansione portati in C:\ e allega, nella tua prossima risposta, il contenuto del file di testo Combofix.txt

come usare correttamente combofix

**Bartjsp** · 16-09-2011, 22:11

Ho scaricato e installato ComboFix ma non riesco a farlo partire, viene auto-terminato da solo. Purtroppo il pc si blocca di continuo e sono costretto al riavvio forzato. Prima di riuscire ad aprire IE8 e raggiungere la pagina ho impiegato circa mezz'ora e dovuto riavviare almeno 10volte.

Il worm è: 4241926224:2941724931.exe ma non riesco assolutamente a trovarlo da nessuna parte.

Suspicious file (Hidden): C:\WINDOWS\4241926224:2941724931.exe
=================================================
2011/09/16 20:50:52.0046 3496 Detected object count: 2
2011/09/16 20:50:52.0046 3496 Actual detected object count: 2

Avevo scaricato Security Task Manager, ma anche questo non si avvia, come anche Malware Antibyte e Avant Browser (quest'ultimo non capisco come mai visto che è solo un browser di navigazione).

Grazie.

**menatwork** · 16-09-2011, 22:17

mi serve il log intero di tds killer

Scarica rkill da uno dei links seguenti (è lo stesso programma con nomi diversi):
http://download.bleepingcomputer.com/grinler/rkill.com
http://download.bleepingcomputer.com/grinler/rkill.exe
http://download.bleepingcomputer.com/grinler/rkill.scr

se ricevi un messaggio che indica rkill come un' infezione, ignora il messaggio e prosegui , se ti appaiono delle finestre (popup) non chiuderle ma lancia nuovamente rkill e cerca di portare a termine la scansione

rimuovi combofix con OTC by OldTimer

eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI

scaricalo nuovamente
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file" ,basta che cambi il nome che ti appare in abc.exe)
Fatto questo, clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\abc.exe" /killall

Premi OK, partirà la scansione.Durante questa fase non fare assolutamente niente con il pc.
Apparirà una schermata di esonero garanzie sul software-clicca su si,
Apparirà una schermata (solo per chi usa windows xp) per installare la console di ripristino,clicca su no.
Al termine apparirà a schermo il log di combofix che potrai anche trovare in C:\combofix.txt .

**R16** · 16-09-2011, 22:46

Ciao menatwork.

Questa volta sarà veramente dura.
Bartjsp, ha imbarcato una delle infezioni più potenti in circolazione :
Il Rootkit Zero.Access.
Difficilmente Combofix funzionerà, (il rootkit non lo permette)
Consiglio di leggere questo link, e provare a scaricare il tool specifico anti ZeroAccess.
http://translate.google.it/translate...26prmd%3Dimvns
Ciao.

**menatwork** · 16-09-2011, 22:52

ciao r16 stavo provando con tds killer e qualcosa ha trovato

grazie come sempre per il tuo intervento

@ Bartjsp
segui le indicazioni fornite da r16
effettua una scansione con questo tool -> http://anywhere.webrootcloudav.com/antizeroaccess.exe vediamo se riusciamo ad arginare l'infezione, dopo riproviamo con combofix

**Bartjsp** · 16-09-2011, 22:53

Non riesco in nessun modo a postare il log di tds killer è troppo grande. Avevo capito che era un infezione parecchio pesante, cavolo proprio io dovevo beccarlo

Domani mattina non appena entro in servizio provo con gli altri vostri consigli.

Grazie ragazzi.

**menatwork** · 16-09-2011, 22:56

carica il rapporto di tds killer su wikisend

**Bartjsp** · 16-09-2011, 23:00

http://wikisend.com/download/552982/....49.38_log.txt

**menatwork** · 16-09-2011, 23:04

sembra manchi la parte finale, in fondo al log guarda meglio

Discussione: Trojan Backdoor.Win32.ZAccess.ob

Strumenti discussione

Ricerca discussione

Visualizza

Trojan Backdoor.Win32.ZAccess.ob

Permessi di invio