Ciao a tutti. Innanzitutto ringrazio chi mi vorrà dare una mano, sono disperato.



Ieri Avast mi rilevava continuamente il Win32:Rootkit-gen [Rtk] che usciva fuori quando, ad esempio, aprivo il blocco note, aprivo Internet Explorer, ecc. Potevo comunque tranquillamente stare sul computer. Ho fatto una scansione, ha rilevato qualcosa ma ricompariva.



Stamattina vado ad accendere il pc e appena arriva alla schermata del desktop, si blocca, con il solo cursore che si muove senza poter far nulla. Ho provato ad entrare in modalità provvisoria ma si blocca alla schermata "Avvio di Windows in corso". In pratica, non posso entrare più sul mio pc ed ho idea che sia colpa di questi dannati rootkit. Tra l'altro il file infetto dal rootkit si chiamava lqvv.bak ed era presenti nei file temporanei, ma rimuovendolo manualmente esso ricompariva all'infinito.



Cosa posso fare? Sono disperatissimo, grazie infinite a chi mi aiuterà



EDIT: ora sono riuscito ad entrare usando "Ultima configurazione sicuramente funzionante", solo che non mi funziona Avast, in quanto cliccando "proteggi adesso" non mi fa nulla e mi rimane su sistema non protetto. Comunque lqvv.bak è sempre lì, e non posso fare nulla visto che Avast è disattivato e almeno, essendo attivato, i rootkit me li rilevava quando entravo su internet o aprivo il notepad, eccetera. Cosa posso fare?

Segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Ciao, la guida per il mio problema è la "Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT", giusto, nel senso che il rootkit win32 di cui parlo io che usciva quando ad esempio aprivo il notepad è questo? Ma non ci sono problemi se eseguo tutte queste operazioni senza che Avast funzioni, quindi andando su internet ed esponendomi a rischi? Scusami per le domande, ma ne so poco di queste cose. Scusa ancora, e grazie.

Ciao, la guida per il mio problema è la "Guida alla rimozione MASTER BOOT RECORD ROOTKIT - MBR ROOTKIT", giusto, nel senso che il rootkit win32 di cui parlo io che usciva quando ad esempio aprivo il notepad è questo?

No, la Guida da seguire è quella linkata in precedenza ovvero http://www.hwupgrade.it/forum/showthread.php?t=1599737


Ma non ci sono problemi se eseguo tutte queste operazioni senza che Avast funzioni? Scusami per le domande, ma ne so poco di queste cose. Scusa ancora, e grazie.

No, ovviamente rimani connesso solo il tempo necessario per scaricare i tool indicati e fare gli aggiornamenti delle firme virali, l'unico software che necessita la connessione è Prevx.

No, la Guida da seguire è quella linkata in precedenza ovvero http://www.hwupgrade.it/forum/showthread.php?t=1599737



No, ovviamente rimani connesso solo il tempo necessario per scaricare i tool indicati e fare gli aggiornamenti delle firme virali, l'unico software che necessita la connessione è Prevx.

Ok, quindi in teoria mi devo fermare al punto 11, giusto? I log li posto tutti qua? Grazie, sei fantastico!!

Ok, quindi in teoria mi devo fermare al punto 11, giusto? I log li posto tutti qua? Grazie, sei fantastico!!

Giusto, l'ultimo Punto è quello contrassegnato del numero 11, i log allegati secondo le seguenti modalità:


Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Giusto, l'ultimo Punto è quello contrassegnato del numero 11, i log allegati secondo le seguenti modalità:


Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Scusami, un ultimo dubbio, se il rootkit non viene quindi rilevato da Avast(che è disattivato) può far danni?

Scusami, un ultimo dubbio, se il rootkit non viene quindi rilevato da Avast(che è disattivato) può far danni?

I danni li ha già fatti, adesso proviamo ad eradicarlo :)

I danni li ha già fatti, adesso proviamo ad eradicarlo :)

Grazie mille per tutte le risposte e per la tua pazienza, ora inizio a fare tutte le operazioni, alla fine quando dovrò postare tutti i log mi collego sempre dal computer infetto, non crea ulteriori danni, vero? Grazie mille e scusami per le domande.

Subito primo intoppo. Ho scaricato e installato Malwarebytes Anti-Malware, ma appena lo faccio partire si chiude in automatico dopo 2-3 secondi, ed è quindi inutilizzabile, provato a disinstallarlo e installarlo di nuovo ma nulla. Cosa faccio?

Subito primo intoppo. Ho scaricato e installato Malwarebytes Anti-Malware, ma appena lo faccio partire si chiude in automatico dopo 2-3 secondi, ed è quindi inutilizzabile, provato a disinstallarlo e installarlo di nuovo ma nulla. Cosa faccio?

Se provi a rilanciarlo mi dice che errore ti restituisce.

Se provi a rilanciarlo mi dice che errore ti restituisce.

Non mi dà nessun errore, si chiude e basta, nel task manager scompare proprio il processo, dopo essere aperto vi rimane giusto 2-3 secondi e poi si chiude, senza errori, scompare e basta.

Non mi dà nessun errore, si chiude e basta, nel task manager scompare proprio il processo, dopo essere aperto vi rimane giusto 2-3 secondi e poi si chiude, senza errori, scompare e basta.

Ok, fai girare rkill esattamente come qui indicato http://www.hwupgrade.it/forum/showpost.php?p=30356913&postcount=3

Ok, fai girare rkill esattamente come qui indicato http://www.hwupgrade.it/forum/showpost.php?p=30356913&postcount=3

Ecco il file

Edit

Niente da fare, non cambia nulla.

