DNSChanger + comparsa di pagine pornografiche

[paul93]

Ho

[paul93]

Ho verificato la cartella del registro, e in effetti ho visto che il dns non c'è più, ma l'ho trovato in quest'altra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{72BCDA8E-22FE-4673-BC18-DF49491AF809}

Inoltre compare sempre nell'altro percorso: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

[COCCOBELLO]

anche questo è strano,perchè malwarebytes lo segnalava solo nell'altra cartella e non in questa {72BCDA8E-22FE-4673-BC18-DF49491AF809

forse gli è sfuggito

ad ogni modo esegui anche qusto fix per questa cartella {72BCDA8E-22FE-4673-BC18-DF49491AF809
fixDns2.reg

[paul93]

No aspetta scusami. Dato che ho due pc collegati al medesimo router ho voluto provare a controllare anche l'altro, per cui prima ho scritto dal nuovo pc. Ho visto adesso che in quello precedente (cioè quello dal quale ho sempre scritto e dove ho eseguito i vari fix nei giorni scorsi) il dns malevolo è sempre contenuto nella cartella B9D9EFCD-B132-46B1-BEED-700A627B2F98}, per cui lì non è sparito. Invece nell'altro pc (quello dal quale ho scritto il precedente post) il dns malevolo è nella cartella {72BCDA8E-22FE-4673-BC18-DF49491AF809}, mentre la cartella B9D9EFCD-B132-46B1-BEED-700A627B2F98 contiene dns normali.

Cioè in poche parole nel computer in cui ho eseguito tutti i vari fix il dns c'è ancora, non è sparito. Nell'altro pc il dns c'è ugualmente ma è in un'altra cartella.

P.s. il nuovo download fixDns2.reg mi viene bloccato perchè dice che potrebbe contenere virus/spyware

[paul93]

Il problema è che sembra che i computer cambino automaticamente i dns ogni volta che accedo a internet. Anche malwarebytes, una volta trovati ed eliminati gli elementi malevoli, non trova niente se, prima della successiva scansione, sono rimasto offline diciamo, mentre appena vado su google, cerco qualcosa e dopo rifaccio la scansione, ecco che ritorna a trovare il "virus"! Infatti ora ho voluto fare la prova anche rieseguendo i fix e fa la stessa cosa: una volta eseguiti, i dns ritornano normali, poi riavvio il pc, torno su google, vado su un sito a caso, controllo il registro ed ecco che il dns è tornato ad essere quello malevolo!

[COCCOBELLO]

il Virus DNS Changer infetta tutti i pc collegati a quella rete

ti dice che è pericoloso perchè è un file che fa una modifica nel registro
tutti i file e i programmi che apportano modifiche al sistema,dagli antivirus vengono visti come pericolosi ma in questo caso è un falso positivo

questo fixdns2 è per il computer che ha la cartella 72BCDA8E-22FE-4673-BC18-DF49491AF809

ad ogni modo ti conviene anche accedere al router e vedere se il dns changer ti ha modificato i dns nel router mettendo i suoi...molto probabilmente si,ecco perchè si rigenerano

[paul93]

Ah, capito...quindi come faccio a controllare e a sistemare il router? Dici che faccio prima a cambiarlo?

[COCCOBELLO]

ahaha no che cambiare router

che router hai ? marca e modello

per accedere al router devi collegarti a questo indirizzo

Apri il tuo browser e digita http://192.168.1.1
oppure http://192.168.0.1 dipende dal router

se non hai modificato login e password è
login: admin
password: admin o quella scritta sotto al router

una volta entrato devi andare nelle impostazioni
se mi dici marca e modello del router ti dico dove andare

[paul93]

Ahah beh la soluzione drastica ci sta! si va sul sicuro!!

