Zeroaccess, disperazione totale

gpc · 06-11-2011, 19:36

Ciao a tutti,
è da ieri che sono alle prese con un rootkit che si è installato sul pc e tutto è andato peggiorando fino a sfociare nel disastro totale.
Premetto che sono oggi pomeriggio grazie a Chill-Out ho scoperto che quello che ho si chiama Zeroaccess, perchè i nomi che mi comparivano erano diversi.
Ieri ho provato vari tool di rimozione ovviamente senza successo.
Cercando su internet con il nome dei rootkit che venivano rilevati da TDSS Killer ( Rootkit.Win32.Pmax.gen e Rootkit.Win32.Zaccess.exe ) sono finito su un forum spagnolo dove molti avevano chiesto aiuto e ho chiesto informazioni lì, dove mi hanno consigliato diversi programmi, etc, però senza riuscire ad eliminare l'infezione.
Poi qui mi è stato detto, appunto, che quello che avevo era ZeroAccess, quindi ho cercato e ho scaricato l'utility per pulire il sistema, ed è stato il disastro.
Ho avviato l'utility ed ha rilevato il virus, però alla fine della pulizia è andato in crash e si è chiuso da solo. L'ho riavviato e diceva che il sistema era pulito, però al riavviare il pc il virus era ancora lì, lo vedevo nei processi.
Ho riavviato in modo sicuro e ho avviato da lì l'utility, che nuovamente si è chiusa in malo modo alla fine della pulizia. Sono però riuscito ad avviare antimalware e a fargli fare una scansione completa, e ha detto che non c'erano virus sul computer.
Ero soddisfatto, quindi ho riavviato il pc in modo normale e... non funziona più windows. All'avvio il desktop non compare, la barra di windows appare molto lentamente, l'hd sembra impazzito poi viene fuori la finestra che dice che esplora risorse si è chiuso, poi quella che lo riavvia, e avanti così, senza sosta.
Sono riuscito ad avviare il gestione risorse e ho visto che il virus è ancora lì.
Cerco di riavviare in modo safe e windows si comporta uguale, totalmente inutilizzabile, sia con che senza supporto di rete.
Sto cercando di ripristinare un punto precedente del sistema, creato questa mattina dove sì c'era già il virus, ma almeno il computer funzionava, ma dopo aver macinato per dieci-quindici minuti mi dice che il punto di ripristino è danneggiato e non fa nulla.
Sono disperato... tra l'altro è l'unico PC che ho con masterizzatore e non posso nemmeno farmi cd di ripristino e cose del genere.
Posso avviare il computer in XP, che è su un'altra partizione, e lavorare da lì, spero: cosa posso tentare?
Grazie a chiunque mi possa dare una mano...

gpc · 06-11-2011, 19:52

Aggiorno: sono riuscito ad accedere a windows da un altro account invece che dal mio. Per ora non mi ha dato errori, windows va malissimo ma almeno va.
Se entro nella mia cartella dell'utente l'esplora risorse si blocca cercando i file, con la barra superiore della ricerca che arriva fino in fondo, per poi dirmi che la cartella è vuota. Forse si è corrotto qualcosa nell'account?

Riku · 06-11-2011, 20:00

ciao,quale sarebbe l'utility?

gpc · 06-11-2011, 20:01

Quote:

Originariamente inviato da Riku

ciao,quale sarebbe l'utility?

Antizeroaccess.exe, è stata linkata nei vari thread che parlavano di questo rootkit

gpc · 06-11-2011, 20:46

Ora quando riesco ad avviare antizeroaccess fa la scansione, trova il virus, poi però dice che il webroot driver was not loaded e che non può fare la pulizia.
Nel frattempo continuo ad eseguire l'sfc che è all'80%, vediamo se riesce a sistemare qualcosa.

Riku · 06-11-2011, 21:05

hai provato hitman pro?

gpc · 06-11-2011, 21:06

Quote:

Originariamente inviato da Riku

hai provato hitman pro?

Ora provo, ma da quello che ho letto Zeroaccess lo sega come tutti gli altri...

