problema connessione dopo rimozione virus

[mincio89]

Ciao ragazzi,
il mio pc ha beccato dei virus che ho rimosso molto facilmente con Malwarebytes adesso ho i seguenti problemi:

- la console di rispristino da cd xp non rileva alcun disco rigido, ma a windows accedo tranquillamente

-il pc risulta connesso in rete va su msn e pinga qualsiasi host ma il broswer non naviga anche se le impostazioni di sicurezza e proxy sono a posto

questo è il log di Malwarebytes

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 5162

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/11/2010 11.25.08
mbam-log-2010-11-21 (11-25-08).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 145667
Tempo trascorso: 7 minuti, 40 secondi

Processi infetti in memoria: 3
Moduli di memoria infetti: 0
Chiavi di registro infette: 5
Valori di registro infetti: 4
Voci infette nei dati di registro: 1
Cartelle infette: 0
File infetti: 28

Processi infetti in memoria:
C:\WINDOWS\Hqabah.exe (Trojan.FraudPack) -> Unloaded process successfully.
C:\Documents and Settings\Maurizio\Dati applicazioni\Microsoft\svchost.exe (Backdoor.Bot) -> Unloaded process successfully.
C:\Documents and Settings\Maurizio\Dati applicazioni\Microsoft\Windows\shell.exe (Trojan.Shell) -> Failed to unload process.

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\MNTK1K67YO (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\U36VRSFLG6 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HJRUDZ5DT2 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\mntk1k67yo (Trojan.FraudPack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\hjrudz5dt2 (Trojan.FraudPack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\svchost (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Quarantined and deleted successfully.

Voci infette nei dati di registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\Documents and Settings\Maurizio\Dati applicazioni\Microsoft\Windows\shell.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\WINDOWS\Hqabah.exe (Trojan.FraudPack) -> Delete on reboot.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\Hp6.exe (Trojan.FraudPack) -> Delete on reboot.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\tpkcuci.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\Hp0.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\Hp1.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\Hp2.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\Hp3.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\Hp4.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\Hp5.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\Hp7.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\Hp8.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\Hp9.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\Hpz.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\uqeye.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\mswanoexcr.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Hqabaa.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\WINDOWS\Hqabab.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\WINDOWS\Hqabac.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\WINDOWS\Hqabad.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\WINDOWS\Hqabae.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\WINDOWS\Hqabaf.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\WINDOWS\Hqabag.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Dati applicazioni\Microsoft\stor.cfg (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Dati applicazioni\Microsoft\svchost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maurizio\Dati applicazioni\Microsoft\Windows\shell.exe (Trojan.Shell) -> Delete on reboot.
C:\Documents and Settings\Maurizio\Impostazioni locali\Temp\dwm.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Vi ringrazio in anticipo e se esiste gia una discussione simile scusatemi ma non sono riuscito a trovarla, nel caso reindirizzatemi per favore....
Saluti a tutti

[mincio89]

aggiungo che non funzionano gli aggiornamenti di spyboot

[SkinBonno]

Ciao,
1) Scarica CCleaner , eseguilo, ripulisci i file temporanei e i cookies e ripara i problemi del registro. In fase di installazione togli la spunta alla casella della yahoo toolbar, non installarla.

2) Scarica Atf Cleaner, esegui una pulizia completa (spunta select all ((se non vuoi perdere le password di internet e\o mozilla lascia solo quella casella libera)). Eseguilo 2 volte.

3) Scarica Combofix usando Internet Explorer e salvalo sul desktop. Quando lo salvi, rinominalo in abc.exe. Disconnettiti da internet, disattiva l'antivirus. Avvia Combofix (abc.exe) e attendi la fine della scansione.
Non eseguire nessuna operazione mentre Combofix analizza il pc, non muovere nemmeno il mouse, potresti bloccare la scansione.
Finita la scansione il pc si dovrebbe riavviare e in C: dovresti avere un rapporto Combofix.txt. Carica questo rapporto su Wikisend e riporta sul forum il link che otterrai.