Comunque è un Kraun KR.YL

[COCCOBELLO]

troppo drastica
anche se non sarebbe una cattiva idea cambiarlo visto il bug che ha
leggi qui ed è casua del DNS Changer
http://www.dapinna.com/notizie/30-avvis ... kraun.html

deiv accedere a questo indirizzo http://192.168.1.1
login e password è admin
dopo ti conviene cambiarla metti una pasword più sicura

poi vai in in Interface Setup e poi LAN
in wireless se usi il wifi
vai in basso nella pagina fino ad arrivare alla voce DNS

in DNS Relay metti Use user discovered DNS server only
e metti i server di google
Primary DNS server: 8.8.8.8
Secondary DNS server: 8.8.4.4

clicca su SAVE

cambia la password in Maintenace e poi Administration
qui trovi come generare password complesse...ricordati poi di segnartela su un foglietto o sul pc
http://passwordsgenerator.net

e dopo impostato la password clicca su SAVE

[paul93]

Ho provato a cambiare i server dns ma non mi salva niente...cioè clicco su SAVE ma non succede nulla, appena vado su WIRELESS oppure su MAINTENANCE o da qualsiasi altra parte e poi torno su INTERFACE SETUP --> LAN vedo che di fianco a DNS Relay rimane scritto Use Auto Discovered DNS Server Only, senza che mi abbia salvato la modifica.

[COCCOBELLO]

scusa mi ero dimenticato di dirti di fare questa operazione con il cavo lan e non con il wireless
se neanche li salva,allora è un problema del router che è bloccato da parte del tuo provider...se lo hai avuto in comodato d'uso da telecom o altro gestore

ad ogni modo l'importante è che non trovi quei dns malevoli nel router...perchè puoi lasciare anche Use Auto Discovered DNS Server Only a questo punto
e mettere invece sul pc i dns di google che sarebbe la stessa cosa di come impostarli nel router,in modo da andare sul sicuro mentre navighi
qui come fare
http://www.windoctor.it/sistemi/7/impos ... r-windows/

[quizface]

controlla se ti reindirizzano attraverso il file hosts : C:\Windows\System32\drivers\etc
Apri il file hosts con blocco notes dovresti avere questo:



senza le righe di spybot

[paul93]

Ho impostato i dns di google come indicato nel link, e sono rimasti impostati. Nel registro però è sempre presente il dns malevolo e malwarebytes lo rileva sempre.

@quizface ho controllato il percorso e mi compare la stessa cosa.

[COCCOBELLO]

il file hosts è ok anche perchè otl lo dava pulito

io credo che comunque puoi stae tranquillo il problema è risolto..infatti non vieni più dirottato su altri siti

voglio vedere una cosa però..per vedere perchè malwarebytes trova sempre quel dns

vai in questo percorso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{{B9D9EFCD-B132-46B1-BEED-700A627B2F98]
"DhcpNameServer"

poi fai file in alto a sinistra e scegli esporta
dai un nome qualsiasi..esempio registro e lo salvi sul desktop
poi postami quel file di registro

poi scarica questo tool http://www.windoctor.it/network/interne ... nnessione/
e posta il report che rilascia

[paul93]

Scusate l'assenza alla fine ho risolto definitivamente il problema resettando il router e riconfigurandolo. Il problema era proprio il router stesso che modificava i dns ad ogni connessione...ad ogni modo penso sia una "falla" circoscritta al mio modello di router (come ho letto in un articolo che mi avete allegato) dato che non è la prima volta che dà dei problemi (poco tempo fa ho preso pure il virus della polizia di stato). Ringrazio comunque tutti perchè quantomeno grazie al vostro aiuto sono riuscito a fermare la comparsa delle pagine porno, ed è stato già un bel successo siete stati gentilissimi!

[goldie]

Salve a tutti,
da qualche settimana sul pc di mio padre si verifica un problema simile a quello descritto in questo topic: apertura di pagine porno e ogni tanto comparsa della pagina polizia di stato con conseguente blocco del pc.
Ho letto i vari thread ed ho fatto eseguire una scansione con combofix. vi riporto i log di seguito:

ComboFix 15-03-14.03 - w 15/03/2015 16:37:20.7.2 - x86
Microsoft Windows 7 Professional 6.1.7601.1.1252.39.1040.18.1983.700 [GMT 1:00]
Eseguito da: c:\users\w\Desktop\ComboFix.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((( Files Creati Da 2015-02-15 al 2015-03-15 )))))))))))))))))))))))))))))))))))
.
.
2015-03-15 15:46 . 2015-03-15 15:46 -------- d-----w- c:\users\Default\AppData\Local\temp
2015-03-13 19:52 . 2015-02-16 03:21 9041640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{B40B85E6-04A9-4A6A-9315-94A51A7B5B18}\mpengine.dll
2015-03-11 20:48 . 2015-02-03 03:12 171520 ----a-w- c:\windows\system32\ubpm.dll
2015-03-05 21:44 . 2015-03-05 21:44 -------- d-----w- c:\program files\Common Files\Skype
2015-03-05 21:44 . 2015-03-05 21:45 -------- d-----r- c:\program files\Skype
2015-03-05 21:31 . 2004-12-15 18:01 40960 ----a-w- c:\windows\Vm_sti.exe
2015-03-05 21:31 . 2004-12-10 13:30 61440 ----a-w- c:\windows\system32\VM31bSTI.dll
2015-03-05 21:31 . 2004-03-08 16:00 24576 ----a-w- c:\windows\RunSetup.dll
2015-03-05 21:31 . 2000-10-31 11:00 307200 ----a-w- c:\windows\vidcap32.Exe
2015-03-05 21:31 . 2004-12-10 09:07 94208 ----a-w- c:\windows\VMCap.exe
2015-03-05 21:31 . 2004-12-09 14:41 57344 ----a-w- c:\windows\StillCap.exe
2015-03-05 21:31 . 2004-12-01 09:30 217160 ----a-w- c:\windows\system32\VM31bPrp.Ax
2015-03-05 21:31 . 2002-10-16 08:29 49152 ----a-w- c:\windows\amcap.exe
2015-03-05 21:31 . 2015-03-05 21:31 -------- d-----w- c:\windows\CatRoot
2015-03-05 21:31 . 2006-03-10 09:22 194933 ----a-w- c:\windows\system32\drivers\usbVM31b.sys
2015-03-05 21:31 . 2015-03-05 21:31 -------- d-----w- c:\program files\Vimicro
2015-03-05 21:30 . 2015-03-05 21:31 -------- d-----w- c:\program files\Common Files\InstallShield
2015-03-02 14:57 . 2015-03-02 15:00 -------- d-----w- c:\program files\Probit Software
2015-03-02 14:49 . 2015-03-02 14:49 -------- d-----w- c:\users\w\AppData\Roaming\Carambis
2015-03-02 12:01 . 2015-03-02 12:01 -------- d-----w- c:\users\w\Tracing
2015-02-21 11:55 . 2015-03-15 15:46 -------- d-----w- c:\users\w\AppData\Local\temp
2015-02-21 10:20 . 2014-12-08 02:46 308224 ----a-w- c:\windows\system32\scesrv.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-02-24 02:23 . 2013-10-29 17:33 246920 ------w- c:\windows\system32\MpSigStub.exe
2014-12-19 02:43 . 2015-01-14 11:53 164864 ----a-w- c:\windows\system32\profsvc.dll
2014-12-19 01:34 . 2015-01-14 11:53 116224 ----a-w- c:\windows\system32\drivers\mrxdav.sys
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Driver Restore"="c:\program files\Driver Restore\Driver Restore\DriverRestore.exe" [2013-09-19 3988856]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2015-02-26 31346784]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BigDogPath"="c:\windows\VM_STI.EXE" [2004-12-15 40960]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SPReview"="c:\windows\System32\SPReview\SPReview.exe" [2013-12-28 280576]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^Users^w^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]
path=c:\users\w\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2014-12-19 07:48 1022152 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Driver Restore]
2013-09-19 09:10 3988856 ----a-w- c:\program files\Driver Restore\Driver Restore\DriverRestore.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-03-06 10:52 13605408 ----a-w- c:\windows\System32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2009-03-06 10:52 92704 ----a-w- c:\windows\System32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl.exe]
2009-11-24 10:07 323640 ----a-w- c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QLBCtrl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd3]
2006-09-19 08:07 827392 ----a-w- c:\windows\vsnpstd3.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 10:43 248040 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VIRIT LITE MONITOR]
2014-07-18 16:27 471856 ----a-w- c:\vexplite\MONLITE.EXE
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Google Update"="c:\users\w\AppData\Local\Google\Update\GoogleUpdate.exe" /c
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
.
R2 Freemake Improver;Freemake Improver;c:\programdata\Freemake\FreemakeUtilsService\FreemakeUtilsService.exe [2014-03-26 108032]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2015-01-02 315488]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2010-01-12 227896]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2015-02-20 102912]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 WatAdminSvc;Servizio Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2013-10-30 1343400]
R3 ZG760_XP;ZyXEL 802.11g XG762 1211 Driver;c:\windows\system32\DRIVERS\WlanGZXP.sys [2009-04-15 519168]
S1 wStLibG;wStLibG;c:\windows\system32\drivers\wStLibG.sys [2014-03-31 52928]
S2 c2cautoupdatesvc;Skype Click to Call Updater;c:\program files\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe [2014-07-14 1390176]
S2 c2cpnrsvc;Skype Click to Call PNR Service;c:\program files\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe [2014-07-14 1767520]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2015-03-13 12:13 1061704 ----a-w- c:\program files\Google\Chrome\Application\41.0.2272.89\Installer\chrmstp.exe
.
Contenuto della cartella 'Scheduled Tasks'
.
2015-03-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2013-10-30 10:03]
.
2015-03-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2013-10-30 10:03]
.
2015-03-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-257516511-4176211027-4133436187-1000Core.job
- c:\users\w\AppData\Local\Google\Update\GoogleUpdate.exe [2014-02-12 19:43]
.
2015-03-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-257516511-4176211027-4133436187-1000UA.job
- c:\users\w\AppData\Local\Google\Update\GoogleUpdate.exe [2014-02-12 19:43]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
TCP: DhcpNameServer = 91.194.254.105 8.8.8.8
DPF: e
.
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_9_900_117_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_9_900_117_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Ora fine scansione: 2015-03-15 16:48:39
ComboFix-quarantined-files.txt 2015-03-15 15:48
ComboFix2.txt 2015-03-13 11:45
ComboFix3.txt 2015-03-02 14:37
ComboFix4.txt 2015-02-25 14:58
ComboFix5.txt 2015-03-15 14:54
.
Pre-Run: 39.072.161.792 byte disponibili
Post-Run: 39.022.002.176 byte disponibili
.
- - End Of File - - 81D5296BB76DD0F64C1EA4DF73747786
A36C5E4F47E84449FF07ED3517B43A31



