mcenspc.dll immagine non valida

[teletele]

Qualche giorno fa il mio pc si è beccato un virus e mi compariva sullo schermo una scritta " mcenspc.dll non è un'immagine valida di windows.." .
Ho cercato su google una soluzione e mi sono imbattuto sul vs sito.Ho letto che spesso veniva consigliato di lanciare una scansione del sistema con "Systemscan" cosa che ho fatto ieri sera.
Fino a prima di lanciare la scansione, non riuscivo a tenere aperto nemmeno task manager o "process explorer": dopo qualche min mi venivano chiuse; cosi come iexplorer.
Stamattina invece, ancora peggio, mi viene visualizzato solo il desktop senza la presenza di nessuna icona o collegamento o file: non parte piu' explorer!!!!! Ho laciato task manager e provato da li ad attivare explorer, mi dice che non e' un'applicazione valida per windows (32?!?!).Insomma, un bel casino.
Per favore, mi aiutate a capire e a risolvere questi problemi? un grazie infinito a tutti coloro che mi aiuteranno, grazie in anticipo.

Saluti.

P.S.in allegato il report di systemscan
















http://freefilehosting.net/download/46ah4

[Deifobe]

Stampa queste indicazioni e disconnetti il pc da internet
Richiama il task manager (ctrl+alt+canc)
a) clicca su "nuova operazione" e digita regedit.exe - lascia aperta questa finestra
b) dal task manager, se è in esecuzione, termina il processo "explorer" (spariranno le cartelle dal desktop ma e' normale)
c) non chiudere il task manager fino al riavvio del pc.

Spostati nella finestra del registro e segui questo percorso fino a cliccare sulla chiave explorer.exe:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\image file execution options\explorer.exe]

ora devi eliminarla:
--- clicca su explorer.exe con il tasto destro del mouse => elimina.
--- se non te la fa eliminare, riclicca sulla chiave ma scegli => autorizzazioni => controllo completo => spunta "consenti". Riprova ad eliminarla.

poi chiudi le finestre ed esegui systemscan (puoi richiamarlo sempre dal taskmanager), clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\Documents and Settings\HP_Administrator\Impostazioni locali\Dati applicazioni\ceqimaq_navps.dat
C:\Documents and Settings\HP_Administrator\Impostazioni locali\Dati applicazioni\ceqimaq.dat
C:\Documents and Settings\HP_Administrator\Impostazioni locali\Dati applicazioni\ceqimaq_nav.dat
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\SIHJMC.exe
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\UEBZBQY.exe

folders to delete:
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\Rar$EX00.344
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\Rar$EX01.281
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\Rar$EX00.437
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\Rar$EX01.156
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\Rar$EX00.563

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\ceqimaq

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.


Apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run\AutorunsDisabled]
"ceqimaq"=-
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudi ed eseguilo. accetta le modifiche (dura solo un attimo)


Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.

Posta il rapporto di malwarebytes e un nuovo systemscan

[teletele]

Buongiorno,
ieri mattina ho letto la tua risposta e la sera ho provveduto ad eseguire.
Ti allineo su quanto ho fatto:

1) ho ripristinato l'esecuzione di explorer cancellando la chiave [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\image file execution options\explorer.exe]

2) eseguito lo script con systemscan: alla ripartenza del pc è apparsa la notifica del "successo" dello script

3)lanciato il "fix.reg"


4) Installato malwarebytes: ho lanciato la "scansione completa".

Tieni conto che mentre facevo tutto questo (avevo lanciato explorer da task manager) osservavo un continuo "refresh" del desktop : explorer veniva "killato" e immediatamente startato !!!

5)La scansione ha trovato 10 "files infetti" che ho provveduto a cancellare con "Rimuovi selezionati."

Ho spento il PC e poi riacceso: il "refresh" è sparito!
Rimane pero' il problema legato al kill di applicazioni come task manager, process explorer, word, cmd...

