Salve a tutti.. spero di essere nella sezione giusta! Circa una settimana fa ho aperto un file scaricato da emule che, purtroppo, mi ha infettato il pc.. Mi sono resa conto del danno soltando quando ho iniziato ad avere problemi con Windows Live Messenger siccome mi dava errore dell'applicazione praticamente ogni 5 minuti causandone l'arresto (e tra l'altro non potevo eseguire il debug). Allora l'ho disinstallato credendo di risolvere qualcosa ma quando ho provato a scaricare nuovamente il programma si apriva la pagina con l'errore 404.. Accade la stessa cosa se cerco di scaricare qualche altro programma dal sito microsoft. Come se non bastasse, non mi era più possibile aggiornare l'antivirus (Avast), quindi girando tra le pagine di questo sito ho riscontrato somiglianze con gli effetti provocati da Bagle.. ho seguito la procedura.. in effetti le condizioni del pc sono migliorate: ho potuto aggiornare l'antivirus e la navigazione in internet è tornata alla normale velocità. Purtroppo il problema del download persiste.. ho appena finito una scansione con Malwarebytes e sn risultati 12 elementi infetti da Trojan.DNSChanger, ho cliccato per rimuovere i 12 file selezionati ed è apparso un avviso che mi avertiva che 5 di questi non potevano essere rimossi, inoltre programmava un riavvio del pc.. A questo punto non so più cosa fare, chiedo aiuto!

Ciao

per accertaci che bagle sia sparito carica il log di elibagla che avrai usato seguendo la guida

poi per ripulire completamente il pc segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, e secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308).

Leggi bene tutto questo post, e salvo problemi gravi, arriverai in fondo alla guida in perfetta autonomia



Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

Ricapitolando, dopo aver disabilitato il ripristino di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine e anche se non è stato rilevato nulla mettendo il nome della scansione a fianco del link (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3):

log di Malwarebytes Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9) aggiornato ad oggi
log di A-squared (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8) scansione deep aggiornato ad oggi
log di Kaspersky Virus Removal Tool (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) scaricato oggi oppure di F-Secure OnLine (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5) scaricato oggi
log di ESET SysInspector (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)


Se il pc dovessse essere molto compromesso (es. riavvii frequenti, schermate blu) oppure hai problemi con internet per aggiornare i programmi leggi qui (http://www.hwupgrade.it/forum/showpost.php?p=24315070&postcount=27)

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com, imageshack (http://fileqube.com/)

grazie per la rapida risposta! sto eseguendo tutte le scansioni necessarie.. appena avrò tutti i log li posterò!

Ho un piccolo dubbio.. la scansione con Hijackthis è appena finita e sono usciti parecchi risultati.. ora devo selezionarli tutti e cliccare su fix checked per eliminare tutto anche se alcuni sono dei programmi (tipo Service:avast! Web Scanner- ALWIL Software C:\...)? Sulla guida c'è scritto "Metti la spunta a fianco delle righe che ti segnalo qui sotto" ma non capisco quali siano le righe da spuntare..

ho corretto le info... fixerai quello che ti segnaliamo qui dopo che caricherai tutti i log

Ecco qui la lista dei log:
Elibagla http://www.fileqube.com/file/ODgSTvbfH158897
A-Squared http://www.fileqube.com/file/wOhjLZYZ158908
MalwareBytes http://www.fileqube.com/file/lQTuKZq158898
F-Secure http://www.fileqube.com/file/RbpfrcK158899
Dr Web http://www.fileqube.com/file/ryKIyjY158907
HiJackThis http://www.fileqube.com/file/pIwzoD158900
Gmer http://www.fileqube.com/file/fuPZPea158901
PrevxCSI http://www.fileqube.com/file/aiBgKkg158902

Purtroppo Eset SysInspector dai link non sono riuscita a scaricarlo.. spero non sia un problema! Sono nelle vostre mani! :help:

rilancia gmer, clicca sulle righe in rosso, tasto destro e seleziona delete o delete service

eset a me funziona

cureit potresti caricarlo filtrato seguendo il punto 4 delle modalità in firma



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)


O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1739] command /c del "c:\resycled\boot.com"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [SpybotDeletingB1549] command /c del "c:\resycled\boot.com"
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ifeveryonecared-sofya.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://ifeveryonecared-sofya.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35192896-A922-4395-8D56-89D0004830C0}: NameServer = 85.255.114.106;85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE325945-2033-40E2-BACC-6B38CE8F62DB}: NameServer = 85.255.114.106;85.255.112.123
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.106;85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.106;85.255.112.123

