Trojan Dropper.Delf.XO - help!

estebanz · 15-12-2008, 11:08

Ciao a tutti, sono nuovissimo (mi sono iscritto proprio stamane!) e ieri sera ho fatto la stupidata di installare folderlock scaricato da p2p, e come mi capita spesso ultimamente (penso siano aneurismi spontanei) ho dimenticato di verificare il file con Avira...così mi sono beccato questo trojan TR/Drop.Delf.XO (è la nomenclatura che mi dà Avira)...
sono riuscito a cancellare i file incriminati, ma mi è spuntato un problema di cui ho letto in un altro thread, ovvero l'impossibilità di accedere ai dischi da risorse del computer (se non che con clic dx>esplora) per via dell'errore C:\Resycled\boot.com...sul thread in questione era presente un metodo per eliminare questi file nascosti che forse potrebbe risolvere il problema, ma vorrei cmq avere qualche info in merito ad eventuali altri problemi che potrei avere sul pc, sottoponendo i log dei vari programmi in base alla guida alla disinfezione.
per ora penso che proverò quella procedura che ho trovato qui:http://www.hwupgrade.it/forum/showth...light=resycled
Chiedo scusa se dovessi aver aperto un thread inutile...eventualmente spostate dove più giusto
grazie mille! (gran bel forum btw...!)

wjmat · 15-12-2008, 12:44

ciao

carica un log di Combofix (leggi bene le info)

poi per sicurezza segui la guida alla disinfezione e ci carichi tutti i log

estebanz · 15-12-2008, 14:19

domanda/e: prima di fare la scansione con combofix è meglio se faccio la procedura segnata in guida per disattivare il ripristino delle configurazioni di sistema? e poi...io uso un router, ho formattato da circa un mesetto per via di un pasticcio che avevo combinato nel tentativo di installare ubuntu (cosa che mi ha del tutto fatto passare la voglia di passare ad un altro s.o.) e da poco utilizzo un router per connettermi a internet, perciò volevo sapere se eventuali configurazioni del router vengano modificate o se non ci sono problemi in tal senso...cmq stasera appena torno dall'ufficio mi metto a scansionare con tutti i programmi della guida e a postare i log...
ah, infine...io ho due hard disk, uno su cui è installato windows xp pro e l'altro da 160 gb partizionato in due blocchi da 80 giga l'uno in cui ho musica, video e giochi...le scansioni devono riguardare tutti i dischi o posso concentrarmi solo sull'hard disk su cui è installato windows?
grazie per l'assistenza!

wjmat · 15-12-2008, 14:34

ho visto oggi che combo riconosce le infezioni relative a resycled, fallo girare a fine guida
la guida io la seguirei tutta per evitare ti tenere insaputamente altra robaccia nel pc
ovviamente scansioni complete di tutti i dischi

estebanz · 15-12-2008, 19:09

la prima scansione rapida con malwarebytes mi ha trovato più di 20 infezioni, comprendenti trojan, adware e compagnia bella...ho rimosso le infezioni e mi ha richiesto di riavviare perchè potesse terminare il processo di rimozione...ma al riavvio di windows non riesco più ad accedere a internet (ora difatti sto postando dal portatile di mia sorella)...la faccenda si complica...

ora sto facendo una scansione completa con malwarebytes, e sto scaricando dal portatile, per poi metterli su una chiavetta, gli altri software per le altre scansioni, per infine salvare i log sulla chiavetta e postarli qui...rimane il problema che il log di f-secure Online, essendo necessaria la connessione non potrò postarlo, quindi che posso fare? comincio a mordicchiarmi le mani...ho provato anche a ripristinare la connessione con il comando ripristina da risorse di rete, ma nulla da fare...
Avira tra l'altro, da che l'ho installato non è mai riuscito a connettersi al server per gli aggiornamenti...

sono proprio un paciugone...spero tanto di riuscire a risolvere un po' di problemi col vostro aiuto, e ad imparare qualcosa magari!
ringrazio anticipatamente un casino e mi metto in attesa di ulteriori istruzioni
ciao!

