Ciao a tutti, sono nuovissimo (mi sono iscritto proprio stamane!) e ieri sera ho fatto la stupidata di installare folderlock scaricato da p2p, e come mi capita spesso ultimamente (penso siano aneurismi spontanei) ho dimenticato di verificare il file con Avira...così mi sono beccato questo trojan TR/Drop.Delf.XO (è la nomenclatura che mi dà Avira)...
sono riuscito a cancellare i file incriminati, ma mi è spuntato un problema di cui ho letto in un altro thread, ovvero l'impossibilità di accedere ai dischi da risorse del computer (se non che con clic dx>esplora) per via dell'errore C:\Resycled\boot.com...sul thread in questione era presente un metodo per eliminare questi file nascosti che forse potrebbe risolvere il problema, ma vorrei cmq avere qualche info in merito ad eventuali altri problemi che potrei avere sul pc, sottoponendo i log dei vari programmi in base alla guida alla disinfezione.
per ora penso che proverò quella procedura che ho trovato qui:http://www.hwupgrade.it/forum/showthread.php?t=1829259&highlight=resycled
Chiedo scusa se dovessi aver aperto un thread inutile...eventualmente spostate dove più giusto
grazie mille! (gran bel forum btw...!)

ciao

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

poi per sicurezza segui la guida alla disinfezione e ci carichi tutti i log

domanda/e: prima di fare la scansione con combofix è meglio se faccio la procedura segnata in guida per disattivare il ripristino delle configurazioni di sistema? e poi...io uso un router, ho formattato da circa un mesetto per via di un pasticcio che avevo combinato nel tentativo di installare ubuntu (cosa che mi ha del tutto fatto passare la voglia di passare ad un altro s.o.) e da poco utilizzo un router per connettermi a internet, perciò volevo sapere se eventuali configurazioni del router vengano modificate o se non ci sono problemi in tal senso...cmq stasera appena torno dall'ufficio mi metto a scansionare con tutti i programmi della guida e a postare i log...
ah, infine...io ho due hard disk, uno su cui è installato windows xp pro e l'altro da 160 gb partizionato in due blocchi da 80 giga l'uno in cui ho musica, video e giochi...le scansioni devono riguardare tutti i dischi o posso concentrarmi solo sull'hard disk su cui è installato windows?
grazie per l'assistenza!

ho visto oggi che combo riconosce le infezioni relative a resycled, fallo girare a fine guida
la guida io la seguirei tutta per evitare ti tenere insaputamente altra robaccia nel pc
ovviamente scansioni complete di tutti i dischi

la prima scansione rapida con malwarebytes mi ha trovato più di 20 infezioni, comprendenti trojan, adware e compagnia bella...ho rimosso le infezioni e mi ha richiesto di riavviare perchè potesse terminare il processo di rimozione...ma al riavvio di windows non riesco più ad accedere a internet (ora difatti sto postando dal portatile di mia sorella)...la faccenda si complica...:(
ora sto facendo una scansione completa con malwarebytes, e sto scaricando dal portatile, per poi metterli su una chiavetta, gli altri software per le altre scansioni, per infine salvare i log sulla chiavetta e postarli qui...rimane il problema che il log di f-secure Online, essendo necessaria la connessione non potrò postarlo, quindi che posso fare? comincio a mordicchiarmi le mani...ho provato anche a ripristinare la connessione con il comando ripristina da risorse di rete, ma nulla da fare...
Avira tra l'altro, da che l'ho installato non è mai riuscito a connettersi al server per gli aggiornamenti...:doh:
sono proprio un paciugone...spero tanto di riuscire a risolvere un po' di problemi col vostro aiuto, e ad imparare qualcosa magari!
ringrazio anticipatamente un casino e mi metto in attesa di ulteriori istruzioni
ciao!

