trojan win32/sirefef

[marzianu]

ho un pc con xp e nod32 ha rilevato una minaccia giorni fa.
Win32/Sirefef trojan horse nella memoria operativa - selezione azione rimandata fino al completamento della scansione - Nella memoria operativa è stato trovato un rootkit attivo.
Ho provato con Malwarebytes Anti-Malware e con Microsoft Windows Malicious Software Removal Tool , con eset online scan e altri programmi ma nessuno riesce a trovare il trojan, l'unico che continua a vederlo è il nod32 a questo punto penso che si tratti di un errore di nod anche perchè cosa importante il pc finora non dà segnali di rallentamento finestre strane reindirizzamenti...ecc..insomma mi sembra che lavori come sempre. Che faccio? Su questo pc ho dati importanti e voglio essere completamente sicuro, grazie

[Luke57]

Ciao,
•Scarica TDSSKiller.exe
http://support.kaspersky.com/downloads/ ... killer.exe
•Salvalo sul desktop
•Doppio click su TDSSKILLER.exe per avviare l'applicazione.
•Vai in change parameters e metti la spunta a "detect tdlfs file system" e "verify file digital signature"
•Clicca su start scan.

•Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.
•Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.

Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.
Se nessun riavvio è richiesto il report si troverà in C in questa forma "TDSSKiller.[Date]_[Time]_log.txt"

2) scarica Farbar Recovery Scan Tool sul desktop
http://www.bleepingcomputer.com/downloa ... scan-tool/
n.b. Devi scaricare la versione(32 o 64 bit) compatibile con il tuo sistema

•Doppio click per avviarlo.
•Quando ti chiede di accettare le condizioni clicca su yes.
•Clicca sul pulsante SCAN
•Quando finito il tool creerà nella stessa directory di dove è posizionato FRST un log chiamato FRST.txt.
•La prima volta che FRST sarà avviato verrà creato un altro log chiamato Addition.txt

3) inserisci i report di tdsskiller e di Frst qui:
http://wikisend.com/
fornendo, dopo l'upload, il link per poterli vedere

[marzianu]

grazie 1000.
allora tsskiller non ha trovato niente mentrei 2 report di farbar sono questi:

http://wikisend.com/download/848110/FRST.txt
FRST.txt


e http://wikisend.com/download/154298/Addition.txt
Addition.txt

[Luke57]

Ciao, Disabilita la protezione del tuo antivirus:
scarica systemscan sul desktop
http://www.suspectfile.com/upload/files ... s36982.exe
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Inserisci il file con estensione .zip in wikisend come hai fatto per gli altri report.

[marzianu]

ecco qua, ho disabilitato il nod per 30 minuti ma la scansione è durata di più in caso la ripeterò se necessario

http://wikisend.com/download/315374/19_ ... report.zip

19_05_2014_18_55_report.zip

[Luke57]

Ciao, disattiva l'antivirus, chiudi le applicazioni, clicca poi su Removal Script. All'interno della finestra copia/incolla i valori seguenti in neretto:

Folders to delete:
C:\WINDOWS\$NtUninstallKB47889$
C:\WINDOWS\$NtUninstallKB47889$\3427301209\L
C:\WINDOWS\$NtUninstallKB47889$\3427301209\U
C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp

Registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\as0kmn0r

Clicca su "Proceed with removal", dopo il riavvio portati in C:\ copia/incolla il contenuto del file avenger.txt

[marzianu]

ti chiedo ancora una cosa prima di partire con questa procedura, il file avenger.txt verrà creato adesso? perchè adesso sul pc non lo vedo, grazie

[Luke57]

Ciao, il file viene creato al riavvio del computer e si troverà in C:\ con il nome avenger.txt.
Quindi, dopo aver eseguito la procedura.

[marzianu]

sono uscito da malwarebytes ho disattivato nod32

ho eseguito sys36982 (3).exe ho incollato Folders to delete:

C:\WINDOWS\$NtUninstallKB47889$
C:\WINDOWS\$NtUninstallKB47889$\3427301209\L
C:\WINDOWS\$NtUninstallKB47889$\3427301209\U
C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp

Registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\as0kmn0r

cliccato su "Proceed with removal"

per una frazione di secondo è apparsa una scritta: "l'inizializzazione dell'applicazione non è riuscita perchè..."si è spento e al riavvio una finestra:

C:\ windows\system32\cmd.exe

impossibile trovareil file specificato C:\avenger\*.reg
1 file copiato

poi alcuni messaggi di errori e segnalazioni da inviare e quando è riapparso il desktop dopo un po di nuovo il messaggio di nod su sirefef

c'è speranza di risolvere?

