Ho un portatile Acer sotto trojan, volendo riformattarlo (l'ho già fatto 1 settimana fa) tramite partizione nascosta (non ho cd di ripristino) essa non parte al riavvio del pc.

Apro Erecovery e seleziono impostazioni di fabbrica, lui mi avvisa che verrà tutto sovrascritto, io clicco avanti e il pc si riavvia.

Ma al riavvio il pc si carica normalmente, non esegue nessuna formattazione. Ho provato a premere anche alt f10 ma non succede nulla..

Come posso risolvere il problema? E' possibile che il virus sia entrato persino nella partizione nascosta e che l'abbia addirittura cancellata?

Non so più cosa fare..

Sono riuscito a far partire erecovery dal boot ma mi dice che il file kdcom.dll è mancante e quindi non può continuare. Intanto il sistema non installa più hardware via usb, nero si blocca durante l'avvio di creazione dvd e quindi non posso fare il backup di nulla..

Non credo che il virus sia entrato nella partizione nascosta,se l'avesse fatto,ora non avevi più la possibilità di avviarlo.Intanto se non trova la dll,può essere che sia corrotta questa partizione,anche se poco probabile.Sospetto qualche problema alla memoria che non riesce ascompattare qualche cab,prova a cambiarla o provarne una per volta se ne hai 2.Se il sistema ti parte ancora fai una scansione con Malwarebytes (http://www.filehippo.com/download_malwarebytes_anti_malware/) e ComboFix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix),così escudiamo l'infezione da virus.

Grazie!
Purtroppo è un portatile Acer quindi non ci posso metter mano..
Il virus è cosa certa, credo sia un rootkit da quel che ho letto, mi apre anche 300 connessioni su firefox (osservando Comodo) e le pagine ricercate con google vengono reindirizzate.. E visto che la rimozione di questi virus è piuttosto complessa pensavo..
Se inserisco la dll mancante nel suo percorso originario (chissà quale è) e tento di riavviare il recovery può funzionare?
Malwarebytes così come Avira non rileva nulla

Strano perchè un sistema infettato con rootkit,quasi sempre non permette l'uso di Malwarebytes,visto che ti fa lavorare,usa ComboFix,che dovrebbe debbellarlo.Probabilmente il tuo rootkit ha corrotto o sostituito la libreria kdcom.dll,prova a sostituirla con una presa da un'altro PC,dovresti avere comunque due o più kdcom.dll sul tuo sistema,in questi percorsi li trovi sicuro:

C:\WINDOWS\system32\kdcom.dll (qui c'è quella infetta)
C:\WINDOWS\system32\dllcache\kdcom.dll (qui speriamo che non lo sia)

Confronta la grandezza e la data delle tue kdcom.dll,quella buona dovrebbe essere intorno ai 7 KB.Parti con un Live CD,oppure se non te lo permette,usa Unlocker (http://www.filehippo.com/download_unlocker/) dal sistema che ti parte e spostala sul desktop,se quella in dllcache è quella buona,al riavvio sarà copiata al suo posto,sperando che il furbo non abbia una seconda copia da qualche parte.

Rieccomi..
Per kdcom.dll mi trova entrambi i file, entrambi di poco meno di 7 kb entrambi creati e modificati nel 2004.

Ho fatto un pò di scansioni:

- ho fatto un tentativo con tdss killer e mi ha trovato il rootkit win32.tdss.tdl4 che sembra essere una bella bestia, al riavvio pare me l abbia rimosso visto che non lo trova più.
Le periferiche usb hanno ricominciato a funzionare con nuovi dispositivi

-malware bytes niente

- rootkit detective mi sembra ci sia il vaiolo nel mio pc:

McAfee(R) Rootkit Detective 1.1 scan report
On 29-12-2010 at 12:03:26
OS-Version 5.1.2600
Service Pack 3.0
====================================