wjmat · 15-12-2008, 19:19

invece di fsecure opta per kasp removal tool
a-squared o lo aggiorno come da bigino in firma o lo fai girare quando la connessione si sarà ripristinata

estebanz · 15-12-2008, 21:43

rieccomi: forse ho compreso il motivo del perchè non mi funzioni più internet: quando mi è stato installato il router, con l'amico di mio padre che mi ha aiutato a configurarlo, abbiamo registrato un dominio su dyndns.com (o .net) per far sì che mi funzionasse dc++, con un dns dinamico...ti posto parte del log della scansione rapida di malwarebytes che ha rilevato un trojan di nome Trojan.DNSChanger
queste le voci di registro:

Codice:

HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{335fc322-9c56-44c4-8040-b3ecd7780130}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{335fc322-9c56-44c4-8040-b3ecd7780130}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{335fc322-9c56-44c4-8040-b3ecd7780130}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{335fc322-9c56-44c4-8040-b3ecd7780130}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{335fc322-9c56-44c4-8040-b3ecd7780130}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{335fc322-9c56-44c4-8040-b3ecd7780130}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.147;85.255.112.76 -> Quarantined and deleted successfully.

e questo file (che come vedi ha cancellato dopo il reboot)

Codice:

C:\WINDOWS\Temp\tempo-68F.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully

è possibile che c'entri qualcosa?se dovessero essere falsi positivi, come li ripristino?
nel frattempo continuo le scansioni...

ah tra l'altro non riesco più ad accedere alla pagina della configurazione del router da browser (uso firefox) ...o meglio, la pagina la carica, ma incompleta, mancano gli accessi alle impostazioni.
mi inchino umilmente e porgo cordiali saluti

wjmat · 15-12-2008, 23:37

tu procedi, vedremo poi se sono falsi positivi

estebanz · 16-12-2008, 19:02

nuovamente ciao!
comincio a postare i log delle scansioni che ho fatto per ora:

-malwarebytes (scansione rapida)
mbam-log-2008-12-15 (19-27-02).txt

- malwarebytes scansione completa
mbam-log-2008-12-15 (20-54-16).txt

-A-Squared Deep scan
a2scan_081215-211448.txt

ho fatto anche la scansione con kaspersky virus removal tool come mi hai suggerito al posto di f-secure, non ha trovato nulla, poi allora ho installato log parser per sminuzzare il log di kaspersky ma...nn ci ho capito molto, anzi praticamente nulla

e il link alla pagina con la guida mi devia sul blog di hwupgrade e non la trovo...
ora sto scansionando con drweb cureit, la scansione preliminare che ha fatto non ha trovato nulla, e pare che di conseguenza nn abbia salvato il log, cmq ora sta facendo quella completa...

al solito attendo fervente nuove istruzioni e saluto!

EDIT: ho trovato il log di cureit ma è grosso 7 mega...

wjmat · 16-12-2008, 19:35

hai trovato problemi con il parser o con i .bat che ho al punto 4 delle modalità in firma?

estebanz · 16-12-2008, 19:49

ho trovato dopo aver postato i .bat che hai in firma

...ho già fatto il log di kaspersky, sto aspettando di finire con drweb cureit (e ci vorrà ancora parecchio...) per usare il bat x cureit...finora nn ha trovato nulla, e ho come l'impressione che non troverà nulla anche a scansione completata...
ah nel frattempo con la procedura di cui parlavo qualche post più su relativa al problema C:\resycled\boot.com riesco nuovamente ad accedere ai vari dischi fissi senza dover cliccare col dx->esplora

nel frattempo posto il log shrinked di kaspersky
kasp filtrato.txt

keeping my fingers crossed

estebanz · 16-12-2008, 22:07

ho finalmente finito tutte le scansioni

posto i log rimanenti

Drweb Cureit (tagliato con il tuo bat bellissimo

)
cureit filtrato.txt

ESET SysInspector (in formato .xml)
SysInspector-DHARMA-D19B17A3-081216-2217.xml

hijack this
hijackthis.log

Gmer
gmer.log
gmer mi ha trovato una linea in rosso, la copio qui

Codice:

Service         system32\drivers\msqpdxmqctotun.sys (*** hidden *** ) [SYSTEM]  <-- ROOTKIT !!!

non avendo connessione internet infine purtroppo nn sono riuscito a far andare PrevxCSI, che mi sembra un programmino serio
in ogni caso aspetto notizie, sperando che i log siano in qualche modo illuminanti...grazie mille!

