msqpdxserv.sys: Virus infetta un file in System32 e 3 autorun

[Jiraiya APD™]

Ciao a tutti, sono nuovo.
Mi scuso se dovevo presentami prima in qualche sezione (non ne ho trovate), ma ho "fretta" e voglio esporvi un mio (ne ho sempre tanti -.-'') problema.
Si tratta di Virus.

Partiamo con il file in System32.
Non più di due giorni fa, il mio Antivirus (Norman Security Suite) mi rilevò un Virus che infettò un File in System32.
Non è il primo che prendo, e come ho fatto con tutti gli altri, ho provato ad eliminarlo col tasto Elimina (non so se facevo bene, visto che è un File in System32), ma senza successo. Senza successo perchè? Perchè ogni volta me lo ri-rileva quando apro il mio Browser (Firefox).
Questo File infettato è un .dll . Il nome intero è il seguente:
msqpdxpeuvfxwn.dll
Voi sapete di che si tratta? Cosa posso fare per eliminare questo Virus?
Ho anche notato che da quando ho questo virus, ogni tanto mi apre una pagina internet a parte (sempre con lo stesso titolo - Advertisement, se non sbaglio -) con all'interno pubblicità se non sbaglio sempre diverse: oppure (questo raramente), quando clicco su un Link, invece di portarmi alla pagina selezionata, mi porta ad un'altra, "costringendomi" poi a fare indietro e ri-cliccare sul Link.

Secondo problema:
autorun.inf infettati
Avendo trovato quel virus di cui ne ho parlato qua sopra, ieri decisi di fare una scansione intera del mio Pc, ritrovandomi altri tre virus che infetto tre autorun [( C: ) ( D: ) ( E: )] (probabilmente perchè dentro al Pc ho 3 HD).
So poco o niente su questi File, e non mi sono permesso di toccarli con l'Antivirus e non so proprio che dirvi riguardo ad essi.
Quindi, la mia unica (seconda) domanda è:
Cosa posso fare?

Credo di aver finito, vi posto uno Stamp della quarantena..
http://uploadpsd.com/file/48603.jpg <-- Clicca per lo Stamp.
..e un Log da HijackThis:
http://www.megaupload.com/it/?d=I3D8232Y <-- Clicca per scaricare. Mi scuso per il Download, ma se copiavo e incollavo il Log qui, superavo il massimo dei caratteri del Post. Senza che scarichiate, fate prima ad aprire direttamente (so che lo sapevate già, ma non voglio esservi un problema io stesso).

Spero di non aver sbagliato niente e di essermi spiegato al meglio.
Scusate, se ci sono, per gli errori grammaticali.
Vi prego di risolvere il mio problema senza dover Formattare (ho solo dei dischi di ripristino fatti nel momento dell'acquisto del Pc).
Se no, amen. :berto:
Grazie mille in anticipo!

[Deifobe]

ciao..

devi fare due cose..

scarica SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Freefilehosting e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.


Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto e non rimuovere nulla.

ciao

[Jiraiya APD™]

Allora, ecco il Link per il rapporto di SystemScan
http://freefilehosting.net/download/43j0d

Mentre per malwarebytes, ho avuto una specie di problema.. Dopo l'installazione, come hai detto te l'ho aggiornato, ho selezionato "Scansione completa", e ho avviato la scansione.
Allora:
La prima volta, osservavo l'andamento della procedura della scansione; era passato circa 1 minuto e mezzo, e mi aveva trovato 2 File infetti (la scansione continuava). Al minuto 3 (se non sbaglio), mi appare all'improvviso una schermata blu o nera con scritte bianche (tutte o quasi in inglese) dove, da quello che sono riuscito a leggere, diceva di un File che poteva danneggiare Windows e me lo faceva riavviare.
Riavviato il Pc automaticamente, tornato tutto alla normalità (probabilmente è stato usato l'ultimo punto di ripristino), ho riprovato a fare la scansione: essa precedeva uguale alla prima, solo che (sempre se non mi sbaglio) sempre al minuto 3, la scansione non mi aveva rilevato nessun Infetto, e, mentre scrivevo qui (precisamente mentre scrivevo la parte che ho "colorato" in blu), mi ha rifatto lo stesso fatto, riavviando di nuovo il Pc.
Ora ecco che scrivo, senza che stia facendo la scansione.
Da che può dipendere questo? O.o

[Deifobe]

vediamo...
deve aver eliminato qualcosa perchè riguardo l'autorun non c'è nulla..

Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\Windows\system32\drivers\msqpdxvsxerbps.sys
C:\Programmi\Mozilla Firefox\components\iamfamous.dll
C:\Programmi\Windows Live\Messenger\riched20.dll
C:\resycled\boot.com
C:\WINDOWS\system32\drivers\msqpdxserv.sys
C:\windows\system32\dll.dll
C:\autorun.inf
C:\Windows\temp\C95.tmp

registry keys to delete:
HKLM\system\currentcontrolset\services\msqpdxserv. sys
HKLM\system\controlset001\services\msqpdxserv.sys
HKLM\system\controlset002\services\msqpdxserv.sys

Spunta "Automatically disable any rootkits found" e clicca su "execute". Il pc si riavvierà.


hai pen o HD esterni? partizioni?