Ho lanciato systemscan.

Ti allego i report delle scansioni:

http://freefilehosting.net/download/46d01

http://freefilehosting.net/download/46d02



Grazie infinite per il tuo aiuto e per la tua disponibilità.

[Deifobe]

ciao, riesegui avenger (sempre da systemscan) ed inserisci questo script:

folders to delete:
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\RarSFX12
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\RarSFX11
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\RarSFX10
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\RarSFX9
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\RarSFX8
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\RarSFX7
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\RarSFX6
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\RarSFX5
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\RarSFX4
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\RarSFX3
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\RarSFX2
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\RarSFX1

files to delete:
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\egX9rYTw.dll
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\u2nOvr41.dll
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\I64xG6fq.dll
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\hGu8YnFX.dll
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\HGI.exe
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\YR.exe
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\o9z2Eup4.dll
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\c15S06ap.dll
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\340Sw9nk.dll
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\6YCpvK18.dll
C:\WINDOWS\system32\NJNNZHXYQRQWTH
C:\WINDOWS\system32\SQJUQZP
C:\WINDOWS\temp\rld5.tmp
C:\WINDOWS\temp\rld13.tmp
C:\WINDOWS\temp\rld7.tmp
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\SIHJMC.exe
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\UEBZBQY.exe
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\YR.exe
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\CF11291.exe
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\CF8417.exe

registry keys to delete:
HKLM\system\currentcontrolset\services\SIHJMC
HKLM\system\currentcontrolset\services\UEBZBQY
HKLM\system\currentcontrolset\services\YR
HKLM\system\controlset001\services\SIHJMC
HKLM\system\controlset001\services\UEBZBQY
HKLM\system\controlset001\services\YR
HKLM\system\currentcontrolset\enum\root\legacy_SIH JMC
HKLM\system\currentcontrolset\enum\root\legacy_UEB ZBQY
HKLM\system\currentcontrolset\enum\root\legacy_YR
HKLM\system\controlset001\enum\root\legacy_SIHJMC
HKLM\system\controlset001\enum\root\legacy_UEBZBQY
HKLM\system\controlset001\enum\root\legacy_YR

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.


Riesegui malwarebytes e vedi se trova da ripulire:
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WI NDOWS\system32\twex.exe,"
(riavvia il pc se richiesto)

posta nuovamente systemscan e il rapporto di malwarebtes

ciao

[teletele]

Ciao,
ho eseguito lo script, alla ripartenza del pc un msg ha confermato il buon esito dell'eseguzione dello script.

Ho rieseguito Malwarebytes ed ha trovato, tra gli altri, "Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WI NDOWS\system32\twex.exe,"

Ho chiesto di "ripulire", ma cosa strana non è stato possibile farlo(vedi log in allegato).

Ho rilanciato una seconda volta, ha trovato gli stessi files infett ma questa volta la "pulizia" è andata a buon fine (vedi log in allegato).

Ho effettuato il run di systemscan: il report in allegato.

Volevo, inoltre, segnalarti che quando ho acceso il pc, explorer è partito regolarmente e, cosa strana, riuscivo a tenere aperto Task Manager.
Poi ho effettuato gli step che mi suggerivi e si è ripresentato il kill di task manager e altre applicazioni.

Grazie e Buona giornata.

Primo log Malwarebytes
http://freefilehosting.net/download/46e49


Secondo log Malwarebytes
http://freefilehosting.net/download/46e4a


Log di SystemScan:
http://freefilehosting.net/download/46e4b

[Deifobe]

si, la voce è stata ripulita...

ora manca qualche altra cosa..