**Chill-Out** · 16-12-2008, 22:22

NB: i malware rilevati in precedenza da MBAM non sono falsi positivi

1 Rilancia la scansione con Gmer terminata la stessa seleziona il Servizio identificato come hidden system32\drivers\msqpdxmqctotun.sys (*** hidden *** ) lo selezioni col tasto dx del mouse e clicca su Delete Service

2 Ripeti la scansione con CureIt hai fatto la scansione rapida denominata Express Scan devi fare la scansione completa

3 Manca la scansione con Prevx CSI

estebanz · 17-12-2008, 10:00

ciao chillout!
oggi quando torno dall'ufficio rifaccio la scansione con cureit (anche se a malincuore, perchè ci aveva messo più di due ore e mezza...)
...riguardo a prevx ho il problema che non posso connettermi a internet dal pc infetto (cosa successa dopo la pulizia con mbam),e infatti ho dovuto scaricare dal portatile di mia sorella i programmi della lista per la disinfezione, passarli sulla chiavetta, e metterli sul fisso.
cosa posso fare ora?

**Chill-Out** · 17-12-2008, 10:30

Oltre a quanto indicato sopra fai girare anche questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Porva ad accedere al Pannello del Router utilizzandi IE fammi sapere

estebanz · 17-12-2008, 13:35

@ chillout:
ho letto su questo topic che anche ad un'altra persona hai chiesto di fare la scansione completa con cureit, e io posso assicurarti che il log che ho postato più su è di quella completa (ti dico queste cose solo per evitare altre due ore e mezza di scansione, se le posso evitare...)
cmq ora attendo con ansia le 5 e mezza per poter tornare a casa e andare passettin passettino verso l'agognata soluzione ai miei problemi eheh
grazie mille per la comprensione verso la mia nabbaggine

**Chill-Out** · 17-12-2008, 14:35

Quote:

Originariamente inviato da estebanz

@ chillout:
ho letto su questo topic che anche ad un'altra persona hai chiesto di fare la scansione completa con cureit, e io posso assicurarti che il log che ho postato più su è di quella completa (ti dico queste cose solo per evitare altre due ore e mezza di scansione, se le posso evitare...)
cmq ora attendo con ansia le 5 e mezza per poter tornare a casa e andare passettin passettino verso l'agognata soluzione ai miei problemi eheh
grazie mille per la comprensione verso la mia nabbaggine

Il log che hai allegato non è inerente la scansione completa, ma se tu mi dici di averla fatta non ho motivo di dubitare.

Quote:

Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 1291
Trovati oggetti Infetti: 0
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 0
Trovato Adware: 0
Trovato Dialer: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 3828 Kb/s
Durata scansione: 00:01:04

estebanz · 17-12-2008, 14:45

hmmm vero, noto che è il log della scansione da un minuto...strano, oddio mi sale ancora di più la voglia di scappare dall'ufficio per controllare sta cosa eheh!però penso di sapere che è successo, devo aver confuso i file che ho tagliato con il file bat di wjmat...la scansione completa che ho fatto cmq nn ha dato alcun esito positivo, di questo sono sicuro

estebanz · 17-12-2008, 19:30

ciao son tornato dal lavoro! mi sono accorto di aver chiuso cureit prima che avesse finito, ho fatto un errore di valutazione, si era fermato sulla iso di world of warcraft (scaricata dal sito ufficiale in versione trial) che ho nell'hard disk con dentro i giochi installati (partizione da 80gb g:\ di un hard disk da 160 giga diverso da quello dove ho windows)...è strettamente necessario che rifaccia l'intera scansione? fino a quel punto nn aveva trovato nulla di nulla, e probabilmente mancavano proprio solo alcuni file...

