sono infetto da rootkit

[drugofighters]

Salve, facendo una scansione sia con Gmer che con avira anti-rootkit mi sono stati segnalati dei rootkit.Ecco il report delle due scansioni:
GMER 1.0.15.15640 - GMER - Rootkit Detector and Remover
Rootkit quick scan 2011-06-04 15:53:01
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 Nikimi_NIK-XV400A rev.A93.0500
Running: yowniu0n.exe; Driver: C:\DOCUME~1\gilberto\IMPOST~1\Temp\kgayrpoc.sys


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 MBR read error
Disk \Device\Harddisk0\DR0 MBR BIOS signature not found 0

---- System - GMER 1.0.15 ----

SSDT spro.sys ZwEnumerateKey [0xF75AAE4C]
SSDT spro.sys ZwEnumerateValueKey [0xF75AB1DA]

---- Devices - GMER 1.0.15 ----

Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 [F74E4B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F74E4B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [F74E4B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F74E4B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [F74E4B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \FileSystem\Ntfs \Ntfs 82B711F8
Device \FileSystem\Fastfat \Fat 829C6470

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
Avira AntiRootkit Tool (1.3.0.1)

========================================================================================================
- Scan started sabato 4 giugno 2011 - 15.31.38
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 37.27 GB
- Working disk free size : 29.86 GB (80 %)
--------------------------------------------------------------------------------------------------------

Results:
Value data length mismatch (16 <> 20): HKEY_USERS\S-1-5-21-1060284298-839522115-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs -> mrulistex
Value data mismatch : HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon -> parseautoexec
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone -> drivelist

--------------------------------------------------------------------------------------------------------
Files: 0/13501
Registry items: 3/194265
Processes: 0/34
Scan time: 00:06:36
--------------------------------------------------------------------------------------------------------
Active processes:
- System (PID 4)
- winlogon.exe (PID 528)
- svchost.exe (PID 908)
- svchost.exe (PID 1928)
- iexplore.exe (PID 2172)
- csrss.exe (PID 504)
- avshadow.exe (PID 208)
- wuauclt.exe (PID 2632)
- vssvc.exe (PID 3084)
- avguard.exe (PID 1600)
- svchost.exe (PID 1036)
- services.exe (PID 572)
- iexplore.exe (PID 2368)
- smss.exe (PID 456)
- explorer.exe (PID 1256)
- jqs.exe (PID 1664)
- lsass.exe (PID 584)
- spoolsv.exe (PID 1284)
- nmjrmrvn.exe (PID 2696) (Avira AntiRootkit Tool)
- svchost.exe (PID 752)
- svchost.exe (PID 812)
- dllhost.exe (PID 3136)
- svchost.exe (PID 968)
- alg.exe (PID 900)
- taskmgr.exe (PID 2916)
- sched.exe (PID 1368)
- avgnt.exe (PID 1512)
- wmiprvse.exe (PID 3988)
- srvany.exe (PID 1692)
- NMSAccessU.exe (PID 1716)
- WanMiniport1st_srv.exe (PID 1728)
- avirarkd.exe (PID 2596)
- dllhost.exe (PID 3228)
- msdtc.exe (PID 3464)
========================================================================================================
- Scan finished sabato 4 giugno 2011 - 15.38.15
========================================================================================================
Vorrei un chiarimento grazie

 

[R16]

Scarica TDSSKiller.zip sul desktop:
How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su "Continue".
Se è richiesto il riavvio, acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Per postare il log:
Collegati ad internet e vai alla pagina WikiSend: Wikisend: free file sharing service
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

POI:
Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Rinomina combofix prima di salvarlo sul desktop in abc.exe
Per rinominare il file, quando lo scarichi ti chiede dove salvarlo, e ti compare la casella "nome file" ,basta che cambi il nome che ti appare li in abc.exe)
Una volta scaricato il programma, clicca su start\ esegui nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK.
Durante la scansione non usare il pc. (nemmeno il mouse)
Posta il log (sempre con Wikisend)

 

[drugofighters]

allora questo è il risultato della scansione con TDDSKiller TDSSKiller.2.5.3.0_04.06.2011_16.46.51_log.txt

 

[R16]

Ok.
Posta il log di Combofix.