Riku · 06-11-2011, 21:27

potresti allegare anche il log di Antizeroaccess

gpc · 06-11-2011, 21:29

Quote:

Originariamente inviato da Riku

potresti allegare anche il log di Antizeroaccess

Cercherò, putroppo il pc infettato rasenta l'inutilizzabile.
Per ora non riesco a scaricare nemmeno hitman pro, credo che mi redirezioni certi indirizzi.

gpc · 06-11-2011, 22:43

ok... questo è strano, sono riuscito ad avviare hitman pro con windows in modo safe e non ha trovato traccia del virus, ed in effetti in memoria non c'era il processo.
Ora riprovo in modo normale, se riesco ad avviarlo (pare che abbia perso l'accesso ad internet, o quanto meno alcuni siti vengano redirezionati e quindi non riesco ad attivare la licenza gratuita...)

In modo normale il virus è ovviamente ancora lì al suo posto, maledizione.

gpc · 06-11-2011, 22:50

Ok ora Hitman Pro sta facendo la scansione in modo normale.
Mi segnala un'avviso che dice:
IRP_MJ_SCSI Kernel-mode hook on atapi.sys detected
The decive stack of the hard drive is referencin a hidden driver. This could affect the detection of malicious files

gpc · 06-11-2011, 23:27

Questo è il log di antizeroaccess:

Webroot AntiZeroAccess 0.8 Log File
Execution time: 07/11/2011 - 00:24
Host operation System: Windows Seven X86 version 6.1.7600
00:24:40 - CheckSystem - Begin to check system...
00:24:40 - OpenRootDrive - Opening system root volume and physical drive....
00:24:40 - C Root Drive: Disk number: 0 Start sector: 0x01656732 Partition Size: 0x1359A2F0 sectors.
00:24:40 - PrevX Main driver extracted in "C:\Windows\system32\drivers\ZeroAccess.sys".
00:24:53 - InstallAndStartDriver - Main driver was installed and now is running.
00:24:53 - CheckSystem - Warning! Disk class driver is INFECTED.
00:24:55 - CheckFile - Warning! File "cdrom.sys" is Infected by ZeroAccess Rootkit.
00:25:07 - CheckFile - Unable to read "sptd.sys" file. CreateFile last eror: 0x00000020.
00:25:12 - DoSecondPhaseCheck - Found and destroyed ZeroAccess self defense Service Key: "bd60ae2".
00:25:12 - CheckExecutableEP - Unable to open "c:\windows\system32\drivers\cdac11ba.exe" file. CreateFile last error: 2
00:25:12 - CheckExecutableEP - Unable to open "c:\orcad\license_manager\lmgrd.exe" file. CreateFile last error: 2
00:25:12 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
00:25:12 - CheckExecutableEP - Unable to open "c:\windows\system32\lkads.exe" file. CreateFile last error: 2
00:25:12 - CheckExecutableEP - Unable to open "c:\windows\system32\lktsrv.exe" file. CreateFile last error: 2
00:25:12 - CheckExecutableEP - Unable to open "C:\Program Files\National Instruments\MAX\nimxs.exe" file. CreateFile last error: 2
00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: C:\Program Files\Nero\Update\NASvc.exe
00:25:13 - CheckExecutableEP - Unable to open "c:\windows\system32\nipalsm.exe" file. CreateFile last error: 2
00:25:13 - CheckExecutableEP - Unable to open "c:\windows\system32\nipalsm.exe" file. CreateFile last error: 2
00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: C:\Program Files\National Instruments\Shared\Security\nidmsrv.exe
00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: C:\Program Files\National Instruments\Shared\mDNS Responder\nimdnsResponder.exe
00:25:13 - CheckExecutableEP - Unable to open "c:\windows\system32\nipalsm.exe" file. CreateFile last error: 2
00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\windows\system32\nisvcloc.exe
00:25:13 - CheckExecutableEP - Unable to open "c:\windows\system32\nvvsvc.exe" file. CreateFile last error: 2
00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\program files\htc\internet pass-through\passthrusvr.exe
00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\program files\spybot - search & destroy\sdwinsec.exe
00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\program files\teamviewer\version5\teamviewer_service.exe
00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\program files\tomtom home 2\tomtomhomeservice.exe
00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
00:25:14 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.exe
00:25:17 - DoRepair - Begin to perform system repair....
00:25:17 - DoRepair - System Disk class driver was repaired.
00:25:17 - DoRepair - Infected "cdrom.sys" file was renamed.
00:25:17 - DoRepair - Infected "cdrom.sys" file was successfully cleaned!