[Jiraiya APD™]

Allora..
Dal programma Avenger, dopo ben due riavvii automatici, mi è apparso questo Log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "msqpdxserv.sys" found!
ImagePath: \systemroot\system32\drivers\msqpdxvsxerbps.sys
Driver disabled successfully.

Rootkit scan completed.

File "C:\Windows\system32\drivers\msqpdxvsxerbps.sy s" deleted successfully.
File "C:\Programmi\Mozilla Firefox\components\iamfamous.dll" deleted successfully.

Error: file "C:\Programmi\Windows Live\Messenger\riched20.dll" not found!
Deletion of file "C:\Programmi\Windows Live\Messenger\riched20.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\resycled\boot.com" deleted successfully.

Error: file "C:\WINDOWS\system32\drivers\msqpdxserv.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\msqpdxserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\windows\system32\dll.dll" not found!
Deletion of file "C:\windows\system32\dll.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\autorun.inf" not found!
Deletion of file "C:\autorun.inf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Windows\temp\C95.tmp" deleted successfully.
Registry key "HKLM\system\currentcontrolset\services\msqpdxserv .sys" deleted successfully.

Error: registry key "HKLM\system\controlset001\services\msqpdxserv.sys " not found!
Deletion of registry key "HKLM\system\controlset001\services\msqpdxserv.sys " failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\system\controlset002\services\msqpdxserv.sys " deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Mentre per la tua domanda ho sia Penna (2Gb) che HDesterno (500Gb).
Attendo pazientemente un'altra tua risposta, e mi scuso per il disturbo che ti sto creando.

[Deifobe]

sai di averli collegati al pc in questi giorni?
se si, sono infetti anche loro...

...allora dovresti fare una cosa:
controlla che non si sia riformato c:\resycled\boot.ini. se trovi il file, eliminalo.

collegali uno alla volta al pc tenendo permuto il tasto shift
controlla che nell'unità principale (D, E, F.. qualsiasi essa sia) non ci ciano file non tuoi, tra cui autorun.inf e una cartella che si chiama resycled

se li trovi, devi eliminarli..

[Jiraiya APD™]

E si.. Li ho collegati l'ultima volta ieri..
Comunque, ora che mi ci fai pensare..
Prima dell'inizio delle vacanze, collegai una penna usb (non quella che ti ho citato prima) per delle canzoni.. Quando la collegai, il Pc (Risorse del computer) mi rilevò un programma da eseguire, più la normale penna (P) d'aprire.
Io il programma l'ho evitato, ma quando ho aperto la penna (P), mi ha eseguito l'applicazione senza che io lo volessi, e l'Antivirus mi rilevò un Virus.. Non vorrei che fosse per quello..
Cmq, ora seguo quello che mi hai detto, ma non ho capito delle cose..

c:\resycled\boot.ini. <--- Se trovo questo lo devo eliminare giusto?
autorun.inf <--- Se trovo questi in una o più unità devo eliminarli?
cartella "resycled" <--- Se la trovo devo eliminarla?

E poi, dove visualizzare anche i File nascosti cambiando l'opzione in "Opzioni Cartella"?

Scusami per tutte queste domande, ma non vorrei fare caos visto che non sono un esperto.

[Deifobe]

Originariamente inviato da Jiraiya APD™
[I]c:\resycled\boot.ini. <--- Se trovo questo lo devo eliminare giusto?
autorun.inf <--- Se trovo questi in una o più unità devo eliminarli?
cartella "resycled" <--- Se la trovo devo eliminarla?

asolutamente si.. per tutte e tre le domande..

quei file cercano nel pc (ad ogni avvio) delle applicazioni (malware) da eseguire.

...e quelli presenti nelle unità esterne fanno la stessa cosa non appena le inserisci..

stando a quello che dici, era la pen inserita che era infetta..

mi raccomando => la cartella da eliminare deve essere reSycled, con la "S"

ricordati di tenere premuto shift quando inserisci le unità..

e prima di scollegarle riverifica che non si siano riformate le cartelle e file in c:\

[Jiraiya APD™]

Ok, ora provvedo e ti faccio sapere.
Grazie mille. ^^

[Jiraiya APD™]

Mi scusa se per caso questo mio post si stacchi dal mio precedente, creando un mini Flood.

Cmq..
Allora, la cartella "resycled" c'è.. Ma c'è anche un problema..
io vado in C:\
Qui dentro non trovo nessuna File/cartella con il nome resycled, nemmeno nei File nascosti.
Se invece io, nell'indirizzo del persorso, metto C:\resycled, mi porta dentro alla cartella, ma vuota. Non trovo quindi modo di eliminarla. Come posso fare?
Questo fatto si "manifesta" con i tre Hd interni (C; D; E, mentre in quello esterno no, mi dice che il percorso è errato.


Per gli autorun invece c'è un'altra cosa:
- http://uploadpsd.com/file/487251.jpg <-- Questo è ciò che mi trova se scrivo "autorun" in Computer.

Se invece lo scrivo ad ogni HD uno per uno (più preciso quindi), c'è questo:
- Nell'HDesterno (P), l'ho trovato, e l'ho eliminato (ora si trova nel cestino). C'è cmq anche una cartella con il nome "autorun", con all'interno il logo dell'HD.
- Nell'HD (C), questi: http://uploadpsd.com/file/487158.jpg
- Nell'HD (D), trovo questi due: http://uploadpsd.com/file/487252.jpg
- Nell'HD (E) invece, non trovo nulla.

Quali devo cancellare?