Esegui systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\sqmdata12.sqm
C:\sqmnoopt12.sqm
C:\sqmdata11.sqm
C:\sqmnoopt11.sqm
C:\sqmdata10.sqm
C:\sqmnoopt10.sqm
C:\sqmnoopt09.sqm
C:\sqmdata09.sqm
C:\sqmdata08.sqm
C:\sqmnoopt08.sqm
C:\sqmdata07.sqm
C:\sqmnoopt07.sqm
C:\sqmdata06.sqm
C:\sqmnoopt06.sqm
C:\sqmdata05.sqm
C:\sqmnoopt05.sqm
C:\sqmnoopt04.sqm
C:\sqmdata04.sqm
C:\sqmnoopt03.sqm
C:\sqmdata03.sqm
C:\sqmdata02.sqm
C:\sqmnoopt02.sqm
C:\sqmnoopt01.sqm
C:\sqmdata01.sqm
C:\sqmdata19.sqm
C:\sqmnoopt19.sqm
C:\sqmdata18.sqm
C:\sqmnoopt18.sqm
C:\sqmdata17.sqm
C:\sqmnoopt17.sqm
C:\sqmdata16.sqm
C:\sqmnoopt16.sqm
C:\sqmnoopt15.sqm
C:\sqmdata15.sqm
C:\DOCUME~1\HP_ADM~1\IMPOST~1\Temp\HGI.exe
C:\WINDOWS\System32\drivers\dwshd.sys

registry keys to delete:
HKLM\system\currentcontrolset\services\HGI
HKLM\system\currentcontrolset\services\dwshd
HKLM\system\currentcontrolset\enum\root\legacy_HGI
HKLM\system\currentcontrolset\enum\root\legacy_dws hd

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.


Poi, apri il blocco note e copiaci dentro questo:

@echo off
regedit.exe /e C:\services.txt "HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\servi ces\MHN"
regedit.exe /e C:\SafeBoot.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\SafeBoot"

salvalo sul desktop come:
nome: 1.bat
tipo di file: tutti i file
chiudilo ed eseguilo
posta i file C:\services.txt e C:\SafeBoot.txt


ciao

[teletele]

Buongiorno,
ho fatto quanto da te suggerito: in allegato i file di log.

Volevo aggiungere che il "kill" di applicazioni come task manager, process explorer, internet explorer, word...continua mio malgrado.

Notepad invece, cosi come il prompt dos, non vengono "killati".

una curiosità che potrebbe essere utili ai fini dell'indagine: apro un file di testo con notepad e come già detto non viene chiusa questa applicazione.Faccio "apri" dal menu File;continua a "resistere" l'applicazione; ma appena su "Tipo di file" imposto "tutti i file" succede che dopo qualche secondo sparisce notepad !!!!

Ti auguro una buona giornata.


SafeBoot:
http://freefilehosting.net/download/46h0i

Services:
http://freefilehosting.net/download/46h0j

Ho anche fatto un altro report con Malwarebytes
http://freefilehosting.net/download/46h0l

[Deifobe]

ciao, scusa, ti rispondo un po' in ritardo....

ok per il servizio e per safeboot (questi li avevo già controllati)
mentre stamattina non riesco a scaricare il rapporto di Malwearebytes.. (evidentemente ci sono problemi con freefilehosting)

mi posti un nuovo systemscan?
dovresti postare (anche sul forum, se preferisci) il rapporto di Malwarebytes

puoi usare Savefile nel caso i problemi con freefilehosting dovessero persistere..

ciao

[teletele]

Ciao, buongiorno.
Stasera faccio un nuovo systemscan.

Ti posto il rapporto di Malware
Saluti.


Malwarebytes' Anti-Malware 1.34
Versione del database: 1749
Windows 5.1.2600 Service Pack 3

03/04/2009 21.56.37
mbam-log-2009-04-03 (21-56-25).txt

Tipo di scansione: Scansione completa (C:\|J:\|)
Elementi scansionati: 205031
Tempo trascorso: 2 hour(s), 30 minute(s), 18 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\services.txt (Heuristics.Reserved.Word.Exploit) -> No action taken.

[teletele]

Buongiorno,
in allegato il report prodotto da systemscan.

Saluti.


http://www.savefile.com/files/2073039