invece di fsecure opta per kasp removal tool
a-squared o lo aggiorno come da bigino in firma o lo fai girare quando la connessione si sarà ripristinata

rieccomi: forse ho compreso il motivo del perchè non mi funzioni più internet: quando mi è stato installato il router, con l'amico di mio padre che mi ha aiutato a configurarlo, abbiamo registrato un dominio su dyndns.com (o .net) per far sì che mi funzionasse dc++, con un dns dinamico...ti posto parte del log della scansione rapida di malwarebytes che ha rilevato un trojan di nome Trojan.DNSChanger
queste le voci di registro:

HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{335fc322-9c56-44c4-8040-b3ecd7780130}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{335fc322-9c56-44c4-8040-b3ecd7780130}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{335fc322-9c56-44c4-8040-b3ecd7780130}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{335fc322-9c56-44c4-8040-b3ecd7780130}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{335fc322-9c56-44c4-8040-b3ecd7780130}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{335fc322-9c56-44c4-8040-b3ecd7780130}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Quarantined and deleted successfully.


e questo file (che come vedi ha cancellato dopo il reboot)
C:\WINDOWS\Temp\tempo-68F.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully


è possibile che c'entri qualcosa?se dovessero essere falsi positivi, come li ripristino?
nel frattempo continuo le scansioni...

ah tra l'altro non riesco più ad accedere alla pagina della configurazione del router da browser (uso firefox) ...o meglio, la pagina la carica, ma incompleta, mancano gli accessi alle impostazioni.
mi inchino umilmente e porgo cordiali saluti

tu procedi, vedremo poi se sono falsi positivi

nuovamente ciao!
comincio a postare i log delle scansioni che ho fatto per ora:

-malwarebytes (scansione rapida)
mbam-log-2008-12-15 (19-27-02).txt (http://wikisend.com/download/529772/mbam-log-2008-12-15 (19-27-02).txt)

- malwarebytes scansione completa
mbam-log-2008-12-15 (20-54-16).txt (http://wikisend.com/download/945786/mbam-log-2008-12-15 (20-54-16).txt)

-A-Squared Deep scan
a2scan_081215-211448.txt (http://wikisend.com/download/922930/a2scan_081215-211448.txt)

ho fatto anche la scansione con kaspersky virus removal tool come mi hai suggerito al posto di f-secure, non ha trovato nulla, poi allora ho installato log parser per sminuzzare il log di kaspersky ma...nn ci ho capito molto, anzi praticamente nulla :wtf: e il link alla pagina con la guida mi devia sul blog di hwupgrade e non la trovo...
ora sto scansionando con drweb cureit, la scansione preliminare che ha fatto non ha trovato nulla, e pare che di conseguenza nn abbia salvato il log, cmq ora sta facendo quella completa...

al solito attendo fervente nuove istruzioni e saluto!

EDIT: ho trovato il log di cureit ma è grosso 7 mega...

hai trovato problemi con il parser o con i .bat che ho al punto 4 delle modalità in firma?

ho trovato dopo aver postato i .bat che hai in firma :fagiano: ...ho già fatto il log di kaspersky, sto aspettando di finire con drweb cureit (e ci vorrà ancora parecchio...) per usare il bat x cureit...finora nn ha trovato nulla, e ho come l'impressione che non troverà nulla anche a scansione completata...
ah nel frattempo con la procedura di cui parlavo qualche post più su relativa al problema C:\resycled\boot.com riesco nuovamente ad accedere ai vari dischi fissi senza dover cliccare col dx->esplora

nel frattempo posto il log shrinked di kaspersky
kasp filtrato.txt (http://wikisend.com/download/552752/kasp filtrato.txt)

keeping my fingers crossed

ho finalmente finito tutte le scansioni

posto i log rimanenti

Drweb Cureit (tagliato con il tuo bat bellissimo:ave: )
cureit filtrato.txt (http://wikisend.com/download/520476/cureit filtrato.txt)

ESET SysInspector (in formato .xml)
SysInspector-DHARMA-D19B17A3-081216-2217.xml (http://wikisend.com/download/565618/SysInspector-DHARMA-D19B17A3-081216-2217.xml)

hijack this
hijackthis.log (http://wikisend.com/download/483346/hijackthis.log)

