rootkit: impossibile navigare, pagine non richieste

[obyone]

salve a tutti , sono nuovo di questo forum, saluto tutti e mi appresto a postare il mio primo messaggio.
Un mio caro amico ,mi ha recentemente chiesto aiuto perchè non riusciva più a navigare in rete , la connessione ( adsl flat )parte regolarmente , ma qualsiasi pagina richiesta ,riconduceva sempre ad un sito " www.xxx.com", la cui pagina era veramente attrattiva , una sventola di donna in reggicalze e varie , ammiccante , bella , sensuale ...ma irremovibile ...non se ne andava neanche con le cannonate, qualsiasi indirizzo digitato sulla barra di navigazione portava sempre li a quella stupenda creatura.
Mi sono messo a lavoro , aprendo "la cassetta degli attrezzi", sperando di riuscire in poco tempo, come altre volte accaduto, di risolvere il problema.
1) hijachthis , analizzato il log...niente di rilevante.
2) file "hosts" , nessuna anomalia
3) scansione con avira , riesce a intercettare qualche trojan , ma la situazione non cambia.
4) ok , passiamo alle maniere forti, scansione con Malwarebytes, che ritengo essere un potente anti malware....niente tutto a posto , non rileva niente .
5) installo un file hosts , scaricato dalla rete con in lista piu di 30.000 siti ritenuti " poco attendibili", il risultato è che all'apertura del browser ( firefox), non appare piu quella bella e dannata immagine , ma ai fini pratici il problema nn cambia, non si riesce a navigare .
nota:la pagina iniziale di firefox non è stata mai modificata , ciononostante all'apertura del browser , reidirizzava a quella pagina.
incomincio a preoccuparmi seriamente !!
6) scarico Combofix , seguo le istruzioni per il corretto utilizzo e lancio.
il programma intercetta subito attività di rootkit , riavvia il sistema e ricomincia la scansione..è una potenza !! riesce a liberarmi del problema in meno di 20 minuti..
7) una passata con ccleaner e dalle prove fatte , sembra tutto a posto.
vedendo il log di Combo, non riesco a capire se rimane ancora qualche traccia di malware ed eventualmente come potrei fare per eliminarla e sopratutto quale era il root kit, o altro malware che provocava il problema?
allego il log di combofix , sperando che qualcuno abbia il tempo di analizzarlo ed eventualmente dare risposta alle mie domande.
Scusate la lunghezza del mio messaggio .... ma è come se mi fossi sfogato con qualcuno.. spero di non essere andato oltre, nel caso... chiedo scusa .
grazie ... ciao

 

[R16]

Buongiorno.
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo , con il nome CFScript.txt
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix

 

[obyone]

grazie Kyron , appena posso lo faccio.
ti farò sapere.... hai idea di quale malware si tratta ??

 

[R16]

Salve.

hai idea di quale malware si tratta ??

Più che malware, sei pieno di Rootkit.
hmzsut
asbytb
dushzpq
yhrom
brjaspd
sfpciqsrw
yrzxel
qahtkw
kqrxr
vrtikhbk
qjvcavi
mbxzdxq
hssobicex
ekqzqvp

E quelli, non sono tutti.

Visto che ci sei, elimina anche i rimasugli di McAfee con questo tooll:
Come disinstallare o reinstallare i prodotti McAfee Consumer utilizzando McAfee Consumer Products Removal (MCPR.exe)

Poi ti consiglio di disattivare il Tea Timer di SpyBot: (Crea solo conflitti con altri programmi "residenti", e rallenta il sistema)
Apri SpyBot in modalità avanzata (menù modalità - avanzata) poi vai in utilità - resident e togli la spunta a TeaTimer, e riavvia il pc.
Altro consiglio, se hai dati sensibili in quel pc, cambia tutte le password.
E' molto probabile, che faccia parte di una Botnet:
http://it.wikipedia.org/wiki/Botnet

 

[obyone]

ciao, eccomi qui, ho appena effettuato una altra scansione con Combo , inserendo lo Sript che mi hai inviato. Allego il nuovo log. grazie per i suggerimenti....stava proprio messo male quel pc....:ok:

 

[R16]

Salve.
Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "star"
al termine della scansione ti chiederà il riavvio, dai ok.

Per eliminare i vari Tooll scaricati:
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

Ti consiglio di disistallare Firefox, e poi reistallarlo.
Ci sono delle voci random che sono sospette:
FF - component: d:\documents and settings\enza.ASDRUBALE\Dati applicazioni\Mozilla\Firefox\Profiles\ykzcatkf.default\extensions\{e3393495-8103-46a0-8181-270273eddd60}\components\FFExternalAlert.dll
FF - component: d:\documents and settings\enza.ASDRUBALE\Dati applicazioni\Mozilla\Firefox\Profiles\ykzcatkf.default\extensions\{e3393495-8103-46a0-8181-270273eddd60}\components\RadioWMPCore.dll
Oppure segui il percorso e prova a eliminarle.

Disistalla Ad-Aware, e tieni installato Malwarebytes, in quanto è molto migliore.
Ricorda solo di aggiornarlo prima di ogni scansione.

Fai una pulizia con CCleaner.

Se vuoi un controllo finale, posta un log di hijackthis.