Problema..non mi si aprono i siti degli antivirus

[Inoki2]

Non mi sembra che il pc vada tanto bene...ed in più non riesco a visualizzare i siti degli antivirus...

qui il log di system scan...

con:

- Recent files
- Registry Run Keys
- Services and Drivers
- Master Boot Record
- svc host istances
- autoplay settings
-suspicious files

aiutatemi please !


http://www.savefile.com/files/2025030

[Deifobe]

apri il blocco note e copiaci dentro questo:

@echo off
regedit.exe /e C:\services1.txt "HKEY_LOCAL_MACHINE\system\currentcontrolset\servi ces\mhnlhl"

salvalo sul desktop come
nome: 1.bat
tipo di file: tutti i file
chiudilo ed eseguilo (dura un attimo)
carica su Freefilehosting il file c:\services1.txt


Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla questo script:

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset003\services\m hnlhl
HKEY_LOCAL_MACHINE\system\controlset001\services\m hnlhl
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\mhnlhl
HKEY_LOCAL_MACHINE\system\controlset003\enum\root\ legacy_mhnlhl
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_mhnlhl
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_mhnlhl

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.


Se vuoi abilitare le notifiche del centro sicurezza windows (notifiche: aggiornamenti automatici e antivirus) e gli aggiornamenti automatici, scarica questa Utility ed attiva solo:
14) Abilita servizio "Aggiornamenti AutomaticI" (Wuauserv & BITS)
7) Abilita notifiche del Centro Sicurezza Windows


ricordati che fin quando è possibile, bisognerebbe eseguire le scansioni per intero... altrimenti poi si perde ancora più tempo...

ciao

[Inoki2]

ieri dopo log, scansioni o altro

ho trovato un trojan che poi ho cancellato.

Avira me lo ha trovato dopo 1000 scansioni, boot e reboot.

Ancora i siti non riuscivo a visualizzarli, stamattina ho acceso il pc ed ora vanno....


Adesso però ho fatto anche quello che mi hai detto tu.

Ti posto i log di combo fix:

ComboFix 09-03-03.01 - nicola 2009-03-04 9.27.10.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.1014.642 [GMT 1:00]
Eseguito da: c:\documents and settings\nicola\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
.

((((((((((((((((((((((((( Files Creati Da 2009-02-04 al 2009-03-04 )))))))))))))))))))))))))))))))))))
.

2009-03-03 17:46 . 2009-03-03 17:46 <DIR> d-------- c:\documents and settings\nicola\Dati applicazioni\Malwarebytes
2009-03-03 17:46 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-03 17:46 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-03 17:45 . 2009-03-03 17:46 <DIR> d-------- c:\programmi\Malwarebytes' Anti-Malware
2009-03-03 17:45 . 2009-03-03 17:45 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-03-03 17:09 . 2009-03-03 17:09 <DIR> d-------- c:\programmi\Trend Micro
2009-03-03 15:38 . 2009-03-03 15:38 <DIR> d-------- c:\programmi\Spybot - Search & Destroy
2009-03-03 15:38 . 2009-03-03 15:58 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2009-03-03 14:39 . 2009-03-03 14:39 <DIR> d-------- c:\programmi\Avira
2009-03-03 14:39 . 2009-03-03 14:39 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Avira
2009-02-18 10:02 . 2009-02-18 10:02 <DIR> d-------- c:\windows\system32\it-it

