Msqpdxserv.sys (W32.Tidserv) - guida alla rimozione!

Msqpdxserv.sys, conosciuto anche come W32.Tidserv é un trojan che rappresenta un richio importante per i sistemi Windows. Questo trojan usa tecniche da rootkit per nascondersi dai sistemi di sicurezza presenti sul sistema infetto.

I computer infetti da questo malware, non riescono piu ad accedere ai siti web di sicurezza, i quali invece della propria homepage, restituiscono il messaggio VIMAX
Se si fanno invece delle ricerche su siti come Google, Yahoo, MSN etc.., si viene automaticamente reindirizzati su altri siti non in linea.

W32.Tidserv và a cambiare anche le impostazioni e gli indirizzi dei DNS aggiungendone altri del tipo:
85.255.112.154
85.255.115.156,
85.255.112.87,

Inoltre, il trojan Msqpdxserv.sys và a copiarsi in tutte le periferiche rimovibili (%DriveLetter%\resycled\boot.com),dove andrà a creare un file dal nome "autorun.inf" che si occuperà di lanciare il file resycled\boot.com, assicurandosi cosi, l'avvio automatico ogni volta che andrete ad accedere a queste periferiche.

Come agire una volta infetti?

1. Disattivare i driver creati dal trojan

- XP
Cliccate con il tasto dx del mouse su "Risorse del computer" e scegliete "Proprietà"
Nella finestra che verrà visualizzata scegliete "Hardware" e dopo "Gestione periferiche"

- Vista
Cliccate con il tasto dx del mouse su "Computer" e scegliete "Proprietà"
Cliccate quindi su "gestione Periferiche"

In Gestione Periferiche cliccate sul tab "Visualizza" e spuntate l’opzione "Mostra periferiche nascoste"
Nella lista dei driver, cercate e selezionate msqpdxserv.sys
Disabilitatelo e applicate le modifiche.
Riavviate il sistema.

2: Rimuovere il file autorun.inf

Scaricate Flash_Disinfector.exe e salvatelo sul desktop
http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe
Avviatelo con un doppio click (vi verrà richiesto di collegare al PC il dispositivo rimovibile, chiave USB o altro)
Inserite il dispositivo nel Pc e cliccate su Yes
Attendere la fine dell'operazione..... ( lo schermo può diventare nero,è normale)

NOTA:.Flash_disinfector crea una cartella dal nome autorun.inf nei supporti rimovibili, é consigliato non rimuoverla

3: Cancellare i driver aggiunti dal trojan.

Scaricate Avenger
http://www.steven.altervista.org/files/avenger.html
Avviatelo e fate un copia/incolla di quanto segue nel box bianco "Input script here"

Codice:

Drivers to delete:
msqpdxserv.sys

Dopo aver incollato lo script cliccate sul tasto "Execute"
Rispondete Si all'avviso e il computer verrà riavviato
Al riavvio il tool rilascrà un log con i dettagli delle operazioni, che troverete anche in C:\ con il nome Avenger.txt

4: Rimuovere file e cartelle associati al trojan

Quest'ultima operazione potrete eseguirla in maniera automatica tramite il programma MalwareByte's Antimalware
http://www.majorgeeks.com/downloadget.php?id=5756&file=15&evp=693ee0b20204960edfd909666f809b26
Dopo averlo installato,aggiornatelo e fate uno scan completo del sistema.
Eliminate tutto quello che trova.

File e cartelle creati da W32.Tidserv

Codice:

%SystemDrive%\tdl.dat
%System%\drivers\msqpdxserv.sys
%System%\drivers\msqpdx[RANDOM CARACTERS].sys
%System%\msqpdx[RANDOM CARACTERS].dll
%System%\dll.dll
%DriveLetter%\resycled\boot.com
%DriveLetter%\autorun.inf
%Temp%\tempo [RANDOM CARACTERS].tmp
%ProgramFiles%\Mozilla Firefox\components\iamfamous.dll

Per qualsiasi problema o info supplementare, il forum resta a vostra disposizione.

gent.issimo steve75 non pensavo di avere un simile disastro,ma con calma risolvero tutto.Posso solo dire per ora grazie.Mi chiedo gli antivirus a che servono......Sono anni che lavoro con il pc il mio primo photoshop era credo la v.2.5 ora siamo alla v.14;allora di virus quasi niente ora se ti va bene formatti due volte all'anno.ma c'est la vie e il progresso.grazie c.a.

se ti serve una mano, continua nel post che hai aperto e vedremo di risolvere nel migliore dei modi...

buona domenica