Salve, sono giorni che noto vari problemi quando navigo. La connessione è molto lenta. Si aprono pop up ogni volta che provo ad entrare in qualunque sito.
Con internet explorer molto spesso alcune pagine non le carica la prima volta e devo riaggiornare per visualizzarle. Mentre con Firefox la prima volta che provo ad andare su un qualunque sito mi carica, a turno, due pagine pubblicitarie: una di emule e una di un programma speed download. Qualunque programma antivirus tenti di aggiornare mi impedisce l'upload dandomi errore. Ho fatto una scansione con HijackThis e mi individua il problema o uno dei problemi nella linea 17 HKLM\System\CCS\Services\Tcpip\..\{666A9EEC-F778-42D9-A36B-69A0EEAFFA8F}: NameServer = 85.255.115.29 85.255.112.211 la seleziono ma ogni volta che riavvio la ritrova. Ho provato non so quanti antyspyraware ma niente. Alcuni non posso provarli perché richiedono l'upload, ho provato le scansioni on line ma non partono. Che devo fare?

ciao

carica secondo le regole di sezione il log di hjt

intanto, x evitare che si aprono pagine pubblicitarie e quindi evitare virus, imposta in IE e firefox il blocco totale dei pop-up.

In internet explorer (IE): strumenti->opzioni internet->privacy->blocco popup(in basso):
-seleziona "blocca popup";
-opzioni->livello filtro(in basso)->ALTO;

Ciao e benvenuta!

Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

successivamente segui passo passo la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

solo ora riesco a stare davanti al pc che ha problemi, seguo alla lettera quello che mi avete scritto e vi aggiorno, grazie

Ecco il log di HijackThis, ci tengo a precisare che se lo avvio in modalità normale appare quello che forse è il problea il n. 17., mentre se lo mando in modalità provvisoria la stringa 17 non appare.

Log rimosso leggere le Regole di sezione

ecco il link hijackthis.log (http://wikisend.com/download/527226/hijackthis.log)

ecco il link hijackthis.log (http://wikisend.com/download/527226/hijackthis.log)

Per cortesia leggi bene le istruzioni http://www.hwupgrade.it/forum/showpost.php?p=26549372&postcount=4 :)

spero di aver capito, l'ho mandato su winsend... quindi tutti i log devo mandarli li e poi a voi vi copio il link, giusto? scusate ma sono inesperta

spero di aver capito, l'ho mandato su winsend... quindi tutti i log devo mandarli li e poi a voi vi copio il link, giusto? scusate ma sono inesperta

Si Wikisend và benissimo, la prima cosa che devi fare è far girare Combofix come da istruzioni ed allegare il log su Wikisend, dopodichè parti con la Guida alla disinfezione ed alleghi tutti i log in un'unico post esattamente come ti ho indicato :)

Buongiorno, sono a lavoro ma nel pomeriggio vedrò di postare tutto.
Ho due domande da novellina:

1. i server dns 208.67.222.222, 208.67.220.220, dopo aver mandato tutti i log si devono cancellare o devono restare? magari è una domanda banale, ma non me ne intendo :muro:

2. le scansioni vanno fatte in modalità provvisoria o normale? Devo aggiungere che prima di leggere la guida, avevo fatto scansioni già con alcuni di quelli elencati e mi rivelano qualcosa che non va solo in modalità normale.
Se la risposta è in modalità provvisoria allora devo chiedere un'altra cosa:
le scansioni le ho fatte avviando msconfig e cliccando su modalità diagnostica con i servizi di base. Se provo invece ad andare in modalità provvisoria premendo f5 (f8 non mi va con l'xp), si visualizzano solo alcune icone e se modifico la risoluzione non cambia nulla, quale delle due modalità è la migliore o è la stessa cosa? Grazie :help:

Buongiorno, sono a lavoro ma nel pomeriggio vedrò di postare tutto.
Ho due domande da novellina:

1. i server dns 208.67.222.222, 208.67.220.220, dopo aver mandato tutti i log si devono cancellare o devono restare? magari è una domanda banale, ma non me ne intendo :muro:

2. le scansioni vanno fatte in modalità provvisoria o normale? Devo aggiungere che prima di leggere la guida, avevo fatto scansioni già con alcuni di quelli elencati e mi rivelano qualcosa che non va solo in modalità normale.
Se la risposta è in modalità provvisoria allora devo chiedere un'altra cosa:
le scansioni le ho fatte avviando msconfig e cliccando su modalità diagnostica con i servizi di base. Se provo invece ad andare in modalità provvisoria premendo f5 (f8 non mi va con l'xp), si visualizzano solo alcune icone e se modifico la risoluzione non cambia nulla, quale delle due modalità è la migliore o è la stessa cosa? Grazie :help:

1 il discorso dns lo affrontiamo dopo aver visto il log

2 da modalità normale, in guida non è espressamente chiesta la modalità provvisoria

Ciao

Combo

http://wikisend.com/download/585390/Combo.txt


Malwarebytes

http://wikisend.com/download/608130/mbam-log-2009-03-05 (15-47-16).txt

di questo log va detto iche eri rispetto ai risultati odierni mi dava questo:
Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{666a9eec-f778-42d9-a36b-69a0eeaffa8f}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.29 85.255.112.211 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{666a9eec-f778-42d9-a36b-69a0eeaffa8f}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.29 85.255.112.211 -> No action taken.


A- squared

http://wikisend.com/download/612958/a2scan_090305-155146.txt

F-secure on line

http://wikisend.com/download/485134/F.SEcure.txt


Dr Web Cure it aveva iniziato la scansione ma a un certo si è bloccato dando un errore di internet explorer e ho dovuto riavviare

Eset SynIspector

http://wikisend.com/download/592664/SysInspector.zip

Hijackthis

http://wikisend.com/download/558960/hijackthis.log

Gmer

http://wikisend.com/download/692096/gmer.txt

Prevxcsi scansiona ma non rilascia alcun log, torna direttamente alla pagina iniziale

Ciao procedi cosi:

- Combo l'hai fatto girare 2 volte mi occorre il primo log

- Ripeti scansione completa con MBAM e metti in quarantena tutti gli elementi infetti rilevati

Estratto dal log

File infetti:
C:\bitdefender_isecurity_v9.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wextract.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\dllcache\wextract.exe (Trojan.Vundo) -> No action taken.

No action taken -->> significa che non hai elimnato nulla

- Riperi la scansione con Gmer sezione Rootkit esattamente come indicato in Guida tu hai allegato la scansione Autostart

- Ripeti la scansione con Prevx CSI terminata la scansione per ottenere il log clicca su Tools - Salva file di log

ok cerco il primo log di Combofix, sperando di averlo ancora, ma credo che alla fine della prima scansione si fosse bloccato

ok MBAM e per gli altri due.

A questa sera

Combofix: l'unico altro log che ho trovato è nella cartellina C:, ma credo sia lo stesso perché ha la stessa ora, cmq lo posto per sicurezza

http://wikisend.com/download/486758/ComboFix.txt

MBA
http://wikisend.com/download/522320/mbam-log-2009-03-06 (16-49-33).txt

sono in quarantena, li posso eliminare?

Gmer

http://wikisend.com/download/545862/Gmer1.txt

Prevx

http://wikisend.com/download/513348/prevxcsi.log

Con il Browser chiuso esegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Antiy Auto Update] C:\Programmi\Antiy Labs\Alive\ALiveCenter.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: hxxp://www.lycos.it
O15 - Trusted Zone: hxxp://it.worldsbiggestchat.com
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab


successivamente segui scrupolosamente questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 troveria le indicazioni per aggiornare il SO - i software complementare - eliminare i tool utilizzati nella Guida alla disinfezione - e per ultimo ma non per questo meno importante i suggerimenti su quale Antivirus e Firewall installare visto che ne sei sprovvista

ho notato che il virus è contenuto in un programma chiamato Flashcad Composer:
Trojan.Win32.Agent.btjv (virus)

* C:\PROGRAMMI\FLASHCAD_COMPOSER\WFCMP.DLL (Renamed & Submitted)

La mia domanda è: può essersi insidiato lì per caso o è proprio contenuto nel programma? Lo chiedo perché, dopo aver fatto una ricerca su altri forum, ho notato che alcune persone riportavano problemi di dnschanger e bagle e nei log di alcuni compariva guarda caso questo programma. Per concludere sono finita in questa pagina http://spywarefiles.prevx.com/spywarefiles.asp?FXC=AGFD44258524 in cui tra gli spyware compare anche questo FLASHCAD che conferma i miei dubbi e dove sono riportati tutti i gravi problemi che dà. Ora io questo programma l'ho scaricato da Facebook, dove c'era tanto di inserzione publicitaria in italiano, poiché una delle case di produzione è anche in Italia, dici che è il caso di spargere la voce?