[marzianu]

ho incollato tutto così come era compreso folders to delete e Registry keys to delete:

Folders to delete:
C:\WINDOWS\$NtUninstallKB47889$
C:\WINDOWS\$NtUninstallKB47889$\3427301209\L
C:\WINDOWS\$NtUninstallKB47889$\3427301209\U
C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp

Registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\as0kmn0r

[Luke57]

Ciao, riprova la procedura

[marzianu]

oggi al riavvio ho trovato una finestra col file avenger.txt in blocco note l'ho salvato sul desktop:

/////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 80


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\utendkjl

*******************

Script file located at: \??\C:\Documents and Settings\thxdhyfo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open folder C:\WINDOWS\$NtUninstallKB47889$ for deletion
Deletion of folder C:\WINDOWS\$NtUninstallKB47889$ failed!

Could not process line:
C:\WINDOWS\$NtUninstallKB47889$
Status: 0xc0000279



Could not open folder C:\WINDOWS\$NtUninstallKB47889$\3427301209\L for deletion
Deletion of folder C:\WINDOWS\$NtUninstallKB47889$\3427301209\L failed!

Could not process line:
C:\WINDOWS\$NtUninstallKB47889$\3427301209\L
Status: 0xc0000279



Could not open folder C:\WINDOWS\$NtUninstallKB47889$\3427301209\U for deletion
Deletion of folder C:\WINDOWS\$NtUninstallKB47889$\3427301209\U failed!

Could not process line:
C:\WINDOWS\$NtUninstallKB47889$\3427301209\U
Status: 0xc0000279

Folder C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp deleted successfully.


Registry key HKEY_LOCAL_MACHINE\system\controlset001\services\as0kmn0r not found!
Deletion of registry key HKEY_LOCAL_MACHINE\system\controlset001\services\as0kmn0r failed!

Could not process line:
HKEY_LOCAL_MACHINE\system\controlset001\services\as0kmn0r
Status: 0xc0000034

Program C:\Documents and Settings\Principale\Desktop\sys36982 (3).exe successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

[marzianu]

prima di ripetere la procedura aspetto che leggi questo...ma l'avviso di norton sul trojan continua ad essere presente

[Luke57]

Ciao, sembra che quelle cartelle, riferite al rootkit, non siano presenti.
Scarica otl.exe da qui:
http://oldtimer.geekstogo.com/OTL.exe
Sotto output spunta minimal output
Clicca sulla freccettina di File Age e seleziona 60 Days
Metti la spunta a LOP Check and Purity Check.
Premi runscan
A fine scansione OTL produrrà due file di log (OTL.txt ed Extras.txt)
Data la lunghezza del report, inserisci qui otl.txt
http://wikisend.com/

fornendo, dopo il download, il link per poterlo leggere

[marzianu]

provo

[marzianu]

ecco:

http://wikisend.com/download/263948/OTL.Txt

OTL.Txt

[Luke57]

Scarica SystemLook da uno dei seguenti link e salvalo sul desktop.
http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jps...SystemLook.exe

Doppio clic su SystemLook.exe per avviarlo
Copia il seguente codice nella schermata principale

:folderfind
$NtUninstallKB47889$

Clicca su Look.Allega il log

[marzianu]

SystemLook 30.07.11 by jpshortstuff
Log created at 08:49 on 23/05/2014 by Principale
Administrator - Elevation successful

========== folderfind ==========

Searching for "$NtUninstallKB47889$"
C:\WINDOWS\$NtUninstallKB47889$ d--hsc- [17:30 06/08/2010]

-= EOF =-

[Luke57]

Ciao, apri otl.exe, copia nel box bianco il seguente script:

:Files
C:\WINDOWS\$NtUninstallKB47889$

premi run fix

Posta il report prodotto

[marzianu]

========== FILES ==========
Folder move failed. C:\WINDOWS\$NtUninstallKB47889$ scheduled to be moved on reboot.

OTL by OldTimer - Version 3.2.69.0 log created on 05232014_113203

Files\Folders moved on Reboot...
Folder move failed. C:\WINDOWS\$NtUninstallKB47889$ scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...