aspetto suggerimenti. grazie

[Luke57]

Ciao, scarica adwcleaner da qui:
http://www.bleepingcomputer.com/download/adwcleaner/
1) avvia il programma e clicca sul tasto SEARCH;
2) al termine della scansione, clicca sul tasto ELIMINA;
3) salva il REPORT [Sx] rilasciato dopo l’eliminazione.

Poi:
Scarica Farbar recovery Scan tool
http://www.bleepingcomputer.com/downloa ... scan-tool/
(scegli la versione confacente al tuo pc -32 o 64 bit)
Dovrai mettere FRST sul desktop aprirlo e cliccare sul pulsante SCAN.
Al termine uscirà un file di testo(LOG) che potrai anche trovare sul tuo desktop

Metti i due report salvati su wikisend
http://wikisend.com/
e pubblica il FORUMLINK proposto

[goldie]

ecco tutti i file generati:


http://wikisend.com/download/150966/Addition.txt
http://wikisend.com/download/809516/FRST.txt
http://wikisend.com/download/345928/AdwCleaner[R0].txt
http://wikisend.com/download/626270/AdwCleaner[S0].txt

[Luke57]

Ciao, copia e incolla il seguente script in un file di testo, lo salvi sul desktop chiamandolo fixlist.txt

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Tcpip\Parameters: [DhcpNameServer] 91.194.254.105 8.8.8.8
2015-03-02 15:50 - 2015-03-02 15:50 - 00005055 _____ () C:\ProgramData\mtbjfghn.xbe



Riapri il programma FRST e clicca sul pulsante FIX una sola volta.
Allega il log fixlog.txt che troverai sul desktop.

Inoltre il tuo problema è lo stesso indicato qui:
http://aiuto-pc.forumfree.it/?t=70318166&st=30

Se non risolvi, segui le indicazioni di Vicky fornite all'utente in ordine al problema 91.194.254.105