RISOLTO Malwarebytes segnala continuo accesso a 176.31.229.25

Pubblicità
Stato
Discussione chiusa ad ulteriori risposte.
N

nino_co2

Nuovo Utente
Messaggi
2
Reazioni
0
Punteggio
24
Ciao a tutti,
sono stato colpito anche io. Una ingenuità mi ha creato scompiglio. Le prime azioni sono state la scansione con Security Essential e con Malwarebytes, senza trovare nulla di irregolare. Ho poi notato che i dns della scheda di rete erano stati cambiati e ripristinatili non ho avuto più l'avviso di Mbam.
Sapendo che queste infezioni sono perniciose, ho voluto indagare un po e leggendo i vostri consigli ho:
disabilitato il ripristino;
ripassato il pc anche con TDSSKiller (senza trovare nulla)
installato Combofix e trovato le impostazioni internet cambiate.
Qui allego il log

Ora attendo paziente un aiuto da chi può

Ciao a tutti

Nino
 

Allegati

Salva sul desktop il file in allegato qui in basso (CFScript.txt) sul desktop.
Trascina con il tasto sinistro del mouse il file scaricato sull'icona di combofix a forma di leone rossa.
Attendi le operazioni e il riavvio del pc.

Scarica Hijackthis
IlSoftware.it - HijackThis 2.0.4
Installalo
Tasto destro -> esegui come amministratore
Spunta tutte le 017 che fanno riferimento a quei DNS
spunta sotto su Fix checked.
 

Allegati

tecnico24 ha detto:
Salva sul desktop il file in allegato qui in basso (CFScript.txt) sul desktop.
Trascina con il tasto sinistro del mouse il file scaricato sull'icona di combofix a forma di leone rossa.
Attendi le operazioni e il riavvio del pc.

Scarica Hijackthis
IlSoftware.it - HijackThis 2.0.4
Installalo
Tasto destro -> esegui come amministratore
Spunta tutte le 017 che fanno riferimento a quei DNS
spunta sotto su Fix checked.
Clicca per espandere...

Tutto fatto, se ci sono problemi ti informo.

Grazie per la tua disponibilità.

Nino
 
Anch'io ho avuto lo stesso problema di Nino.
Cliccando su un link per poter vedere un telefilm in streaming, mi son beccata il virus della polizia. Il computer s'è bloccato e mi è venuta fuori una schermata con tutti i dati che già conoscete, ma con una novità: la webcam s'è attivata da sola ed ha iniziato a registrare la mia immagine.
Ho spento il pc, riacceso in modalità provvisoria, eliminato il file infetto seguendo delle istruzioni trovate su uno dei tanti blog online e poi ho riavviato e fatto un ripristino ad una condizione precedente del computer (tre giorni prima dell'accaduto).
Poi ho provato a fare comunque una scansione completa con il mio Antivirus (Avira), ma ho notato che non funzionava come al solito.
Ho chiesto aiuto e mi è stato proposto di installare CureIT e fare una scansione e poi anche Malwarebytes.
Entrambi hanno rilevato dei file dannosi che hanno rimosso.
Ho fatto un'ulteriore scansione con Microsoft Safety Scanner, ma non ha rilevato niente.


Il punto è che, nonostante tutto, Malwarebytes ha continuato a segnalarmi:
"Accesso a sito potenzialmente nocivo bloccato con successo: 176 . 31 . 229 . 25 (le ultime due cifre spesso cambiavano in . 24)
Tipo: in uscita
Porta: 53592 (ma continuava a cambiare)
Processo: svchost.exe"


Con Malwarebytes attivo, non mi era permesso di accedere ad internet con nessun browser.


Oggi ho trovato questa discussione. Ho fatto i controlli dovuti ed ho notato anch'io che i dns della scheda di rete erano stati cambiati. Ho ripristinato i miei (non so come bloccare il ripristino per evitare che vengano reintegrati gli altri).


Ho scaricato Hijackthis e l'ho lanciato. Ho spuntato tutte le 017 che facevano riferimento a quei DNS e poi ho cliccato su Fix checked.
Poi ho riavviato, ho scaricato ed installato Combofix ed ho ottenuto il seguente log:


Non so "leggere" il resoconto, vorrei capire se ho risolto, o cos'altro dovrei fare eventualmente.
 

Allegati

Ciao billie_jean , benvenuto.
Sei pregato di aprire una nuova discussione .
Scarica OTL sul desktop:
http://oldtimer.geekstogo.com/OTL.exe
Avvia OTL.exe

Metti la spunta su SCAN ALL USERS.

Sotto output metti minimal output

Sotto File scans seleziona 60 Days

Spunta sia LOP Check che Purity Check.

premi su RUN SCAN
Al termine verrano rilasciati OTL.txt e Extras.txt

Allegali aprendo una nuova discussione come ti ho detto.
 