Cortesemente i log allegati su uno dei Server Remoti indicati in precedenza, passa direttamente ad a-squared.

Cortesemente i log allegati su uno dei Server Remoti indicati in precedenza, passa direttamente ad a-squared.

Ok, sto facendo la scansione con a-squared.

Ma come mai non mi fa usare Malwarebytes? E può inficiare il processo di eliminazione del rootkit?

Rootkit.Win32.TDSS.d con Kaspersky non me lo fa nè disinfettare nè eliminare, devo per forza fare skip. Come mai?

Rootkit.Win32.TDSS.d con Kaspersky non me lo fa nè disinfettare nè eliminare, devo per forza fare skip. Come mai?

Se cortesemente segui la guida che ti ho suggerito e mi produci i log (che sono l'unico strumento che ho per capire cosa succede sul tuo PC) sono sempre disponibile ad aiutarti, grazie per la collaborazione.

Se cortesemente segui la guida che ti ho suggerito e mi produci i log (che sono l'unico strumento che ho per capire cosa succede sul tuo PC) sono sempre disponibile ad aiutarti, grazie per la collaborazione.

Sono ancora nel bel mezzo della scansione con Dr. Web, ci mette un'infinità, succede qualcosa se dopo questa scansione le altre restanti le faccio domani, ed ora spengo il computer?

Allora, ho fatto tutti i passi, ora allego i log e punto per punto della guida ti elenco i problemi rispetto alla guida passo passo.

2 - Malwarebytes mi si chiude dopo 2 secondi dall'apertura.

4 - nella scansione, i rootkit non me li fa nè eliminare nè disinfettare, ho dovuto fare skip per forza.

5 - non mi ha permesso di fare l'aggiornamento.

Il resto dei punti tutto ok, fatti come da guida, ora aspetto delucidazioni, un grazie enorme, siete (sei) fantastico!

File log in ordine + immagine di prevx.

a2scan_100714-171041.txt (http://wikisend.com/download/854646/a2scan_100714-171041.txt)
report kaspersky.txt (http://wikisend.com/download/945808/report kaspersky.txt)
cureit filtrato.txt (http://wikisend.com/download/500368/cureit filtrato.txt)
esi-eula.txt (http://wikisend.com/download/967150/esi-eula.txt)
hijackthis.log (http://wikisend.com/download/958552/hijackthis.log)
gmer2.log (http://wikisend.com/download/525430/gmer2.log)
prevxs (http://wikisend.com/download/114524/prevxs)
http://www.pctunerup.com/up/results/_201007/th_20100715180556_prevx.JPG (http://www.pctunerup.com/up/image.php?src=_201007/20100715180556_prevx.JPG)

Ciao, porta pazienza ma ci sono ancora alcune cosette da fare quindi procedi così:

1 Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

2 Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita

3 ComboFix - Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

Ripilogo log da allegare:
TDSSKiller
ComboFix
Nuovo log di HijackThis
Nuovo log di SysInspector (hai allegato l'EULA ovverro la licenza d'uso del software)

Anche se ho disabilitato tutto in avast (disabiliato permanetemente) Combofix mi rileva che è ancora attivo. Cosa faccio?

Anche se ho disabilitato tutto in avast (disabiliato permanetemente) Combofix mi rileva che è ancora attivo. Cosa faccio?

Prosegui pure con Combo, successivamente sistemiamo anche Avast.

Prosegui pure con Combo, successivamente sistemiamo anche Avast.

Ok, ho lanciato combo anche se mi dice che Avast è in conflitto.

Ecco i 4 log

TDSSKiller.2.3.2.2_15.07.2010_21.00.07_log.txt (http://wikisend.com/download/475810/TDSSKiller.2.3.2.2_15.07.2010_21.00.07_log.txt)
ComboFix.txt (http://wikisend.com/download/213152/ComboFix.txt)
hijackthis.log (http://wikisend.com/download/596124/hijackthis.log)
SysInspector-USER-BA6787E443-100715-2149.xml (http://wikisend.com/download/939418/SysInspector-USER-BA6787E443-100715-2149.xml)

Ecco i 4 log

TDSSKiller.2.3.2.2_15.07.2010_21.00.07_log.txt (http://wikisend.com/download/475810/TDSSKiller.2.3.2.2_15.07.2010_21.00.07_log.txt)
ComboFix.txt (http://wikisend.com/download/213152/ComboFix.txt)
hijackthis.log (http://wikisend.com/download/596124/hijackthis.log)
SysInspector-USER-BA6787E443-100715-2149.xml (http://wikisend.com/download/939418/SysInspector-USER-BA6787E443-100715-2149.xml)

Ok, dovremmo essere a posto, non rimane altro che disinstallare Avast e reistallarlo seguendo questa Guida http://www.hwupgrade.it/forum/showthread.php?t=2173386

Successivamente segui scrupolosamente il Trattamento Post Infezione devi necessariamentea ggiornare il SO al SP3 ed IE alla versione 8 http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ok, dovremmo essere a posto, non rimane altro che disinstallare Avast e reistallarlo seguendo questa Guida http://www.hwupgrade.it/forum/showthread.php?t=2173386

Successivamente segui scrupolosamente il Trattamento Post Infezione devi necessariamentea ggiornare il SO al SP3 ed IE alla versione 8 http://www.hwupgrade.it/forum/showthread.php?t=1726383

Grazie milleeeeeeeeeee, tutto risolto, sei fantastico, grazie ancora!!!!

Grazie milleeeeeeeeeee, tutto risolto, sei fantastico, grazie ancora!!!!

Prego