Probabile Rootkit

[Teoalessandro]

Buonasera a tutti ragazzi ho un piccolo problema.
Oggi purtroppo forse preso da troppa curiosità ho cliccato su di un eseguibile(precedentemente scansionato con Avira Premium che non mi ha segnalato e nulla) e credo di averla fatta grossa nel senso che subito mi si è aperto internet explorer accanto a quello tradizionale che mi indirizzava su di un sito che mi voleva far scaricare altra roba che ho puntualmente chiuso.Oltre a visualizzare un nuovo processo wins.exe che non avevo mai visto prima il pc è diventato lento.
Ho scaricato prevx che mi ha rilevato 3 infezioni che sono:
updater.exe in c:/windows /system32/config/systemprofile/impostazioni locali dati applicazioni/windows internet name service
updrem.exe in c:/windows /system32/config/systemprofile/impostazioni locali/dati applicazioni/windows internet name service
ipfilter.exe in c/documents and settings/..../temp

Il problema è che ho letto diverse informazioni su internet e quasi tutte dicono di usare combofix o avenger ma io noin le so usare perchè ho timore di perdere dati importanti se si sbaglia qualcosa.
Potete aiutarmi voi ?Grazie a tutti coloro che mi vorranno dare una mano
PS sUPERANTISPYWARE al momento è ancora in fase di scansione e anche Avira Premium ma non mi hanno rilevato nulla

[SkinBonno]

Ciao,
Scarica e installa Malwarebytes . Aggiornalo e fai una scansione completa del computer. Posta il rapporto ottenuto. Per ora non rimuovere nessuna eventuale minaccia rilevata, aspetta nostre conferme.

[Teoalessandro]

Grazie della risposta SkinBonno adesso ho lanciato la scansione con malwarebytes e mi ha già trovato qualcosa.Appena termina ti posto il log

[Teoalessandro]

Skin eccoti il log di Malwarebytes.
Inoltre Antivir mi ha rilevato lo stesso virus di Prevx ossia updater.exe che ho messo in quarantena
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 5208

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29/11/2010 12.54.02
mbam-log-2010-11-29 (12-54-02).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 229758
Tempo trascorso: 2 ore, 16 minuti, 16 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{42f2c9ba-614f-47c0-b3e3-ecfd34eed658} (Adware.ISTBar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{7c559105-9ecf-42b8-b3f7-832e75edd959} (Adware.ISTBar) -> No action taken.

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

[Teoalessandro]

Ragazzi allora effettivamente si tratta di un rognoso rootkit .Antivir me li ha riconosciuti e sembra me li abbia eliminati .Sono identici come nome a quelli riconosciuti da Prevx update.exe e updrem.exe .Secondo voi sono riuscito ad eliminarlo?

[SkinBonno]

Cancella ciò che ha rilevato Malwarebytes. Poi

Scarica CCleaner , eseguilo, ripulisci i file temporanei e i cookies e ripara i problemi del registro. In fase di installazione togli la spunta alla casella della yahoo toolbar, non installarla.

Scarica Atf Cleaner, esegui una pulizia completa (spunta select all ((se non vuoi perdere le password di internet e\o mozilla lascia solo quella casella libera)). Eseguilo 2 volte.

Scarica Combofix usando Internet Explorer e salvalo sul desktop. Quando lo salvi, rinominalo in abc.exe. Disconnettiti da internet, disattiva l'antivirus. Avvia Combofix (abc.exe) e attendi la fine della scansione.
Non eseguire nessuna operazione mentre Combofix analizza il pc, non muovere nemmeno il mouse, potresti bloccare la scansione.
Finita la scansione il pc si dovrebbe riavviare e in C: dovresti avere un rapporto Combofix.txt. Carica questo rapporto su Wikisend e riporta sul forum il link che otterrai.

N.B. Nel caso non riesci a fare partire combofix, da start-->esegui copia e incolla questa riga di comando comprese le virgolette e dai invio:

"%userprofile%\desktop\abc.exe" /killall

La scansione dovrebbe partire in automatico.

[Teoalessandro]

Skin grazie della dritta.
Allora Antivir me li ha eliminati quei 2 rootkit avendoli riconosciuti ma eseguirò lo stesso il tuo consiglio .
Vorrei sapere piuttosto come usare per futuri problemi combofix ; mi spiego quali sono i codici da inserire gli script per fare in mdo da farlo da me?
Grazie

[SkinBonno]

Non è così semplice spiegare cosa cercare in Combofix..io stesso non so interpletarlo ad hoc. E' una questione di esperienza..mi sembra di aver letto da qualche parte che su internet sono presenti dei corsi (a pagamento) sull'utilzzo di Combofix e altri programmi per la cura del pc, ma personalmente non li conosco.
L'unica cosa su cui ti puoi affidare è l'esperienza, cominci a seguire sui vari forum i thread in cui viene usato Combofix, vedi cosa viene fatto cancellare e in che modo, e pian piano anche tu comincerai a sapere cosa devi guardare nel report..