Probabile rootkit (e forse non solo)

[realtebo]

Per la prima volta in vita mia mi rivolgo ad un forum per un virus... ma questa volta ci sto perdendo la testa.

Tutto iniziò quando il pc inizio a rifiutarsi di eseguire internet explorer. Si noti che il pc non è mio, ed ora scrivo grazie a firefox.

Ho scansionato col suo antivurs, G-DATA, mai sentito e trovato nulla.

non posso neppure provare AVG perchè richiede il service pack 2 e su quell'XP non c'è neppure l'1 !!! Incredibile.

Hijackthis mi riporta alcune chiavi che si ostinano a ricrearsi, così come alcuni file .tmp ed alcuni eseguibili qua e la.
Li stoppo, e con Unlocker li elimino anche, quindi con Hijackthis rimuovo le chiavi. Ma queste si riformano !

Allego il log

Inoltre, eseguendo GMER mi rileva un rootkit nell'MBR.

Così mi dico: uso il mitico MBR.EXE (dagli stessi autori di GMER). Avvio in modalità provvisoria, eseguo mbr.exe senza nessuno switch e mi trova un virus.

Bene, cioè male, ma mi dico : ora eseguo mbr.exe -f e quello mi pulisce l'mbr copiando sopra l'originale non infetto. Invece non fa nulla... .

Tutto cioò che mi dice in entrambi i casi è:

Codice:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x4c8ed45 size 0x1ce !
copy of MBR has been found in sector 62 !

Ora accetto suggerimenti... PS: sto scaricando or ora il service pack 2 per xp, poi ci metterò su il tre, direi domani....

AGGIUNTA POSTUMA: Avenger NON rileva nesun rootkit

[wjmat]

Ciao benvenuto nel pronto soccorso di HU.
Nel caso tu sia riuscito a sistemare l'mbr l'esito di gmer lo darò sempre infetto...quindi per verifiche segui qui la guida per la rimozione di MBR rootkit e posta in quella discussione tutti i log richiesti secondo le modalità .