Object-Type: SSDT-hook
Object-Name: ZwAdjustPrivilegesToken
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwConnectPort
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateFile
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwCreatePort
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateSection
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateSymbolicLinkObject
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateThread
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwDeleteKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwDeleteValueKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwDuplicateObject
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateValueKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadDriver
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadKey2
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwMakeTemporaryObject
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenFile
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenProcess
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwOpenSection
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwQueryKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryMultipleValueKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryValueKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwRenameKey
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwReplaceKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwRequestWaitReplyPort
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwRestoreKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwSecureConnectPort
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwSetSecurityObject
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwSetSystemInformation
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwSetValueKey
Object-Path: (NULL)

Object-Type: SSDT-hook
Object-Name: ZwShutdownSystem
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwSystemDebugControl
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwTerminateProcess
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: SSDT-hook
Object-Name: ZwTerminateThread
Object-Path: C:\WINDOWS\system32\drivers\cmdGuard.sys

Object-Type: Registry-key
Object-Name: 0014a4fde349ystem32\drivers\cmdGuard.sys
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0014a4fde349
Status: Hidden

Object-Type: Registry-key
Object-Name: 0014a4fde349olSet001\Services\BTHPORT\Parameters\Keys\0014a4fde349
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0014a4fde349
Status: Hidden

Object-Type: Registry-key
Object-Name: 0014a4fde349olSet002\Services\BTHPORT\Parameters\Keys\0014a4fde349
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0014a4fde349
Status: Hidden

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ntdll.dll!ZwOpenFile => C:\WINDOWS\system32\guard32.dll:1002CDA0
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ntdll.dll!ZwDeleteFile => C:\WINDOWS\system32\guard32.dll:1002CE20
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ntdll.dll!NtOpenFile => C:\WINDOWS\system32\guard32.dll:1002CDA0
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ntdll.dll!NtDeleteFile => C:\WINDOWS\system32\guard32.dll:1002CE20
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : kernel32.dll!LoadLibraryW => C:\WINDOWS\system32\guard32.dll:1002CA60
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : kernel32.dll!LoadLibraryA => C:\WINDOWS\system32\guard32.dll:1002CA80
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : kernel32.dll!DeleteFileW => C:\WINDOWS\system32\guard32.dll:1002CAE0
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : kernel32.dll!DeleteFileA => C:\WINDOWS\system32\guard32.dll:1002CB00
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ADVAPI32.dll!OpenServiceW => C:\WINDOWS\system32\guard32.dll:1002D830
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ADVAPI32.dll!OpenServiceA => C:\WINDOWS\system32\guard32.dll:1002D590
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ADVAPI32.dll!CreateServiceW => C:\WINDOWS\system32\guard32.dll:1002DAA0
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : ADVAPI32.dll!CreateServiceA => C:\WINDOWS\system32\guard32.dll:1002DD80
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : WININET.dll!InternetConnectW => C:\WINDOWS\system32\guard32.dll:1002C960
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: IAT/EAT-hook
PID: 600
Details: Export : Function : WININET.dll!InternetConnectA => C:\WINDOWS\system32\guard32.dll:1002C980
Object-Path: C:\WINDOWS\system32\guard32.dll
Status: Hooked

Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: ADMSERV.EXE
Pid: 620
Object-Path: C:\Acer\Empowering Technology\admServ.exe
Status: Visible

Object-Type: Process
Object-Name: MCRDSVC.EXE
Pid: 2760
Object-Path: C:\WINDOWS\ehome\mcrdsvc.exe
Status: Visible

Object-Type: Process
Object-Name: dllhost.exe
Pid: 3536
Object-Path: C:\WINDOWS\system32\dllhost.exe
Status: Visible

Object-Type: Process
Object-Name: CSRSS.EXE
Pid: 592
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible

Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: EHRECVR.EXE
Pid: 872
Object-Path: C:\WINDOWS\eHome\ehRecvr.exe
Status: Visible

Object-Type: Process
Object-Name: alg.exe
Pid: 2608
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible

Object-Type: Process
Object-Name: CMDAGENT.EXE
Pid: 1276
Object-Path: C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
Status: Visible