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2009-03-04 08:25 --------- d-----w c:\documents and settings\nicola\Dati applicazioni\OpenOffice.org2
2009-03-03 14:51 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Apple Computer
2009-01-19 10:11 200,704 ----a-w c:\windows\system32\prnsrvnt.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-03-03_17.39.54,10 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-02-11 19:56:18 21,244,872 ----a-w c:\windows\system32\MRT.exe
- 2006-09-06 15:43:38 15,584 ------w c:\windows\system32\spmsg.dll
+ 2005-10-12 23:17:58 15,584 ------w c:\windows\system32\spmsg.dll
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2004-10-13 1694208]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-27 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-27 162328]
"Persistence"="c:\windows\system32\igfxpers.ex e" [2007-06-27 137752]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_0 3\bin\jusched.exe" [2007-09-25 132496]
"ClamWin"="c:\programmi\ClamWin\bin\ClamTray.e xe" [2008-11-04 86016]
"avgnt"="c:\programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\nicola\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 2.3.lnk - c:\programmi\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio veloce di Adobe Reader.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Office\\Office12\\OUTLOOK.EXE" =

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"2017:TCP"= 2017:TCP:vulrn

S0 mucluqwe;mucluqwe;c:\windows\system32\drivers\ndwc epms.sys --> c:\windows\system32\drivers\ndwcepms.sys [?]
S2 KeyP;KeyP;c:\windows\system32\drivers\keyp.sys [2008-02-06 10286]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
mhnlhl
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.virgilio.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\Office\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\nicola\Dati applicazioni\Mozilla\Firefox\Profiles\1h7792di.def ault\
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-04 09:28:34
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

c:\windows\explorer.exe [3664] 0x85D77330

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

************************************************** ************************
.
Ora fine scansione: 2009-03-04 9.29.48
ComboFix-quarantined-files.txt 2009-03-04 08:29:46
ComboFix2.txt 2009-03-04 07:58:06

Pre-Run: 147.110.158.336 byte disponibili
Post-Run: 147,108,524,032 byte disponibili

91

e una scansione totale di SystemScan:

http://www.savefile.com/files/2025714

ho dato un'occhiata per quello che ne posso sapere io...in hosts file ci sono dei siti mai visti....

[Deifobe]

Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\WINDOWS\system32\nqkaapbj.txt
C:\WINDOWS\system32\drivers\ndwcepms.sys

registry keys to delete:
HKLM\system\currentcontrolset\services\mucluqwe
HKLM\system\controlset001\services\mucluqwe
HKLM\system\controlset002\services\mucluqwe
HKLM\system\controlset003\services\mucluqwe
HKLM\system\currentcontrolset\enum\root\legacy_muc luqwe
HKLM\system\controlset001\enum\root\legacy_mucluqw e
HKLM\system\controlset002\enum\root\legacy_mucluqw e
HKLM\system\controlset003\enum\root\legacy_mucluqw e

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.


Riesegui l'utility come ti avevo indicato

Posta un nuovo systemscan

ciao

[Inoki2]

eccolo:

http://www.savefile.com/files/2027320

scusa deifobe, una info. Ma cosa sono tutta quella lista di siti nel report sotto la voce hosts ?

[Inoki2]

azz...

ho fatto pochi minuti fa una scansione con malware bytes (con nuovi aggiornamenti)

ecco il risultato del log:


File infetti:
C:\WINDOWS\system32\wextract.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

oddio e sto trojan da dove è venuto fuori.....

Ti allego un'altro system scan:

http://www.savefile.com/files/2027480

[Inoki2]

ho appena letto sul sito di malware bytes che è un falso positivo che viene rilevato dopo l'aggiornamento 1820...è proprio quello che ho fatto prima di trovarlo.

Sono andato a cercare info perchè wextract.exe continuava a ricrearsi.

Quindi sembra a posto..questa cosa...

l'altra non so se è del tutto risolta...

Nel mex qui sopra c'è l'ultimo system scan, deifobe se riesci a controllare anche quello, mi faresti un gran favore. Così vediamo se è tutto a posto.

[Deifobe]

ora non riesco a scaricare da savefile.
non so se è la mia connessione, comunque riprovo da casa stasera..

[Inoki2]

a me il link va, forse era solo un momento.

perfetto ! Allora aspetto il tuo "report"

[Deifobe]

direi che ora è tutto ok..
dovesse servire altro, stiamo qui..

ciao