cmq in merito alla impossibilità di connessione, da IE sono riuscito a entrare nella pagina di configurazione del router, posto il log diagnostico che ho salvato e una screen che ho fatto della schermata di diagnostica, che segnala che non gli è possibile pingare il primary domain server e stranamente segnala di riuscire a pingare con successo www[dot]yahoo[dot]com (

)
...a occhio le impostazioni non sono state modificate, però in questo campo sono del tutto sottozero

Log router.log
screen router.JPG

in seguito: ho rimosso la linea di gmer come mi hai segnalato, posto il log della scansione in cui l'ho rimosso, e di quella che ho fatto subito dopo
gmer per delete.log
gmer post delete.log

...e posto il log di combofix
combofix log.txt

'zzokkei?

**Chill-Out** · 18-12-2008, 08:18

Disinstalla Zone Alarm, successivamente allega un nuovo log di HJT e SysInspector

15-12-2008, 11:08	#1
estebanz Junior Member Iscritto dal: Dec 2008 Messaggi: 14	Trojan Dropper.Delf.XO - help! Ciao a tutti, sono nuovissimo (mi sono iscritto proprio stamane!) e ieri sera ho fatto la stupidata di installare folderlock scaricato da p2p, e come mi capita spesso ultimamente (penso siano aneurismi spontanei) ho dimenticato di verificare il file con Avira...così mi sono beccato questo trojan TR/Drop.Delf.XO (è la nomenclatura che mi dà Avira)... sono riuscito a cancellare i file incriminati, ma mi è spuntato un problema di cui ho letto in un altro thread, ovvero l'impossibilità di accedere ai dischi da risorse del computer (se non che con clic dx>esplora) per via dell'errore C:\Resycled\boot.com...sul thread in questione era presente un metodo per eliminare questi file nascosti che forse potrebbe risolvere il problema, ma vorrei cmq avere qualche info in merito ad eventuali altri problemi che potrei avere sul pc, sottoponendo i log dei vari programmi in base alla guida alla disinfezione. per ora penso che proverò quella procedura che ho trovato qui:http://www.hwupgrade.it/forum/showth...light=resycled Chiedo scusa se dovessi aver aperto un thread inutile...eventualmente spostate dove più giusto grazie mille! (gran bel forum btw...!)

15-12-2008, 12:44	#2
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	ciao carica un log di Combofix (leggi bene le info) poi per sicurezza segui la guida alla disinfezione e ci carichi tutti i log __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

15-12-2008, 14:34	#4
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	ho visto oggi che combo riconosce le infezioni relative a resycled, fallo girare a fine guida la guida io la seguirei tutta per evitare ti tenere insaputamente altra robaccia nel pc ovviamente scansioni complete di tutti i dischi __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

15-12-2008, 19:19	#6
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	invece di fsecure opta per kasp removal tool a-squared o lo aggiorno come da bigino in firma o lo fai girare quando la connessione si sarà ripristinata __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

15-12-2008, 23:37	#8
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	tu procedi, vedremo poi se sono falsi positivi __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

15-12-2008, 14:19	#3
estebanz Junior Member Iscritto dal: Dec 2008 Messaggi: 14	domanda/e: prima di fare la scansione con combofix è meglio se faccio la procedura segnata in guida per disattivare il ripristino delle configurazioni di sistema? e poi...io uso un router, ho formattato da circa un mesetto per via di un pasticcio che avevo combinato nel tentativo di installare ubuntu (cosa che mi ha del tutto fatto passare la voglia di passare ad un altro s.o.) e da poco utilizzo un router per connettermi a internet, perciò volevo sapere se eventuali configurazioni del router vengano modificate o se non ci sono problemi in tal senso...cmq stasera appena torno dall'ufficio mi metto a scansionare con tutti i programmi della guida e a postare i log... ah, infine...io ho due hard disk, uno su cui è installato windows xp pro e l'altro da 160 gb partizionato in due blocchi da 80 giga l'uno in cui ho musica, video e giochi...le scansioni devono riguardare tutti i dischi o posso concentrarmi solo sull'hard disk su cui è installato windows? grazie per l'assistenza!