Ho rilanciato gmer.. cliccando con il tasto destro ho potuto eliminare una sola voce evidenziata in rosso.. le altre 10 (type "SSDT") posso solo cliccare restore.. procedo?
intanto riecco cureit.. qst volta filtrato http://www.fileqube.com/file/lzNeaxWmi158967

restore non toccarlo ;)


disinstalla Prevx
riavvia il pc
riscaricalo http://pxnow.prevx.com/zeroL/PREVXCSIFREE_IT.exe
reinstallalo
nuovo scan e nuovo log


+ nuovo log di gmer

nuovo log di Prevx http://www.fileqube.com/file/xkFeus158974
e nuovo di gmer http://www.fileqube.com/file/jBMkOWgt158975
e qll di HJT dopo aver fixato e riavviato il pc http://www.fileqube.com/file/neLYuVb158978

Rilancia la scansione con Gmer terminata la stessa seleziona il Servizio identificato come hidden C:\WINDOWS\system32\drivers\msqpdxpqltoity.sys lo selezioni col tasto dx del mouse e clicca su Delete Service

2 Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
C:\WINDOWS\system32\drivers\msqpdxpqltoity.sys
C:\WINDOWS\system32\msqpdxmtvearxx.dll
C:\WINDOWS\system32\msqpdxvkqlxfmm.dll

Drivers to unload:
msqpdxpqltoity



clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

Riepilogo log da allegare:
Avenger
Nuovo log Gmer
Nuovo log Prevx
Nuovo log HJT

Ciao

Scusate per il ritardo.. eccoli:
Avenger http://www.fileqube.com/file/wGndslPAI158999
Gmer http://www.fileqube.com/file/dcEFBce159000
Prevx http://www.fileqube.com/file/cFlhdt159001
HJT http://www.fileqube.com/file/ZFpgyLIa159002

Hai dimenticato questo passaggio:

Rilancia la scansione con Gmer terminata la stessa seleziona il Servizio identificato come hidden C:\WINDOWS\system32\drivers\msqpdxpqltoity.sys lo selezioni col tasto dx del mouse e clicca su Delete Service

Già è vero.. una svista! rimedio subito http://www.fileqube.com/file/PYkxokI159005

1 Esegui HJT e fixa le seguenti voci:

O4 - HKLM\..\RunOnce: [SpybotDeletingA1739] command /c del "c:\resycled\boot.com"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1549] command /c del "c:\resycled\boot.com"
O17 - HKLM\System\CCS\Services\Tcpip\..\{35192896-A922-4395-8D56-89D0004830C0}: NameServer = 85.255.114.106;85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE325945-2033-40E2-BACC-6B38CE8F62DB}: NameServer = 85.255.114.106;85.255.112.123
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.106;85.255.112.123
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.106;85.255.112.123
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.106;85.255.112.123

2 Nuova scansione completa con MBAM

Riepilogo log da allegare:
Nuovo log HJT
MBAM

Ciao :)

Ecco i 2 log:
HJT (dopo aver fixato) http://www.fileqube.com/file/FhisLY159069
MalwareBytes http://www.fileqube.com/file/RGYbwQ159068

Comunque volevo farvi sapere che finalmente dopo una settimana sono riuscita ad effettuare il download... GRAZIE MILLEE!!! :D :D

Ecco i 2 log:
HJT (dopo aver fixato) http://www.fileqube.com/file/FhisLY159069
MalwareBytes http://www.fileqube.com/file/RGYbwQ159068

Comunque volevo farvi sapere che finalmente dopo una settimana sono riuscita ad effettuare il download... GRAZIE MILLEE!!! :D :D

Dal log di MBAM

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ae325945-2033-40e2-bacc-6b38ce8f62db}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.106;85.255.112.123 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{ae325945-2033-40e2-bacc-6b38ce8f62db}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.106;85.255.112.123 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{35192896-a922-4395-8d56-89d0004830c0}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.106;85.255.112.123 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{ae325945-2033-40e2-bacc-6b38ce8f62db}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.106;85.255.112.123 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{ae325945-2033-40e2-bacc-6b38ce8f62db}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.106;85.255.112.123 -> No action taken.

No action taken -->> significa che non hai eliminato nulla, ripeti la scansione ed elimina le chiavi di registro infette

Riallega correttamente il log di HJT

HJT http://www.fileqube.com/file/VdKYAVcPp159073
MBAM http://www.fileqube.com/file/uoyYzqH159074
Scusami.. avevo caricato il log sbagliato di Malwarebytes.. :rolleyes:

HJT http://www.fileqube.com/file/VdKYAVcPp159073
MBAM http://www.fileqube.com/file/uoyYzqH159074
Scusami.. avevo caricato il log sbagliato di Malwarebytes.. :rolleyes:

Bene dovremmo essere ok, leggi attentamente qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 ciao :)

il mio pc ringrazia.. lo avete salvato!!! :D :D