Il programma va in crash quando cerca di mettere mano a cmdagent.exe

enigmista63 · 06-11-2011, 23:31

Ciao sembrera' banale,ma sinceramente credo sia piu' veloce eseguire una formattazione e ripulire cosi' il pc,poi a pc pulito fai una copia dell'immagine del pc con MACRIUM REFLECT,ed in caso di infezione in meno di mezz'ora hai di nuovo il pc funzionanante

gpc · 06-11-2011, 23:36

Quote:

Originariamente inviato da enigmista63

Ciao sembrera' banale,ma sinceramente credo sia piu' veloce eseguire una formattazione e ripulire cosi' il pc,poi a pc pulito fai una copia dell'immagine del pc con MACRIUM REFLECT,ed in caso di infezione in meno di mezz'ora hai di nuovo il pc funzionanante

Sì è più veloce, ho solo il lavoro di tre anni di dottorato su quella partizione (con backup da tutte le parti, sì, lo so, ma qualcosa resta sempre fuori), più da reinstallare tutti i programmi e da ripristinare tutti i dati personali. No, non è più veloce... anche se sono 36 ore che sto dietro a 'sta rogna.
In ogni caso c'ho già pensato: ho approfittato per ordinare un nuovo hd per il portatile e se per martedì non ho risolto carico lì il sistema operativo ed elimino l'altro, ma fino a quel momento non formatto.
In quasi trent'anni che uso il PC non ho mai dovuto formattare per colpa di un virus, e ho intenzione di vendere molto cara la pelle...

enigmista63 · 06-11-2011, 23:41

Ciao si hai ragione, anche io non ho mai formattato per un virus,ma solo perche' provo dei software e di tanto intanto ripulisco il pc,ma lo faccio ripristinando un immagine salvata e in 30 minuti ho il pc di nuovo ok e con tutti i software gia' installati,devi solo instalalre gli ultimi aggiornamenti del sistema operativo.

P.S. quale antivirus hai che non ha rilevato l'infezione?

gpc · 06-11-2011, 23:45

Quote:

Originariamente inviato da enigmista63

Ciao si hai ragione, anche io non ho mai formattato per un virus,ma solo perche' provo dei software e di tanto intanto ripulisco il pc,ma lo faccio ripristinando un immagine salvata e in 30 minuti ho il pc di nuovo ok e con tutti i software gia' installati,devi solo instalalre gli ultimi aggiornamenti del sistema operativo.

P.S. quale antivirus hai che non ha rilevato l'infezione?

Visto che sono mesi che aspettavo l'occasione (=non ho mai avuto tempo) di spostare il SO su un SSD, a questo punto aspetto che arrivi il disco nuovo e fino a quel momento provo a rimettere in sensto il vecchio, almeno togliere il virus perchè non vorrei che poi mi si infilasse anche nel nuovo copiando i dati.

L'antivirus è Avira, e il firewall era Comodo. Non è che non l'abbiano rilevato, è che se n'è fregato di antivirus&co, che hanno segnalato un file pericoloso, ma lui è entrato attraverso un aggiornamento (falso?) di flash che è partito automaticamente entrando su una pagina internet (normalissima, webcam del meteo).

enigmista63 · 06-11-2011, 23:54

k , mi dispiace per il casino che ti ha creato il virus,buona fortuna e buona notte.

gpc · 06-11-2011, 23:55

Hitman Pro non rileva l'infezione. Può essere per colpa dei quel kernel-mode hook? Sul sito dice che lo evita, ma in realtà a me non rileva nulla...
E continuo a non riuscire a farlo collegare ad internet.

gpc · 07-11-2011, 00:11

Ecco fatto, fottuto definitivamente windows: dopo aver riprovato zeroaccess ora non parte più nemmeno in modo safe, schermata blu e ti saluto.
Che rabbia...
Meno male che avevo ancora XP su un'altra partizione e ho fatto in tempo a copiare la cartella dell'user. Non dovrei aver perso nulla... Basta, sono trentasei ore che ci sto sopra, non ne posso più. Domani vedrò cosa fare.

gpc · 07-11-2011, 07:14

Da XP sono riuscito a fare un controllo del disco di win7 con l'antivirus e mi sono stati rimossi 44 Win32.* vari.
Voglio eliminare la cartella $NtUnistallKB... dove si nasconde il virus originale, ma non riesco ad accederci. Ho visto che è una <JUNCTION> con attributi SH, ma mi dà accesso negato per qualunque cosa cerchi di fare, da attrib a fsparse.
C'è qualche modo di sradicarla fregandosene dei permessi? Anche solo partendo da dos... da qualunque cosa. Non mi preoccupa rovinare windows, perchè tanto non parte più: voglio solo eliminare quel file prima di provare a ripristinare il sistema dal dvd.

06-11-2011, 19:36	#1
gpc Senior Member Iscritto dal: Oct 2000 Città: UK Messaggi: 7458	Zeroaccess, disperazione totale Ciao a tutti, è da ieri che sono alle prese con un rootkit che si è installato sul pc e tutto è andato peggiorando fino a sfociare nel disastro totale. Premetto che sono oggi pomeriggio grazie a Chill-Out ho scoperto che quello che ho si chiama Zeroaccess, perchè i nomi che mi comparivano erano diversi. Ieri ho provato vari tool di rimozione ovviamente senza successo. Cercando su internet con il nome dei rootkit che venivano rilevati da TDSS Killer ( Rootkit.Win32.Pmax.gen e Rootkit.Win32.Zaccess.exe ) sono finito su un forum spagnolo dove molti avevano chiesto aiuto e ho chiesto informazioni lì, dove mi hanno consigliato diversi programmi, etc, però senza riuscire ad eliminare l'infezione. Poi qui mi è stato detto, appunto, che quello che avevo era ZeroAccess, quindi ho cercato e ho scaricato l'utility per pulire il sistema, ed è stato il disastro. Ho avviato l'utility ed ha rilevato il virus, però alla fine della pulizia è andato in crash e si è chiuso da solo. L'ho riavviato e diceva che il sistema era pulito, però al riavviare il pc il virus era ancora lì, lo vedevo nei processi. Ho riavviato in modo sicuro e ho avviato da lì l'utility, che nuovamente si è chiusa in malo modo alla fine della pulizia. Sono però riuscito ad avviare antimalware e a fargli fare una scansione completa, e ha detto che non c'erano virus sul computer. Ero soddisfatto, quindi ho riavviato il pc in modo normale e... non funziona più windows. All'avvio il desktop non compare, la barra di windows appare molto lentamente, l'hd sembra impazzito poi viene fuori la finestra che dice che esplora risorse si è chiuso, poi quella che lo riavvia, e avanti così, senza sosta. Sono riuscito ad avviare il gestione risorse e ho visto che il virus è ancora lì. Cerco di riavviare in modo safe e windows si comporta uguale, totalmente inutilizzabile, sia con che senza supporto di rete. Sto cercando di ripristinare un punto precedente del sistema, creato questa mattina dove sì c'era già il virus, ma almeno il computer funzionava, ma dopo aver macinato per dieci-quindici minuti mi dice che il punto di ripristino è danneggiato e non fa nulla. Sono disperato... tra l'altro è l'unico PC che ho con masterizzatore e non posso nemmeno farmi cd di ripristino e cose del genere. Posso avviare il computer in XP, che è su un'altra partizione, e lavorare da lì, spero: cosa posso tentare? Grazie a chiunque mi possa dare una mano... __________________ "Questo forum non è un fottuto cellulare quindi scrivi in italiano, grazie." (by Hire) Le mie foto su Panoramio - Google Earth

06-11-2011, 19:52	#2
gpc Senior Member Iscritto dal: Oct 2000 Città: UK Messaggi: 7458	Aggiorno: sono riuscito ad accedere a windows da un altro account invece che dal mio. Per ora non mi ha dato errori, windows va malissimo ma almeno va. Se entro nella mia cartella dell'utente l'esplora risorse si blocca cercando i file, con la barra superiore della ricerca che arriva fino in fondo, per poi dirmi che la cartella è vuota. Forse si è corrotto qualcosa nell'account? __________________ "Questo forum non è un fottuto cellulare quindi scrivi in italiano, grazie." (by Hire) Le mie foto su Panoramio - Google Earth

06-11-2011, 20:46	#5
gpc Senior Member Iscritto dal: Oct 2000 Città: UK Messaggi: 7458	Ora quando riesco ad avviare antizeroaccess fa la scansione, trova il virus, poi però dice che il webroot driver was not loaded e che non può fare la pulizia. Nel frattempo continuo ad eseguire l'sfc che è all'80%, vediamo se riesce a sistemare qualcosa. __________________ "Questo forum non è un fottuto cellulare quindi scrivi in italiano, grazie." (by Hire) Le mie foto su Panoramio - Google Earth

06-11-2011, 22:43	#10
gpc Senior Member Iscritto dal: Oct 2000 Città: UK Messaggi: 7458	ok... questo è strano, sono riuscito ad avviare hitman pro con windows in modo safe e non ha trovato traccia del virus, ed in effetti in memoria non c'era il processo. Ora riprovo in modo normale, se riesco ad avviarlo (pare che abbia perso l'accesso ad internet, o quanto meno alcuni siti vengano redirezionati e quindi non riesco ad attivare la licenza gratuita...) In modo normale il virus è ovviamente ancora lì al suo posto, maledizione. __________________ "Questo forum non è un fottuto cellulare quindi scrivi in italiano, grazie." (by Hire) Le mie foto su Panoramio - Google Earth Ultima modifica di gpc : 06-11-2011 alle 22:47.

