Ecco il log (non riesco a caricarlo su wikisend)


Farbar Service Scanner Version: 01-03-2012
Ran by principale (administrator) on 15-03-2012 at 22:28:07
Running from "C:\Documents and Settings\principale\Desktop"
Microsoft Windows XP Professional Service Pack 3 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Yahoo IP is accessible.


Windows Firewall:
=============

Firewall Disabled Policy:
==================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============

Windows Update:
============

File Check:
========
C:\WINDOWS\system32\dhcpcsvc.dll
[2004-08-30 21:00] - [2008-04-13 18:13] - 0126976 ____A (Microsoft Corporation) 699EE7F752A25180AEB92C3A0EAEE440

C:\WINDOWS\system32\Drivers\afd.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
C:\WINDOWS\system32\dnsrslvr.dll
[2004-08-30 21:00] - [2009-04-20 18:18] - 0045568 ____A (Microsoft Corporation) B7A1162B1A26DF7B60D5D9500006096C

C:\WINDOWS\system32\ipnathlp.dll
[2004-08-30 21:00] - [2008-04-13 18:13] - 0332288 ____A (Microsoft Corporation) 152C0555925DFE028E3148FD215146BB

C:\WINDOWS\system32\netman.dll
[2004-08-30 21:00] - [2008-04-13 18:13] - 0198144 ____N (Microsoft Corporation) 02815B70FC4CA8611A926176F1C39FC2

C:\WINDOWS\system32\wbem\WMIsvc.dll
[2008-11-12 11:29] - [2008-04-13 18:13] - 0145408 ____A (Microsoft Corporation) 40911E98D0F1CBB1015F2101982F1DDF

C:\WINDOWS\system32\srsvc.dll
[2008-11-12 11:31] - [2008-04-13 18:13] - 0171520 ____N (Microsoft Corporation) B3E3DA70A7A76E69B872DE3D06D32C19

C:\WINDOWS\system32\Drivers\sr.sys
[2008-11-12 11:31] - [2008-04-13 17:56] - 0073472 ____A (Microsoft Corporation) 618718CAE288BF7CBD8FCBAB2577D932

C:\WINDOWS\system32\wscsvc.dll
[2004-08-30 21:00] - [2008-04-13 18:13] - 0080896 ____A (Microsoft Corporation) 926D921C93CFF1E19EF4DE3E4C8368CA

C:\WINDOWS\system32\wbem\WMIsvc.dll
[2008-11-12 11:29] - [2008-04-13 18:13] - 0145408 ____A (Microsoft Corporation) 40911E98D0F1CBB1015F2101982F1DDF

C:\WINDOWS\system32\wuauserv.dll
[2008-11-12 11:31] - [2008-04-13 18:13] - 0006656 ____A (Microsoft Corporation) CC48415E6C7CBAA441A3D6A6DCCBCFA6

C:\WINDOWS\system32\qmgr.dll
[2008-11-12 11:31] - [2008-04-13 18:13] - 0409088 ____N (Microsoft Corporation) 48C4763A9C8990FB48B73445BEB15D6A

C:\WINDOWS\system32\es.dll
[2004-08-30 21:00] - [2008-07-07 21:27] - 0253952 ____N (Microsoft Corporation) 8360CB9756E598A5C6214EACFB3677C3

C:\WINDOWS\system32\cryptsvc.dll
[2004-08-30 21:00] - [2008-04-13 18:13] - 0062464 ____N (Microsoft Corporation) B6FCBB157E9C8ABDCA4134C535535A8B

C:\WINDOWS\system32\svchost.exe
[2004-08-30 21:00] - [2008-04-13 18:14] - 0014336 ____N (Microsoft Corporation) BB8363ABEC09AA2F9B363484E282117C

C:\WINDOWS\system32\rpcss.dll
[2004-08-30 21:00] - [2009-02-09 11:51] - 0401408 ____N (Microsoft Corporation) BC4E0226341AAEC1222336B3AED86BAB

C:\WINDOWS\system32\services.exe
[2004-08-30 21:00] - [2009-02-09 12:22] - 0111104 ____N (Microsoft Corporation) 26845F272435302E0F3322E660A24F7D


Extra List:
=======
Gpc(3) IPSec(5) NetBT(6) PSched(7) Tcpip(4) VBoxNetFlt(8)
0x09000000050000000100000002000000030000000400000009000000060000000700000008000000
IpSec Tag value is correct.

**** End of log ****

Oltre al problema che mi dice che c'è un rootkit io non riscontro alcun problema.... magari dimmi come devo avviare combofix che domattina lo faccio... ti ho fatto fare anche tardi e mi dispiace farti tirare così per le lunghe, non voglio approfittarne.

Ma no....non ti preoccupare.
Questa infezione è attualmente la più difficile da eliminare.
Per cui, vale la pena tirare tardi.
Comunque, Loredana, stiamo vincendo.
Vorrei postarti la procedura per reistallare il protocollo TCPIP, leggila bene, ma non fare nulla:

Si sviluppa in varie fasi:

REISTALLARE il protocollo tcp.


1.Start\ Esegui
2. Digita regedit, e poi OK.
3.Segui il percorso di queste chiavi, cliccando sul + di ogni voce.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
Arrivato alla cartella Winsock cliccaci sopra con il tasto destro, e scegli Elimina.
Stessa cosa con la cartella Winsock2
4. Per confermare l'eliminazione, scegli Sì.
Riavvia il pc (molto importante)

Poi:


1) Fai Start\Esegui\ copia-incolla questo comando:

notepad c:\windows\inf\nettcpip.inf

Si aprirà un un file di testo.

Sotto TCP/IP Primary Install cerca questa sezione:

Characteristics=0xA0

Modifica 0XA0 e rimpiazzalo con 0x80 (sostituisci la A con 8).

Clicca in alto su "File" e clicca "Salva"
Chiudi il file di testo.

2)
Start\Pannello di controllo\ e fai doppio click su "connessione di rete.

Tasto destro sulla tua connessione,e clicca "Proprietà".

Sul tab generale clicca su:

Installa

Seleziona : "Protocollo"
Clicca "Aggiungi"
clicca su "Disco driver"
Copia-incolla questo:
c:\windows\inf
E clicca OK

3) Adesso, esegui la stessa procedura del punto 1 , però devi cambiare 0x80 con 0xA0. (sostituisci 8 con la A ).

Clicca in alto su "File" e poi clicca "Salva".

Chiudi il file di testo .


4)Start\Pannello di controllo\ e fai doppio click su "connessione di rete.

Tasto destro sulla tua connessione,e clicca "Proprietà".

Sul tab generale clicca su:
Installa
Clicca su:
protocollo
Seleziona Internet Protocol(TCP/IP) e poi clicca ok.
Aspetta fino a quando ti chiede il riavvio del pc, e quindi riavviare come richiesto.

Come quando ha funzionato.
Possibilmente, in modalità normale.
Buonanotte anche a te.

Allora inserendo il comando in start/esegui Combofix non mi è partito... sono riuscita solo trascinando lo script sull'eseguibile. Mi è apparsa la solita finestra con la scritta che il mio pc è infestato da un rootkit zeroaccess . In seguito un ulteriore finestra con la scritta (stavolta in italiano) "Cpmbofix ha rilevato la presenza di attività rootkit ed è neccessario riavviare il pc" e poi al termine dell'eseguibile questo è il log che mi ha rilasciato.

ComboFix.txt

PS Un altro problema che riscontro è che non riesco a completare la scansione con Avira... a metà mi va in crash il pc (l'ho riprovata a fare perchè Avira continua ad avvisarmi che c'è un oggetto nascosto o un programma indesiderato e che urge una scansione)

Eccolo

FSS.txt

ok ho fatto tutto quello che mi hai chiesto di fare e nuovamente non riesco a collegarmi ad internet.... son dovuta passare sul portatile. Se vado sull'icona della mia connessione c'è un triangolino giallo con punto esclamativo

Ecco fatto...

Result.txt

No... se apro explorer la finestra si richiude da sola... mozzilla mi esce la scritta "impossibile contattare il server"

Da Pannello di controllo, vai in connessioni di rete.
Clicca con il tasto destro sulla tua connessione e scegli "Ripristina".
Se non funziona:
Apri Farbar Service Scanner (FSS)
digita winsock
Posta il log.