infettato con HACKTOOL.ROOTKIT!!!

[jack210188]

Ciao a tutti!
Sono nuovo nel forum e ho guardato se per caso ci fosse una situazione analoga alla mia,ma non credo che esista, anche se devo ammetter che non ho letto ogni disussione, perchè mi ci sarebbero voluti anni! Quindi mi scuso se per caso sono postati altri topics simili o identici.

Ho veramente bisogno di aiuto, perchè sono abbastanza inesperto e quindi non so che fare!!!

due giorni fa mi sono beccato un malware che Norton 360 ha identificato come: hacktool.rootkit; un momento dopo il pc si è spento e riavviato da solo; all' inizio non credevo ci fossero grandi problemi, poi ho scoperto che il mio WLAN non funziona più... subito ho individuato il file .exe che conteneva il virus (winupgro.exe, individuato nella cartella C:\user\giacomo\appdata\roaming\drivers\winupgro.e xe); poi ho fatto scansioni con Norton, con Sophos Anti-Rootkit, con McAfee Stinger e con un altro che ora non ricordo e che non ho più(le scansioni le ho fatte anche in modalità provvisoria), risultato:
qualcosa ho trovato e cancellato, ma non credo sia quello che cercavo, visto che il problema persiste.
Ieri poi ho notato che non posso cambiare le impostazioni del firewall di Windows 7 (codice errore:0x80070422) e credo(ripeto, sono pressochè inesperto) che i problemi al mio collegamento wireless siano dovuti a quello.
Vi prego aiutatemi, non so più che fare!!! grazie

AGGIORNAMENTO:
oggi, riguardando le attività di norton, ho visto che mi ha rilevato il rootkit anche nella cartella C:\windows\syswow64\wfsintwq.sys (nella cartella syswow64 non ho trovato questo file, anche se ho messo l'opzione: mostra files nascosti...)

posto anche il log di HiJackThis

[JeanGrey]

Ciao e benvenuto.

Scarica Combofix sul desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file", cambia il nome che ti appare in abc.exe e salvalo obbligatoriamente sul desktop)

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK
(se usi vista start > tutti i programmi accessori > esegui)
se tutto va bene parte il programma che potrebbe impiegare molto
attendi pazientemente il termine delle operazioni e posta il report C:\ComboFix.txt.

[jack210188]

ciao JeanGrey, innanzi tutto grazie per la risposta;

ho fatto come hai detto, salvato sul desktop, rinominato e incollato (nello spazio che mi compare spingendo logo windows+R): parte Combofix e dopo poco l' Auto protect di Norton mi dice che ha individuato "Suspicious.MH690.A" e lo ha isolato......combofix continua e alla fine compare il messaggio che dice che combofix gira solo su Windows 2000 o XP...???

p.s: oggi ho passato ancora un paio d`ore a fare scansioni con vari programmi in grado di individuare errori, malware o programmi infetti e il risultato è che sono pulito...il mio problema, forse indipendente dal rootkit che avevo, è il firewall di windows,di cui non posso cambiare le impostazioni, e il collegamento wireless (ho controllato tra gli hardware e la scheda di rete dice che funziona perfettamente)...

[JeanGrey]

Scarica Malwarebytes, installa il programma ed aggiorna le firme.
Malwarebytes Anti-Malware - Free software downloads and software reviews - CNET Download.com
Nella scheda scansione, seleziona "scansione completa"
Allega il rapporto.

Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "star"
al termine della scansione ti chiederà il riavvio, dai ok.

Scarica OTS.exe by OldTimer sul desktop
http://oldtimer.geekstogo.com/OTS.exe
chiudi tutti i programmi
avvia OTS, seleziona "scan all users"
clicca su "Run Scan"
salva il report ed allegalo nella tua risposta.

[jack210188]

Ciao JeanGrey,

ho scaricato Malwarebytes e avviato la scansione: ha trovato parecchie cose, allego il file di log.

devo far partire anche gli altri programmi? posso rimuovere i file infetti trovati da Malwarebytes??

[JeanGrey]

Si, rimuovi quanto trovato da Malwarebytes
Esegui le altre scansioni ed aggiungi questa

Scarica FindyKill, Tutorial
Una volta installato, avvialo e scegli l'opzione 1 (invio)
allega il report C:\FindyKill.txt

[jack210188]

ciao,

nel frattempo avevo deciso di effettuare anche le altre scansioni...qundi dopo che ho fatto partire TFC mi ha chiesto di riavviare e quindi ho perso la possibilità di cancellare ciò che Malwarebytes aveva trovato...allora sto rifacendo una scansione con Malwarebytes e alla fine cancellerò ciò che mi trova...
poi scaricherò il nuovo programma che mi hai detto poco fa..
non posso allegare il file di log di OTS perchè supera i 100 Kb...esiste un altro modo per inviartelo, o lasciamo stare?
intanto grazie ancora e speriamo che tutto si risolva!!!

[JeanGrey]

Segui queste indicazioni per allegare i log
[Guida] HiJackThis: come creare e allegare il log

[jack210188]

ok, il report di OTS l'ho uppato su FreeFileHosting, link:
OTS.Txt - download now for free. File sharing. Software file sharing. Free file hosting. File upload. FileFactory.com

a dopo

[jack210188]

ecco fatto, anche la scansione con FindyKill è fatta, allego il risultato

[JeanGrey]

Intanto che controllo il rapporto di OTS, riavvia Findykill ed usa l'opzione 2.

[jack210188]

fatto, allego il documento finale...
da quello si legge che, come dicevo, il firewall di windows è disabilitato...da cosa dipende? credi che ci sia un collegamento tra il firewall e il fatto che la mia connessione wireless non va più?

EDIT
mi correggo: il firewall di windows ora funziona!...
il wireless ancora no...continua a non rilevare reti disponibili...

EDIT
ciao JeanGrey,

ho armeggiato un pò con il firewall e le connessioni e...ora il wireless funziona!!!
davvero,non so bene cosa ho fatto, ma ha funzionato!
comunque tutto merito tuo che mi hai dato una grossissima mano!!!
ti ringrazio per il tempo che mi hai dedicato e spero di non dover chiedere di nuovo il tuo aiuto in futuro

grazie ancora (ti farò sapere nel caso la mia gioia sia solo momentanea...)

[JeanGrey]

Ciao sono passati 5 giorni, immagino che il pc vada bene, OTS non evidenziava nulla di anomalo.

Per ora chiudo, se hai ancora bisogno fai un fischio.