06-11-2011, 22:50	#11
gpc Senior Member Iscritto dal: Oct 2000 Città: UK Messaggi: 7458	Ok ora Hitman Pro sta facendo la scansione in modo normale. Mi segnala un'avviso che dice: IRP_MJ_SCSI Kernel-mode hook on atapi.sys detected The decive stack of the hard drive is referencin a hidden driver. This could affect the detection of malicious files __________________ "Questo forum non è un fottuto cellulare quindi scrivi in italiano, grazie." (by Hire) Le mie foto su Panoramio - Google Earth

06-11-2011, 20:00	#3
Riku Member Iscritto dal: Jun 2011 Messaggi: 202	ciao,quale sarebbe l'utility?

06-11-2011, 21:05	#6
Riku Member Iscritto dal: Jun 2011 Messaggi: 202	hai provato hitman pro?

06-11-2011, 21:27	#8
Riku Member Iscritto dal: Jun 2011 Messaggi: 202	potresti allegare anche il log di Antizeroaccess

06-11-2011, 23:27	#12
gpc Senior Member Iscritto dal: Oct 2000 Città: UK Messaggi: 7458	Questo è il log di antizeroaccess: Webroot AntiZeroAccess 0.8 Log File Execution time: 07/11/2011 - 00:24 Host operation System: Windows Seven X86 version 6.1.7600 00:24:40 - CheckSystem - Begin to check system... 00:24:40 - OpenRootDrive - Opening system root volume and physical drive.... 00:24:40 - C Root Drive: Disk number: 0 Start sector: 0x01656732 Partition Size: 0x1359A2F0 sectors. 00:24:40 - PrevX Main driver extracted in "C:\Windows\system32\drivers\ZeroAccess.sys". 00:24:53 - InstallAndStartDriver - Main driver was installed and now is running. 00:24:53 - CheckSystem - Warning! Disk class driver is INFECTED. 00:24:55 - CheckFile - Warning! File "cdrom.sys" is Infected by ZeroAccess Rootkit. 00:25:07 - CheckFile - Unable to read "sptd.sys" file. CreateFile last eror: 0x00000020. 00:25:12 - DoSecondPhaseCheck - Found and destroyed ZeroAccess self defense Service Key: "bd60ae2". 00:25:12 - CheckExecutableEP - Unable to open "c:\windows\system32\drivers\cdac11ba.exe" file. CreateFile last error: 2 00:25:12 - CheckExecutableEP - Unable to open "c:\orcad\license_manager\lmgrd.exe" file. CreateFile last error: 2 00:25:12 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe 00:25:12 - CheckExecutableEP - Unable to open "c:\windows\system32\lkads.exe" file. CreateFile last error: 2 00:25:12 - CheckExecutableEP - Unable to open "c:\windows\system32\lktsrv.exe" file. CreateFile last error: 2 00:25:12 - CheckExecutableEP - Unable to open "C:\Program Files\National Instruments\MAX\nimxs.exe" file. CreateFile last error: 2 00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: C:\Program Files\Nero\Update\NASvc.exe 00:25:13 - CheckExecutableEP - Unable to open "c:\windows\system32\nipalsm.exe" file. CreateFile last error: 2 00:25:13 - CheckExecutableEP - Unable to open "c:\windows\system32\nipalsm.exe" file. CreateFile last error: 2 00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: C:\Program Files\National Instruments\Shared\Security\nidmsrv.exe 00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: C:\Program Files\National Instruments\Shared\mDNS Responder\nimdnsResponder.exe 00:25:13 - CheckExecutableEP - Unable to open "c:\windows\system32\nipalsm.exe" file. CreateFile last error: 2 00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\windows\system32\nisvcloc.exe 00:25:13 - CheckExecutableEP - Unable to open "c:\windows\system32\nvvsvc.exe" file. CreateFile last error: 2 00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\program files\htc\internet pass-through\passthrusvr.exe 00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\program files\spybot - search & destroy\sdwinsec.exe 00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: C:\Program Files\PC Connectivity Solution\ServiceLayer.exe 00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\program files\teamviewer\version5\teamviewer_service.exe 00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: c:\program files\tomtom home 2\tomtomhomeservice.exe 00:25:13 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: C:\Program Files\Sony\VAIO Event Service\VESMgr.exe 00:25:14 - DoSecondPhaseCheck - Warning! Found a ZeroAccess forged PE: C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.exe 00:25:17 - DoRepair - Begin to perform system repair.... 00:25:17 - DoRepair - System Disk class driver was repaired. 00:25:17 - DoRepair - Infected "cdrom.sys" file was renamed. 00:25:17 - DoRepair - Infected "cdrom.sys" file was successfully cleaned! Il programma va in crash quando cerca di mettere mano a cmdagent.exe __________________ "Questo forum non è un fottuto cellulare quindi scrivi in italiano, grazie." (by Hire) Le mie foto su Panoramio - Google Earth