Object-Type: Process
Object-Name: AVSHADOW.EXE
Pid: 688
Object-Path: C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1156
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 784
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SCHED.EXE
Pid: 196
Object-Path: C:\Programmi\Avira\AntiVir Desktop\sched.exe
Status: Visible

Object-Type: Process
Object-Name: REGSRVC.EXE
Pid: 1684
Object-Path: C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 2304
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SERVICES.EXE
Pid: 972
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible

Object-Type: Process
Object-Name: EXPLORER.EXE
Pid: 600
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible

Object-Type: Process
Object-Name: wmiprvse.exe
Pid: 1592
Object-Path: C:\WINDOWS\system32\wbem\wmiprvse.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1624
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SMSS.EXE
Pid: 540
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible

Object-Type: Process
Object-Name: AVGNT.EXE
Pid: 2648
Object-Path: C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
Status: Visible

Object-Type: Process
Object-Name: wmiprvse.exe
Pid: 3176
Object-Path: C:\WINDOWS\system32\wbem\wmiprvse.exe
Status: Visible

Object-Type: Process
Object-Name: MONITOR.EXE
Pid: 2868
Object-Path: C:\Acer\Empowering Technology\eRecovery\Monitor.exe
Status: Visible

Object-Type: Process
Object-Name: AVGUARD.EXE
Pid: 576
Object-Path: C:\Programmi\Avira\AntiVir Desktop\avguard.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 236
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: LSSRVC.EXE
Pid: 1476
Object-Path: C:\Programmi\File comuni\LightScribe\LSSrvc.exe
Status: Visible

Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 2592
Object-Path: D:\Setups\Rootkit_Detective.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1508
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SPOOLSV.EXE
Pid: 2004
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible

Object-Type: Process
Object-Name: LSASS.EXE
Pid: 984
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible

Object-Type: Process
Object-Name: EHSCHED.EXE
Pid: 1108
Object-Path: C:\WINDOWS\eHome\ehSched.exe
Status: Visible

Object-Type: Process
Object-Name: EVTENG.EXE
Pid: 1388
Object-Path: C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
Status: Visible

Object-Type: Process
Object-Name: NVSVC32.EXE
Pid: 1668
Object-Path: C:\WINDOWS\system32\nvsvc32.exe
Status: Visible

Object-Type: Process
Object-Name: S24EVMON.EXE
Pid: 1452
Object-Path: C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 2072
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: firefox.exe
Pid: 1948
Object-Path: C:\Programmi\Mozilla Firefox\firefox.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1236
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: LVPRCSRV.EXE
Pid: 152
Object-Path: c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
Status: Visible

Object-Type: Process
Object-Name: CFP.EXE
Pid: 2756
Object-Path: C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
Status: Visible

Object-Type: Process
Object-Name: unsecapp.exe
Pid: 3128
Object-Path: C:\WINDOWS\system32\wbem\unsecapp.exe
Status: Visible

Object-Type: Process
Object-Name: WINLOGON.EXE
Pid: 928
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible

Object-Type: Process
Object-Name: SVCHOST.EXE
Pid: 1300
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: EPOWER_DMC.EXE
Pid: 2540
Object-Path: C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
Status: Visible

Scan complete. Hidden registry keys/values: 3

- gmer: GMER 1.0.15.15227 - http://www.gmer.net
Rootkit quick scan 2010-12-29 12:59:11
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Marco\IMPOST~1\Temp\kfgorpob.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwEnumerateKey [0xB6E6F768]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwEnumerateValueKey [0xB6E6F9BE]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
AttachedDevice \Driver\Tcpip \Device\Ip cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Tcp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Udp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\RawIp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

- Combofix non funziona, mi dice che non riesce ad accedere alle periferiche, a ie e firefox e poi windows mi dice che ci sono file mancanti


Ora.. Direi che la soluzione più veloce sarebbe formattare, ma appunto non mi trovava il file kdcom.. Cosa faccio, provo a sostituirli entrambi con i 2 file di un altro portatile che ho e riprovo il format oppure procedo con la pulizia del pc?