N.B. Nel caso non riesci a fare partire combofix, da start-->esegui copia e incolla questa riga di comando comprese le virgolette e dai invio:

"%userprofile%\desktop\abc.exe" /killall

La scansione dovrebbe partire in automatico.

[DiegoFilippo]

ti rileva come virus SVCHOST.EXE, strano perchè dovrebbe essere un porcesso di windows, che non dovrebbe essere malevolo. anche a me a volte me lo rilevava, ma non l0ho mai rimosso e il pc funzionva alla graqnde

[mincio89]

ciao SkinBonno sto procedendo come mi hai suggerito, ovviamente i software ho dovuto scaricarli da un altro pc xke qll infetto non naviga....
e poi ho sempre il problema della console di ripristino che non vede i dischi rigidi non penso dipenda da un infezione..ma penso che l'antivirus abbia rimosso dei driver...che ne dici?

[mincio89]

ho completato la scansione e visto che wikisend mi dava problemi ti ho caricato il file qui
http://www.as-salvatoretunno.it/download/combofix.txt

[SkinBonno]

Disinstalla Conduit Engine o la relativa toolbar. Ripulisci il registro con Ccleaner.
1)Scarica TDSSKiller. Apri la cartella Tdsskiller, lancialo, segui le istruzioni e finita la scansione posta il log generato sempre su wikisend.

2)Scarica Kaspersky virus removal tool.
Avvialo, seleziona la partizione da scansionare, avvia la scansione.
A fine scansione, se verranno rilevate infezioni premi Neutralize All.
Si apriranno dei pop-up, seleziona Apply to all e clicca su Quarantine.
Per salvare il report, clicca su reports, salvalo sul desktop e caricalo come al solito su wikisend.


3)Scarica Hijackthis , scompattalo in una cartella a lui dedicata (tipo C:/Programmi/Hijackthis), avvialo e premi Do a Sistem scan and Save a Log file. Copia e incolla sul forum il log che ti verrà fuori.

Per la consolle di ripristino aspettiamo di rimuovere i vari virus, poi vediamo se da ancora problemi.

[mincio89]

dopo la disinfezione con combo fix il pc è tornato a connettersi cmq procedo con le nuove indicazioni...grazie mille per la disponibilità

[mincio89]

eccoti tutti i report

tdsskiller http://wikisend.com/download/594286/TDSSKiller.txt

kapersky http://wikisend.com/download/508212/kapersky.txt

hijackthis http://wikisend.com/download/502816/hijackthis.log

[SkinBonno]

Il log di kaspersky non l'ho mica capito... O.o comunque:

Disinstalla la toolbar di windows live messenger e quella di google se non ti servono, molte volte portano virus con loro.
Se hai installato il programma Free youtube to mp3 converter ti consiglio di disinstallarlo, non è molto sicuro.

1) Riesegui una scansione con Hijack, seleziona le caselle di queste voci e premi Fix Checked:

O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - Global Startup: VPro530.lnk = ?
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Documents and Settings\Maurizio\Dati applicazioni\DVDVideoSoftIEHelpers\youtubetomp3.ht m

Avevi disattivato l'antivirus durante la scansione? oppure nel caso non l'hai installato, installane uno a tua scelta. Controlla anche di avere il firewall di sistema attivo, nel caso attivalo.

2) Attiva la visualizzazione dei file nascosti:
da una qualsiasi cartella Strumenti-->opzioni cartella-->scheda visualizzazione
Metti la spunta a visualizza file nascosti e togli la spunta da nascondi file protetti di sistema.

3) Controlla questi file su Virustotal e copia\incolla i report in un file di testo, caricali come al solito su wikisend e postami i link:

c:\windows\system32\drivers\utgxndyy.sys
c:\windows\system32\drivers\4527082.sys
c:\windows\system32\drivers\45270821.sys

Hai disinstallato Conduit Engine??

4) Fai un'altra scansione completa con Malwarebytes per vedere se ci sono dei residui delle prima infezioni e nel caso venga rilevato qualcosa di infetto, posta il log.