06-11-2011, 23:31	#13
enigmista63 Senior Member Iscritto dal: Apr 2009 Messaggi: 702	Ciao sembrera' banale,ma sinceramente credo sia piu' veloce eseguire una formattazione e ripulire cosi' il pc,poi a pc pulito fai una copia dell'immagine del pc con MACRIUM REFLECT,ed in caso di infezione in meno di mezz'ora hai di nuovo il pc funzionanante

06-11-2011, 23:41	#15
enigmista63 Senior Member Iscritto dal: Apr 2009 Messaggi: 702	Ciao si hai ragione, anche io non ho mai formattato per un virus,ma solo perche' provo dei software e di tanto intanto ripulisco il pc,ma lo faccio ripristinando un immagine salvata e in 30 minuti ho il pc di nuovo ok e con tutti i software gia' installati,devi solo instalalre gli ultimi aggiornamenti del sistema operativo. P.S. quale antivirus hai che non ha rilevato l'infezione?

06-11-2011, 23:54	#17
enigmista63 Senior Member Iscritto dal: Apr 2009 Messaggi: 702	k , mi dispiace per il casino che ti ha creato il virus,buona fortuna e buona notte.

06-11-2011, 23:55	#18
gpc Senior Member Iscritto dal: Oct 2000 Città: UK Messaggi: 7458	Hitman Pro non rileva l'infezione. Può essere per colpa dei quel kernel-mode hook? Sul sito dice che lo evita, ma in realtà a me non rileva nulla... E continuo a non riuscire a farlo collegare ad internet. __________________ "Questo forum non è un fottuto cellulare quindi scrivi in italiano, grazie." (by Hire) Le mie foto su Panoramio - Google Earth

07-11-2011, 00:11	#19
gpc Senior Member Iscritto dal: Oct 2000 Città: UK Messaggi: 7458	Ecco fatto, fottuto definitivamente windows: dopo aver riprovato zeroaccess ora non parte più nemmeno in modo safe, schermata blu e ti saluto. Che rabbia... Meno male che avevo ancora XP su un'altra partizione e ho fatto in tempo a copiare la cartella dell'user. Non dovrei aver perso nulla... Basta, sono trentasei ore che ci sto sopra, non ne posso più. Domani vedrò cosa fare. __________________ "Questo forum non è un fottuto cellulare quindi scrivi in italiano, grazie." (by Hire) Le mie foto su Panoramio - Google Earth

07-11-2011, 07:14	#20
gpc Senior Member Iscritto dal: Oct 2000 Città: UK Messaggi: 7458	Da XP sono riuscito a fare un controllo del disco di win7 con l'antivirus e mi sono stati rimossi 44 Win32.* vari. Voglio eliminare la cartella $NtUnistallKB... dove si nasconde il virus originale, ma non riesco ad accederci. Ho visto che è una <JUNCTION> con attributi SH, ma mi dà accesso negato per qualunque cosa cerchi di fare, da attrib a fsparse. C'è qualche modo di sradicarla fregandosene dei permessi? Anche solo partendo da dos... da qualunque cosa. Non mi preoccupa rovinare windows, perchè tanto non parte più: voglio solo eliminare quel file prima di provare a ripristinare il sistema dal dvd. __________________ "Questo forum non è un fottuto cellulare quindi scrivi in italiano, grazie." (by Hire) Le mie foto su Panoramio - Google Earth

Strumenti
Mostra una versione stampabile Invia questa pagina per email