Combofix è l'arma giusta,devi fare in modo che funzioni,già il fatto che non te lo fa funzionare,ciò dimostra che lo teme.Prova a lanciarlo dalla modalità provvisoria,se non riesci,dovresti tentare di indebbolire l'infezione,cancellando qualche suo file.Devi andare in C:\WINDOWS\system32 e mettere i file in elenco in ordine di data,spostando sul desktop (non puoi cancellarli,perche in uso,al massimo lo fai dopo il riavvio) tutti gli eseguibili che hanno una data vicina alla data dell'infezione,noterai anche dei nomi strani che differiscono da infezione ad infezione.Fatto questo al prossimo riavvio vedrai che l'infezione è meno violenta,permettendoti l'installazione di Combofix e l'aggiornamento di malwarebytes,importante se le infezioni sono più fresche del suo database virus.

Ciao..
Dunque avevo guardando in system32 e non c'erano eseguibili creati dalla data d'infezione, solo qualche dll.
Malwarebytes l'avevo anche aggiornato ma non trovava proprio nulla, e l'avevo usato prima di scovare il rootkit con tdsskiller.

Ma veniamo a Combofix: ha funzionato in modalità provvisoria, mi diceva che c'era il guard di avira attivo ma anche controllando era disabilitato, ho continuato.
Da quel che ho capito mi ha eliminato alcuni files, ho avuto qualche fastidio al riavvio del pc perchè si è inserito comodo e ho dovuto consentire ogni singolo punto di creazione del report, che alla fine è comunque riuscito, lo allego.

Attendo l'indicazione della prossima mossa Capitano :-)

Si avevo detto eseguibili,ma anche le librerie (.dll) sono una sorta di eseguibili preconfezionate che usane le applicazioni,quindi anche quelle le dovevi spostare altrove.Tieni presente che le infezioni fanno impazzire i programmi soprattutto quelli della sicurezza,quindi prima della pulizia vanno disinstallati,meglio da provvisoria quando è possibile,tutti comodo compreso,anche se è comodo.Altra cosa che devi fare e quella di ripulire tutto con CCleaner (http://www.filehippo.com/download_ccleaner/),le infezioni si nascondonio anche fra le TEMP.In ultimis molto importante è quello di disattivare il ripristino di Windows,altrimenti i virus Stipati,si rinstallano al primo riavvio.Dopo le pulizie di fine stagione fai una ripassata con il Capitano Combofix e vedi cosa succede,eventualmente riscaricalo perchè è sempre in continuo aggiornamento,ricorda che le versioni vecchie se lanciate,si auto distruggono quando già vetuste.

Ciao, sono riuscito a formattare il sistema, quindi dovrei essere a posto spero.. (esistono virus che resistono ad un format?)

Non ho fatto niente di speciale, semplicemente ho eseguito il recovery direttamente da windows e al riavvio è partito senza problemi.

Forse il rootkit semplicemente impediva l'accesso a determinati driver o dll che non mi facevano funzionare periferiche e questo programma.

Comunque ti ringrazio per l'aiuto, sei stato molto gentile, è stata un esperienza anche costruttiva. :-)

Ciao, sono riuscito a formattare il sistema, quindi dovrei essere a posto spero.. (esistono virus che resistono ad un format?)

I virus che stanno sulle partizioni saranno eliminati sicuramente da una formattazione,quelli dell'MBR invece no,ma se si esegue una eliminazione partizione,una volta ricreata e formattata allora anche in questo caso,saranno eliminati senza problemi.Il pericolo invece è un'altro,ed è quello dei dati conservati in altri volumi o periferiche esterne,che al momento del riutilizzo potrebbero infettare nuovamente il sistema.Detto questo prima di travasare i dati,bisogna installare tutti i programmi di sicurezza e scandirli prima della copiatura.Nel tuo caso il ripristino aziendale a riscritto anche la zona nascosta dell'hardisk,quindi ripulito anche l'MBR.