Gmer
gmer.log (http://wikisend.com/download/793444/gmer.log)
gmer mi ha trovato una linea in rosso, la copio qui
Service system32\drivers\msqpdxmqctotun.sys (*** hidden *** ) [SYSTEM] <-- ROOTKIT !!!


non avendo connessione internet infine purtroppo nn sono riuscito a far andare PrevxCSI, che mi sembra un programmino serio
in ogni caso aspetto notizie, sperando che i log siano in qualche modo illuminanti...grazie mille! :D :D :D

NB: i malware rilevati in precedenza da MBAM non sono falsi positivi

1 Rilancia la scansione con Gmer terminata la stessa seleziona il Servizio identificato come hidden system32\drivers\msqpdxmqctotun.sys (*** hidden *** ) lo selezioni col tasto dx del mouse e clicca su Delete Service

2 Ripeti la scansione con CureIt hai fatto la scansione rapida denominata Express Scan devi fare la scansione completa

3 Manca la scansione con Prevx CSI

ciao chillout!
oggi quando torno dall'ufficio rifaccio la scansione con cureit (anche se a malincuore, perchè ci aveva messo più di due ore e mezza...)
...riguardo a prevx ho il problema che non posso connettermi a internet dal pc infetto (cosa successa dopo la pulizia con mbam),e infatti ho dovuto scaricare dal portatile di mia sorella i programmi della lista per la disinfezione, passarli sulla chiavetta, e metterli sul fisso.
cosa posso fare ora?

Oltre a quanto indicato sopra fai girare anche questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Porva ad accedere al Pannello del Router utilizzandi IE fammi sapere

@ chillout:
ho letto su questo (http://www.hwupgrade.it/forum/showthread.php?t=1881047) topic che anche ad un'altra persona hai chiesto di fare la scansione completa con cureit, e io posso assicurarti che il log che ho postato più su è di quella completa (ti dico queste cose solo per evitare altre due ore e mezza di scansione, se le posso evitare...)
cmq ora attendo con ansia le 5 e mezza per poter tornare a casa e andare passettin passettino verso l'agognata soluzione ai miei problemi eheh
grazie mille per la comprensione verso la mia nabbaggine

@ chillout:
ho letto su questo (http://www.hwupgrade.it/forum/showthread.php?t=1881047) topic che anche ad un'altra persona hai chiesto di fare la scansione completa con cureit, e io posso assicurarti che il log che ho postato più su è di quella completa (ti dico queste cose solo per evitare altre due ore e mezza di scansione, se le posso evitare...)
cmq ora attendo con ansia le 5 e mezza per poter tornare a casa e andare passettin passettino verso l'agognata soluzione ai miei problemi eheh
grazie mille per la comprensione verso la mia nabbaggine

Il log che hai allegato non è inerente la scansione completa, ma se tu mi dici di averla fatta non ho motivo di dubitare.

Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 1291
Trovati oggetti Infetti: 0
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 0
Trovato Adware: 0
Trovato Dialer: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 3828 Kb/s
Durata scansione: 00:01:04

hmmm vero, noto che è il log della scansione da un minuto...strano, oddio mi sale ancora di più la voglia di scappare dall'ufficio per controllare sta cosa eheh!però penso di sapere che è successo, devo aver confuso i file che ho tagliato con il file bat di wjmat...la scansione completa che ho fatto cmq nn ha dato alcun esito positivo, di questo sono sicuro

ciao son tornato dal lavoro! mi sono accorto di aver chiuso cureit prima che avesse finito, ho fatto un errore di valutazione, si era fermato sulla iso di world of warcraft (scaricata dal sito ufficiale in versione trial) che ho nell'hard disk con dentro i giochi installati (partizione da 80gb g:\ di un hard disk da 160 giga diverso da quello dove ho windows)...è strettamente necessario che rifaccia l'intera scansione? fino a quel punto nn aveva trovato nulla di nulla, e probabilmente mancavano proprio solo alcuni file...

cmq in merito alla impossibilità di connessione, da IE sono riuscito a entrare nella pagina di configurazione del router, posto il log diagnostico che ho salvato e una screen che ho fatto della schermata di diagnostica, che segnala che non gli è possibile pingare il primary domain server e stranamente segnala di riuscire a pingare con successo www[dot]yahoo[dot]com (:confused: :confused: :confused: )
...a occhio le impostazioni non sono state modificate, però in questo campo sono del tutto sottozero:(
Log router.log (http://wikisend.com/download/492684/Log router.log)
screen router.JPG (http://wikisend.com/download/471816/screen router.JPG)

in seguito: ho rimosso la linea di gmer come mi hai segnalato, posto il log della scansione in cui l'ho rimosso, e di quella che ho fatto subito dopo
gmer per delete.log (http://wikisend.com/download/594228/gmer per delete.log)
gmer post delete.log (http://wikisend.com/download/497280/gmer post delete.log)

...e posto il log di combofix
combofix log.txt (http://wikisend.com/download/907702/combofix log.txt)

'zzokkei?:)

Disinstalla Zone Alarm, successivamente allega un nuovo log di HJT e SysInspector

ciao chill, riesco a postare solo ora (purtroppo)
dunque, ieri sera sono riuscito a ripristinare la connessione ad internet, è stato più semplice del previsto...le proprietà tcp/ip della mia connessione risultavano configurate in tal senso: indirizzo ip 192.168.1.3
subnet mask 255.255.255.0
gateway 192.168.1.254
che erano i valori che avevo impostato insieme all'amico di mio padre che ha configurato il router (il signore in questione lavora per la Digicom, non è il primo che passa per strada)
per sghiribizzo allora ho messo la spunta su "rileva automaticamente impostazioni"...et voilà, connesso a internet, possibilità di aggiornare antivirus che prima nn aggiornava, sembra tutto cool...quello che nn so purtroppo è se tali impostazioni c'erano anche prima delle varie scansioni o se per uno strano mistero si siano inserite da sole...mah...tra l'altro i vari indirizzi combaciano con quelli presenti nella pagina di configurazione del router...
poi ho disinstallato zonealarm, installato online armor free v.3.x, configurato come nel thread apposito, poi ho installato e configurato anche peerguardian (in seguito imparerò ad usarlo correttamente in combinazione coi programmi p2p)
ora devo uscire a cena, cmq appena torno faccio e posto log hjt e sysinspector

come promesso...
log hijackthis
hijackthis.log (http://wikisend.com/download/551806/hijackthis.log)

log sysinspector
SysInspector-.xml (http://wikisend.com/download/909020/SysInspector-.xml)

ciao e grazie ancora

ciao chill, riesco a postare solo ora (purtroppo)
dunque, ieri sera sono riuscito a ripristinare la connessione ad internet, è stato più semplice del previsto...le proprietà tcp/ip della mia connessione risultavano configurate in tal senso: indirizzo ip 192.168.1.3
subnet mask 255.255.255.0
gateway 192.168.1.254
che erano i valori che avevo impostato insieme all'amico di mio padre che ha configurato il router (il signore in questione lavora per la Digicom, non è il primo che passa per strada)
per sghiribizzo allora ho messo la spunta su "rileva automaticamente impostazioni"...et voilà, connesso a internet, possibilità di aggiornare antivirus che prima nn aggiornava, sembra tutto cool...quello che nn so purtroppo è se tali impostazioni c'erano anche prima delle varie scansioni o se per uno strano mistero si siano inserite da sole...mah...tra l'altro i vari indirizzi combaciano con quelli presenti nella pagina di configurazione del router...
poi ho disinstallato zonealarm, installato online armor free v.3.x, configurato come nel thread apposito, poi ho installato e configurato anche peerguardian (in seguito imparerò ad usarlo correttamente in combinazione coi programmi p2p)
ora devo uscire a cena, cmq appena torno faccio e posto log hjt e sysinspector