15-12-2008, 19:09	#5
estebanz Junior Member Iscritto dal: Dec 2008 Messaggi: 14	la prima scansione rapida con malwarebytes mi ha trovato più di 20 infezioni, comprendenti trojan, adware e compagnia bella...ho rimosso le infezioni e mi ha richiesto di riavviare perchè potesse terminare il processo di rimozione...ma al riavvio di windows non riesco più ad accedere a internet (ora difatti sto postando dal portatile di mia sorella)...la faccenda si complica... ora sto facendo una scansione completa con malwarebytes, e sto scaricando dal portatile, per poi metterli su una chiavetta, gli altri software per le altre scansioni, per infine salvare i log sulla chiavetta e postarli qui...rimane il problema che il log di f-secure Online, essendo necessaria la connessione non potrò postarlo, quindi che posso fare? comincio a mordicchiarmi le mani...ho provato anche a ripristinare la connessione con il comando ripristina da risorse di rete, ma nulla da fare... Avira tra l'altro, da che l'ho installato non è mai riuscito a connettersi al server per gli aggiornamenti... sono proprio un paciugone...spero tanto di riuscire a risolvere un po' di problemi col vostro aiuto, e ad imparare qualcosa magari! ringrazio anticipatamente un casino e mi metto in attesa di ulteriori istruzioni ciao!

16-12-2008, 19:02	#9
estebanz Junior Member Iscritto dal: Dec 2008 Messaggi: 14	nuovamente ciao! comincio a postare i log delle scansioni che ho fatto per ora: -malwarebytes (scansione rapida) mbam-log-2008-12-15 (19-27-02).txt - malwarebytes scansione completa mbam-log-2008-12-15 (20-54-16).txt -A-Squared Deep scan a2scan_081215-211448.txt ho fatto anche la scansione con kaspersky virus removal tool come mi hai suggerito al posto di f-secure, non ha trovato nulla, poi allora ho installato log parser per sminuzzare il log di kaspersky ma...nn ci ho capito molto, anzi praticamente nulla e il link alla pagina con la guida mi devia sul blog di hwupgrade e non la trovo... ora sto scansionando con drweb cureit, la scansione preliminare che ha fatto non ha trovato nulla, e pare che di conseguenza nn abbia salvato il log, cmq ora sta facendo quella completa... al solito attendo fervente nuove istruzioni e saluto! EDIT: ho trovato il log di cureit ma è grosso 7 mega... Ultima modifica di estebanz : 16-12-2008 alle 19:06.

16-12-2008, 19:35	#10
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	hai trovato problemi con il parser o con i .bat che ho al punto 4 delle modalità in firma? __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

16-12-2008, 19:49	#11
estebanz Junior Member Iscritto dal: Dec 2008 Messaggi: 14	ho trovato dopo aver postato i .bat che hai in firma ...ho già fatto il log di kaspersky, sto aspettando di finire con drweb cureit (e ci vorrà ancora parecchio...) per usare il bat x cureit...finora nn ha trovato nulla, e ho come l'impressione che non troverà nulla anche a scansione completata... ah nel frattempo con la procedura di cui parlavo qualche post più su relativa al problema C:\resycled\boot.com riesco nuovamente ad accedere ai vari dischi fissi senza dover cliccare col dx->esplora nel frattempo posto il log shrinked di kaspersky kasp filtrato.txt keeping my fingers crossed

16-12-2008, 22:07	#12
estebanz Junior Member Iscritto dal: Dec 2008 Messaggi: 14	ho finalmente finito tutte le scansioni posto i log rimanenti Drweb Cureit (tagliato con il tuo bat bellissimo ) cureit filtrato.txt ESET SysInspector (in formato .xml) SysInspector-DHARMA-D19B17A3-081216-2217.xml hijack this hijackthis.log Gmer gmer.log gmer mi ha trovato una linea in rosso, la copio qui Codice: Service system32\drivers\msqpdxmqctotun.sys (* hidden * ) [SYSTEM] <-- ROOTKIT !!! non avendo connessione internet infine purtroppo nn sono riuscito a far andare PrevxCSI, che mi sembra un programmino serio in ogni caso aspetto notizie, sperando che i log siano in qualche modo illuminanti...grazie mille!