Non conosco il software nello specifico, ma sul sito della Prevx da te citato viene classificato come SAFE, il fatto di scaricarlo da un link trovato su Facebook non è certo una buona abitudine, se hai specifiche esigenze e desideri reperire un software similare puoi chiedere qui http://www.hwupgrade.it/forum/forumdisplay.php?f=37

La prima parte dice così, forse negli ultmi tempi hanno fatto delle revisioni (come è scritto più sopra, o è in fase di accertamenti) ma se leggi dopo dice che il file di quel tipo è stato visto comportarsi in questo modo:

File Behavior
FLASHCAD_COMPOSER_UP[1].EXE has been seen to perform the following behavior:

This Process Deletes Other Processes From Disk
Executes Processes stored in Temporary Folders
This process creates other processes on disk
Executes a Process
FLASHCAD_COMPOSER_UP[1].EXE has been the subject of the following behavior:

Created as a process on disk
Executed as a Process
Deleted as a process from disk


Si avevo bisogno di un file di quel genere, avevo visto questa inserzioen accanto ad altre conosciute, su facebook, e pensavo di potermi fidare

forse non era chiaro: i comportamenti che riporta non sono quello che dovrebbe fare ma quello che fa come virus, poiché il programma si presente come un programma di arredamento 3d

La prima parte dice così, forse negli ultmi tempi hanno fatto delle revisioni (come è scritto più sopra, o è in fase di accertamenti) ma se leggi dopo dice che il file di quel tipo è stato visto comportarsi in questo modo:

File Behavior
FLASHCAD_COMPOSER_UP[1].EXE has been seen to perform the following behavior:

This Process Deletes Other Processes From Disk
Executes Processes stored in Temporary Folders
This process creates other processes on disk
Executes a Process
FLASHCAD_COMPOSER_UP[1].EXE has been the subject of the following behavior:

Created as a process on disk
Executed as a Process
Deleted as a process from disk


Si avevo bisogno di un file di quel genere, avevo visto questa inserzioen accanto ad altre conosciute, su facebook, e pensavo di potermi fidare

Nessuna revisione è semplicemnte l'analisi comportamentale dei files

forse non era chiaro: i comportamenti che riporta non sono quello che dovrebbe fare ma quello che fa come virus, poiché il programma si presente come un programma di arredamento 3d

Credo sia proprio un software di Rendering per la creazione di ambienti in 3D, ripeto Prevx lo classifica come SAFE ed il fatto che F-Secure abbia rilevato un Virus in una .dll appartenente al programma stesso non vuol dire nulla.

ok, cmq essendo lì uno dei problemi ho deciso di toglierlo, ma sembra non essere andata completamente a buon fine la disinstallazione perché quando vado alla finestra dei programmi inst. mi visualizza ancora il programma e mi dice Invalid unistall control file C:\ Programmi\Flashcad_Composer\irunin.xml.

Domanda: i Dns devo lasciare quelli indicati da voi o devo toglierli, prima di mettere questi ho notato che c'erano quelli incriminati per il dirottamento, quelli che comparivano all'inizio al n. 17 di hjjackthis 85. ... ecc..

Ho installato Avira come riportato nella guida, ho fatto una scansione e sembrerebbe tutto ok, ma la connessione a volte è ancora lenta e da ieri connettersi a internet specialmente nel pomeriggio è diventato quasi impossibile, ogni 5 minuti si spegne, solo di sera regge, credi possa dipendere ancora da qualche malware?

ok, cmq essendo lì uno dei problemi ho deciso di toglierlo, ma sembra non essere andata completamente a buon fine la disinstallazione perché quando vado alla finestra dei programmi inst. mi visualizza ancora il programma e mi dice Invalid unistall control file C:\ Programmi\Flashcad_Composer\irunin.xml.

Domanda: i Dns devo lasciare quelli indicati da voi o devo toglierli, prima di mettere questi ho notato che c'erano quelli incriminati per il dirottamento, quelli che comparivano all'inizio al n. 17 di hjjackthis 85. ... ecc..

Ho installato Avira come riportato nella guida, ho fatto una scansione e sembrerebbe tutto ok, ma la connessione a volte è ancora lenta e da ieri connettersi a internet specialmente nel pomeriggio è diventato quasi impossibile, ogni 5 minuti si spegne, solo di sera regge, credi possa dipendere ancora da qualche malware?

E' opportuno lasciare i DNS indicati in Guida fungono da filtro, onde evitare di contrarre altre fastidiose infezioni, il fatto che la rete sia instabile può dipendere da una serie di fattori non riconducibili ad un virus, anche in funzione del fatto che Avira ha sentenziato che il PC è pulito.

C:\ Programmi\Flashcad-->> elimina la cartella

ti tengo aggiornato su eventuali anomalie, grazie