 

[drugofighters]

lo sto scaricando spero avrai pazienza

 

[drugofighters]

scusa ho analizzato prima il download su virus total e con stupore mi ha rilevato 10 infezioni tra cui anche una backdoor:
AhnLab-V3 2011.06.04.00 2011.06.03 - AntiVir 7.11.9.24 2011.06.04 TR/Crypt.XPACK.Gen Antiy-AVL 2.0.3.7 2011.06.04 - Avast 4.8.1351.0 2011.06.04 - Avast5 5.0.677.0 2011.06.04 - AVG 10.0.0.1190 2011.06.04 - BitDefender 7.2 2011.06.04 - CAT-QuickHeal 11.00 2011.06.04 (Suspicious) - DNAScan ClamAV 0.97.0.0 2011.06.04 PUA.Packed.PECompact-1 Commtouch 5.3.2.6 2011.06.04 - Comodo 8947 2011.06.04 UnclassifiedMalware DrWeb 5.0.2.03300 2011.06.04 - eSafe 7.0.17.0 2011.06.02 - eTrust-Vet 36.1.8366 2011.06.03 - F-Prot 4.6.2.117 2011.06.03 - F-Secure 9.0.16440.0 2011.06.04 - Fortinet 4.2.257.0 2011.06.04 - GData 22 2011.06.04 - Ikarus T3.1.1.104.0 2011.06.04 Win32.SuspectCrc Jiangmin 13.0.900 2011.06.01 Backdoor/RBot.oqm K7AntiVirus 9.104.4763 2011.06.03 - Kaspersky 9.0.0.837 2011.06.04 - McAfee 5.400.0.1158 2011.06.04 Tool-NirCmd McAfee-GW-Edition 2010.1D 2011.06.04 Artemis!54E4529B4690 Microsoft 1.6903 2011.06.04 - NOD32 6179 2011.06.04 - Norman 6.07.07 2011.06.04 - nProtect 2011-06-04.01 2011.06.04 - Panda 10.0.3.5 2011.06.04 - PCTools 7.0.3.5 2011.06.03 - Prevx 3.0 2011.06.04 - Rising 23.60.03.09 2011.06.03 Suspicious Sophos 4.66.0 2011.06.04 NirCmd SUPERAntiSpyware 4.40.0.1006 2011.06.04 - Symantec 20111.1.0.186 2011.06.04 - TheHacker 6.7.0.1.215 2011.06.02 - TrendMicro 9.200.0.1012 2011.06.04 - TrendMicro-HouseCall 9.200.0.1012 2011.06.04 - VIPRE 9482 2011.06.04 - ViRobot 2011.6.4.4496 2011.06.04 - VirusBuster 14.0.67.1 2011.06.04 -Esiste magari un altro sito dove poterlo scaricare senza virus?

 

[R16]

Roba da matti.....:shock:
Hai scansionato Combofix, con Virus Total?
Senti una cosa drugofighters, se c'è una cosa che mi dà fastidio, è la sfiducia dell'utente.
Per cui, io ti mollo in fretta e furia, e se vuoi, fatti seguire da qualcun'altro.:ok:

 

[drugofighters]

scusa mi spiace che l'hai presa male(dovevo aspettarmelo) e ci tengo a precisare che ho la piena fiducia e stima nei vostri e sopratutto nei tuoi confronti,solo che a volte ci imbattiamo a nostra insaputa in indirizzi che nascondono spiacevoli sorprese,comunque ti chiedo enormemente scusa e ti prego di aiutarmi,tra poco ti posterò il log..:cav::inchino::inchino::inchino::inchino::inchino:

 

[drugofighters]

ecco il risultato della scansione: ComboFix.txt :inchino::inchino::inchino:

 

[drugofighters]

mi spiace che te la sei presa ma tengo a precisare che ho scansionato il download di combofix su virus total perchè il mio antivirus (avira) me lo segnalava come un trojan generic,solo per questo e non per mancanza di fiducia nei tuoi confronti.Comunque ti ringrazio ugualmente dell'aiuto :ok: