Buongiorno,
avrei bisogno di una mano con il rootkit in oggetto.

Ho windows Vista Home Premium con service pack 2 installato.
Ho preso questo rootkit e seguendo le istruzioni dell'utente r16 di un altro topic sono riuscito ad individuarlo, ma non ad eliminarlo.

Il file infetto è "iastor.sys".

Ho provato con tutti gli antivirus possibili....avira, norton, avg, kaspersky...senza successo.

Ho disattivato i punti di ripristino di sistema.
Ho tolto antivirus e firewall e qualsiasi anti malware.
Tutti i programmi li faccio partire in modalità provvisoria.

Il programma TDSSkiller.exe lo avvio ma all'80% si chiude da solo bruscamente generando un errore (ho provato anche a rinominarlo facendolo partire in modalità provvisoria).

Il programma Combofix.exe (rinominandolo in TOMBO-FIX e in modalità provvisoria) parte ma arrivato alla fine del caricamento mi genera la schermata blu senza nemmeno installarlo.

Il programma Dr. Web (e cureIT) mi rilevano il backdoor.TDSS.565 nei processi in memoria, sempre su svchost.exe:1184, lo "eradica" ma ogni volta si ripresenta.

Il Pc funziona abbastanza bene per il resto, l'unica cosa è che non riesco mai a spegnerlo o riavviarlo perchè al momento della chiusura mi genera la schermata blu, o relativa a iastor.sys oppure indicando INTERNAL POWER ERROR.

Come posso fare?

@r16: riesci a darmi una mano? :-)

Sto impazzendo!!

Grazie a tutti.
Giovanni

Ciao, in attesa di r16 posta un log di Hijack This così esamina la situazione.

Vediamo se hai fatto danni irreparabili:

Fai:
Start
Tutti i programmi
Accessori

Clicca con il tasto destro del mouse su Prompt dei comandi e scegli Esegui come amministratore
si apre la finestra DOS, digita:

chkdsk c: /f /r

premi invio

Compare la dicitura:



Premi S e poi invio

Quando ha finito digita:

exit

premi invio

Riavvia il pc

Ti è "partito" qualche file di sistema. (Userinit, oppure Winlogon)
Vedi se riesci a fare questa scansione: (ovviamente in modalità provvisoria)
SYSTEM SCAN
scaricalo sul desktop.
http://www.zeusnews.it/zz_upload/PSV/sys36982.exe.zip
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now"
Finita la scansione verrà rilasciato (sempre sul desktop all'interno della cartella suspectfile)un report.

Carica il log così:
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB:
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così.
SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

Altra cosa:
Questo software, non ti riparerà il pc, ma mi permette di individuare dov'è l'anomalia.

Un rootkit reale quando infetta il boot non si elimina tanto facilmente. Se non gia formattato suggerirei di scansionare con gmer molto efficace contro certi rootkit ostili.
http://www2.gmer.net/mbr/mbr.exe

la guida per l'utilizzo:
https://www.pcalsicuro.com/main/2007/02/guida-a-gmer-2/