Infettato da RootKit

[SolidHacker 93]

Salve ragazzi! E' da tanto che non scrivo sul forum ma purtroppo ora mi si è presentata l'occasione per farlo!
Vi spiego per colpa di un mio amico che ha cliccato dei falsi banner erotici in mia momentanea assenza mi sono ritrovato il pc infettato:
Inanzitutto mi si era installato il falso antivirus "antivirus 2010" che ho prontamente rimosso. Poi sullo sfondo del desktop era comaprso l'annuncio in rosso "Your system has been stopped due to a serious malfunction...ecc(chiaramente falsa anche questa perché i lsistema funzionava!)" su un riquadro nero e facendo una scansione completa con ESET NOD 32 antivirus (aggiornato) ho eliminato tutti i trojan e i dialer trovati.
Una volta eliminati questi la scritta anche dopo u nriavvi o èscomaprsa e tutto sembrava tornato a posto: nessun virus nessun problema nessuna scritta. Se non fosse che ora ogni volta nod32 trova dei virus, più precisamente dei rootkit (descrizione: "a variant of Win32/RootKit.Agent.NSF trojan) nella cartella drivers in system32: più precisamente parport.sys e redbook.sys e nel systemvolumeinformation\_RESTORE ecc
quelli nel system volume riesce ad eliminarli ma si ricreano mentre quelli nei drivers li "aggiusto" temporaneamente io sostituendoli con file puliti presi dalla rete! Ora vorrei gentilmente essere aiutato nella rimozione di questo fastidioso rootkit!
Grazie anticipatamente!

[menatwork]

ciao SolidHacker 93

sarebbe utile conoscere anche il tuo S.O.

disattiva il ripristino e lascialo disattivato per ora

Start --> programmi --> accessori --> utilita' di sistema --> ripristino configurazioni di sistema --> impostazioni ripristino configurazioni di sistema --> Disattiva ripristino!



prova a fare questa scansione e segui alla lettera i dettagli

scarica combofix sul desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file" ,basta che cambi il nome che ti appare in abc.exe)
Fatto questo, clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\abc.exe" /killall

Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt , riavvia in modalità normale e posta il contenuto del file o allegalo.

[SolidHacker 93]

Allora Grazie della risposta!
Comunque:
Ho disattivato il ripristino di sistema
Il mio sistema operativo è Windows Xp Professional Service Pack 3
Una sola cosa non mi è chaira: la scansione con combofix dato che dopo mi dici di riavviare il pc in modalità normale (per prendere il log) devo farla in provvisoria o normale? grazie!

[menatwork]

no per ora fai la scansione da modalita' normale non da provvisoria (ho sbagliato a scrivere)

[SolidHacker 93]

Ok sto per far partire la scansione! Appena ha fatto posto il log!

[SolidHacker 93]

Scsua ma dopo aver immesso la stringa ad esegui è partito il programma ha caricato una piccola barretta verde e poi non ha fatto + niente! Il processore è quasi al minimo e il computer non m isembra minimamente sottosforzo! Ma non è che è partito e sta lavorando ma siccome è leggerissimo non si sente nemmeno? (eppure il mio pc ha 512 MB di RAM)

[menatwork]

apri il task manager e controlla che sia in esecuzione

[SolidHacker 93]

Scusa il ritardo comunque non risulta in esecuzione

[menatwork]

tieni aperto il task manager e lancia combofix senza quel comando se lo vedi in esecuzione chiudi il task manager e lascialo lavorare

[SolidHacker 93]

ok ora provo se non va te l odico subito!