Toggle sidebar Toggle sidebar

PROBLEMA Infezione svchost.exe ... con IP 91.212.124.159

L

Luigi Doronzo

Nuovo Utente
3
0
Ciao ragazzi ...sono nuovo....
premetto che ad ogni virus me la sono cavata a rimuoverlo...ma questo ancora niente....

Ho seguito la guida: http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html
li ho scaricati tutti...fatte scansioni ma anche loro da quello che ho capito non trovano niente...

Vi posto i link dei vari file log... e dell'immagine del mio problema...

Attendo risposte

http://wikisend.com/download/281464/log.txt (Combofix)

(AdwCleaner)
http://wikisend.com/download/449668/AdwCleaner[R0].txt
http://wikisend.com/download/797444/AdwCleaner[S0].txt

(OTL by oldtimer)
Wikisend: free file sharing service
Wikisend: free file sharing service

Wikisend: free file sharing service (screen dell'avviso che mi esce ogni 1/2 minuti a monitor)
 
Ultima modifica:
S

SpaceSpace

Utente Attivo
8
0
CPU
Intel Core 2 Quad Q6600
Scheda Madre
Asus P5Q Deluxe
HDD
2,5 TB
RAM
Ram Pc-6400 Kingston 2GBx2
GPU
Sapphire HD 6850
Audio
Creative X-FI Gamer Fatal1ty Pro
Monitor
LG M227WDF
PSU
Cooler Master 750 Watt modulare
Case
Cooler Master Elite 330
OS
Windows 7 64 bit
è un servizio attivo che manda segnali in uscita. Fai molta attenzione perchè quell'ip è segnato come phishing ed è ip Ucraino. Controlla nei servizi in avvio se c'è qualcosa che non conosci o che ti sembra sospetto. Se non riesci a trovarlo allora chiudi i servizi e poi riaccendili uno ad uno. Puoi usare services.msc da"Esegui" (tasto WIN+R) per avere una lista completa dei servizi oppure se vuoi quelli in avvio e basta puoi controllare in Pannello di controllo-->Strumenti di amministrazione-->Configurazione di sistema. Controlla anche le applicazioni in avvio.
 
G

Gian Andrea Casavecchia

Nuovo Utente
5
0
Controllate i router ne ho già trovati 2 vulnerabili (un TPLink ed uno Zyxel) e il problema è nella vulnerabilità chiamata Misfortune Cookie ...

Questi router vengono bucati e vengono modificate le impostazioni di rete per consentire loro di "deviare" il traffico su specifici siti per adulti o per rubare dati: nei casi che mi sono capitati (stesso IP ucraino del topic) il traffico veniva "deviato" su un sito chiamato adultcameras ma non è detto che ci fosse altro dietro.

Per uno dei due router ho risolto aggiornando il firmware e sull'altro ancora non esiste patch...

in tutti e due i casi, comunque, i PC non avevano contratto alcuna infezione: tenete presente che su uno dei due il problema si è presentato con Windows appena installato (non avevo nemmeno installato i driver della scheda video :) )

In sostanza il servizio svchost.exe (la parte che si occupa del DHCP client - perché quell'eseguibile richiama molti altri servizi di rete e non) fa il suo dovere, ossia va a chiedere l'IP al router: il problema è a monte.

Considerate pure che su uno dei due router, oltre ad aver "imposto" questo DNS nella configurazione di rete che i PC ricevono tramite DHCP, addirittura è stata modificata la password di admin in modo da non poter accedere per modificare o visualizzare le impostazioni ed è stato rimosso il DHCP dalla porta Ethernet... sono milioni i dispositivi vulnerabili (http://mis.fortunecook.ie/misfortune-cookie-suspected-vulnerable.pdf)

In ultima analisi ho anche fatto delle verifiche con 2 smartphone e anche loro "prendevano" lo stesso DNS: impossibile in caso di un'infezione localizzata sul PC.

Spero le info vi siano utili...
 
Ultima modifica:
Devi accedere o registrarti per rispondere qui.

Entra

Hai dimenticato la password?
oppure Accedi utilizzando
Discord Ufficiale Entra ora!