16-12-2008, 22:22	#13
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	NB: i malware rilevati in precedenza da MBAM non sono falsi positivi 1 Rilancia la scansione con Gmer terminata la stessa seleziona il Servizio identificato come hidden system32\drivers\msqpdxmqctotun.sys (* hidden * ) lo selezioni col tasto dx del mouse e clicca su Delete Service 2 Ripeti la scansione con CureIt hai fatto la scansione rapida denominata Express Scan devi fare la scansione completa 3 Manca la scansione con Prevx CSI __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

17-12-2008, 10:00	#14
estebanz Junior Member Iscritto dal: Dec 2008 Messaggi: 14	ciao chillout! oggi quando torno dall'ufficio rifaccio la scansione con cureit (anche se a malincuore, perchè ci aveva messo più di due ore e mezza...) ...riguardo a prevx ho il problema che non posso connettermi a internet dal pc infetto (cosa successa dopo la pulizia con mbam),e infatti ho dovuto scaricare dal portatile di mia sorella i programmi della lista per la disinfezione, passarli sulla chiavetta, e metterli sul fisso. cosa posso fare ora?

17-12-2008, 10:30	#15
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Oltre a quanto indicato sopra fai girare anche questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe Doppio click su combofix.exe e segui le istruzioni Allegare il log C:\combofix.txt N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire) ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza Porva ad accedere al Pannello del Router utilizzandi IE fammi sapere __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

17-12-2008, 13:35	#16
estebanz Junior Member Iscritto dal: Dec 2008 Messaggi: 14	@ chillout: ho letto su questo topic che anche ad un'altra persona hai chiesto di fare la scansione completa con cureit, e io posso assicurarti che il log che ho postato più su è di quella completa (ti dico queste cose solo per evitare altre due ore e mezza di scansione, se le posso evitare...) cmq ora attendo con ansia le 5 e mezza per poter tornare a casa e andare passettin passettino verso l'agognata soluzione ai miei problemi eheh grazie mille per la comprensione verso la mia nabbaggine

17-12-2008, 14:45	#18
estebanz Junior Member Iscritto dal: Dec 2008 Messaggi: 14	hmmm vero, noto che è il log della scansione da un minuto...strano, oddio mi sale ancora di più la voglia di scappare dall'ufficio per controllare sta cosa eheh!però penso di sapere che è successo, devo aver confuso i file che ho tagliato con il file bat di wjmat...la scansione completa che ho fatto cmq nn ha dato alcun esito positivo, di questo sono sicuro

17-12-2008, 19:30	#19
estebanz Junior Member Iscritto dal: Dec 2008 Messaggi: 14	ciao son tornato dal lavoro! mi sono accorto di aver chiuso cureit prima che avesse finito, ho fatto un errore di valutazione, si era fermato sulla iso di world of warcraft (scaricata dal sito ufficiale in versione trial) che ho nell'hard disk con dentro i giochi installati (partizione da 80gb g:\ di un hard disk da 160 giga diverso da quello dove ho windows)...è strettamente necessario che rifaccia l'intera scansione? fino a quel punto nn aveva trovato nulla di nulla, e probabilmente mancavano proprio solo alcuni file... cmq in merito alla impossibilità di connessione, da IE sono riuscito a entrare nella pagina di configurazione del router, posto il log diagnostico che ho salvato e una screen che ho fatto della schermata di diagnostica, che segnala che non gli è possibile pingare il primary domain server e stranamente segnala di riuscire a pingare con successo www[dot]yahoo[dot]com ( ) ...a occhio le impostazioni non sono state modificate, però in questo campo sono del tutto sottozero Log router.log screen router.JPG in seguito: ho rimosso la linea di gmer come mi hai segnalato, posto il log della scansione in cui l'ho rimosso, e di quella che ho fatto subito dopo gmer per delete.log gmer post delete.log ...e posto il log di combofix combofix log.txt 'zzokkei?

18-12-2008, 08:18	#20
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Disinstalla Zone Alarm, successivamente allega un nuovo log di HJT e SysInspector __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

Strumenti
Mostra una versione stampabile Invia questa pagina per email