Bene infatti stò cosa mi sembrava strana :)

come promesso...
log hijackthis
hijackthis.log (http://wikisend.com/download/551806/hijackthis.log)

log sysinspector
SysInspector-.xml (http://wikisend.com/download/909020/SysInspector-.xml)

ciao e grazie ancora

Ok adesso visto che ripristinato la connessione allega il log di prevx CSI ed aggiornami sulla stato di salute del PC, grazie.

prevxcsi.log (http://wikisend.com/download/540474/prevxcsi.log)
log prevx

dunque stato di salute pc sembra buono, però ho un problema col p2p
io uso revconnect, pochissimo emule,che mi sembra solo un mercato del pesce, e principalmente bittorrent (ho scaricato bit-comet, con cui mi trovo molto bene)
in principio, sempre riferendomi all'arrivo del router e alla sua configurazione "assistita", ho creato delle regole per detti programmi p2p...solo che ora non riesco più a scaricare bene come prima...
mi spiego, nella schermata delle impostazioni NAT del router, l'ip legato ad ogni regola è 192.168.1.3, solo che il router è impostato su ip dinamico...da quel poco (pochissimo) che so l'isp fornisce un indirizzo ip ogni tot, che dovrebbe essere il gateway, giusto? ad ogni connessione, avendo l'ip dinamico, l'ip cambia...quindi come faccio a far funzionare le cose in modo che le regole che avevo impostato valgano?
mi dispiace davvero nn riuscire a spiegarmi più di così, però purtroppo di reti e indirizzi ip nn ci capisco davvero nulla, sarò scemo ma è proprio un campo su cui nn riesco a fare luce...ti posto la screen delle impostazioni NAT, così perlomeno hai un riscontro visivo
adv setup - nat - virtual server.JPG (http://wikisend.com/download/485346/adv setup - nat - virtual server.JPG)

cmq ho le screen di tutte le pagine di impostazione del router, le ho fatte per scrupolo di modo da poter "pistolare" liberamentere e ripristinare

grandi saluti e auguroni di sereno natale, buone feste da qui all'eternità!:D :D

prevxcsi.log (http://wikisend.com/download/540474/prevxcsi.log)
log prevx

dunque stato di salute pc sembra buono, però ho un problema col p2p
io uso revconnect, pochissimo emule,che mi sembra solo un mercato del pesce, e principalmente bittorrent (ho scaricato bit-comet, con cui mi trovo molto bene)
in principio, sempre riferendomi all'arrivo del router e alla sua configurazione "assistita", ho creato delle regole per detti programmi p2p...solo che ora non riesco più a scaricare bene come prima...
mi spiego, nella schermata delle impostazioni NAT del router, l'ip legato ad ogni regola è 192.168.1.3, solo che il router è impostato su ip dinamico...da quel poco (pochissimo) che so l'isp fornisce un indirizzo ip ogni tot, che dovrebbe essere il gateway, giusto? ad ogni connessione, avendo l'ip dinamico, l'ip cambia...quindi come faccio a far funzionare le cose in modo che le regole che avevo impostato valgano?
mi dispiace davvero nn riuscire a spiegarmi più di così, però purtroppo di reti e indirizzi ip nn ci capisco davvero nulla, sarò scemo ma è proprio un campo su cui nn riesco a fare luce...ti posto la screen delle impostazioni NAT, così perlomeno hai un riscontro visivo
adv setup - nat - virtual server.JPG (http://wikisend.com/download/485346/adv setup - nat - virtual server.JPG)

cmq ho le screen di tutte le pagine di impostazione del router, le ho fatte per scrupolo di modo da poter "pistolare" liberamentere e ripristinare

grandi saluti e auguroni di sereno natale, buone feste da qui all'eternità!:D :D

Per quanto concerne il problema infezioni, dovremmo essere ok :)
Per il problema legato al Router chiedi qui http://www.hwupgrade.it/forum/forumdisplay.php?f=123

Auguri anche a te :)