In allegato i miei file txt ricavati da OTL... Ho provato con tutti i suggerimenti ma Malware continua a bloccarmi l'accesso ad internet causa sito potenzialmente pericoloso 176.31.229.25... AIUTOOO
 

Allegati

Ciao luigib , benvenuto.

Apri OTL
sotto il box custom scans / fixes
copia ed incolla queste righe in grassetto :
Codice: 
[B]:OTL
PRC - C:\ComboFix\CF3964.3XE ()
PRC - C:\Users\Public\Documents\AppData\PoApp\PService.exe (PService)
PRC - C:\Programmi\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe ()
[/B][B]MOD - C:\Users\bac\AppData\Local\Temp\catchme.dll ()[/B]
[B]MOD - C:\ComboFix\CF3964.3XE ()
[/B][B]MOD - C:\Programmi\AVG Secure Search\vprot.exe ()[/B]
[B]MOD - C:\Programmi\Common Files\AVG Secure Search\DNTInstaller\13.2.0\avgdttbx.dll ()[/B]
[B]MOD - C:\Programmi\Common Files\AVG Secure Search\SiteSafetyInstaller\13.2.0\SiteSafety.dll ()
[/B][B]SRV - (SoftwareUpd) -- C:\Users\bac\AppData\Local\SoftwareUpdater\SoftwareUpdService.exe (SoftwareUpdService)[/B]
[B]SRV - (PowerOffer Service) -- C:\Users\bac\AppData\Local\PosService\Pos.exe (PowerOfferService)[/B]
[B]SRV - (ServUpdater) -- C:\Users\bac\AppData\Local\ServUpdater\ServiceUpd.exe (ServiceUpd)
SRV - (vToolbarUpdater13.2.0) -- C:\Programmi\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe ()
O4 - HKLM..\Run: [PosService] C:\Users\Public\Documents\AppData\PoApp\PLauncher.exe (PLauncher)
[/B][B]O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0684B3F3-6F42-4051-B9A5-63F709031D94}: NameServer = 176.31.229.24,176.31.229.25[/B]
[B]O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{08AE7275-A1D2-4B5F-BA99-0D1018E83CED}: NameServer = 176.31.229.24,176.31.229.25[/B]
[B]O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{371125F9-3CEE-4082-BFB9-5AB012390200}: NameServer = 176.31.229.24,176.31.229.25[/B]
[B]O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{447DA4E9-A778-4076-9A8E-2612FF9406CF}: NameServer = 176.31.229.24,176.31.229.25[/B]
[B]O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A01F6C8C-F7D4-49FB-B458-AFFF52CB6B43}: NameServer = 176.31.229.24,176.31.229.25[/B]
[B]O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A3BB1B5E-4E77-4A5E-B4F6-699EAA9B9203}: NameServer = 176.31.229.24,176.31.229.25[/B]
[B]O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B36AFCA7-3A57-469F-9656-3563DBCE4D40}: NameServer = 176.31.229.24,176.31.229.25[/B]
[B]O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{CA970207-130C-4DA2-9FEF-A44B3717C0F4}: NameServer = 176.31.229.24,176.31.229.25[/B]
[B]O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 176.31.229.24,176.31.229.25[/B]
[B]O33 - MountPoints2\{229835e1-daf8-11e0-8b30-1c7508e58933}\Shell - "" = AutoRun[/B]
[B]O33 - MountPoints2\{229835e1-daf8-11e0-8b30-1c7508e58933}\Shell\AutoRun\command - "" = D:\AutoRun.exe[/B]
[B]O33 - MountPoints2\{448f362f-d7ed-11e0-91d6-1c7508e58933}\Shell - "" = AutoRun[/B]
[B]O33 - MountPoints2\{448f362f-d7ed-11e0-91d6-1c7508e58933}\Shell\AutoRun\command - "" = D:\AutoRun.exe[/B]
[B]O33 - MountPoints2\{50d9d199-fe5e-11e0-934f-68a3c40b6ce4}\Shell - "" = AutoRun[/B]
[B]O33 - MountPoints2\{50d9d199-fe5e-11e0-934f-68a3c40b6ce4}\Shell\AutoRun\command - "" = D:\setup_vmb_lite.exe /checkApplicationPresence[/B]
[B]O33 - MountPoints2\{50d9d1de-fe5e-11e0-934f-1c7508e58933}\Shell - "" = AutoRun[/B]
[B]O33 - MountPoints2\{50d9d1de-fe5e-11e0-934f-1c7508e58933}\Shell\AutoRun\command - "" = D:\setup_vmb_lite.exe /checkApplicationPresence[/B]
[B]O33 - MountPoints2\{672684b3-291d-11e2-9d60-72a3c40b6ce4}\Shell - "" = AutoRun[/B]
[B]O33 - MountPoints2\{672684b3-291d-11e2-9d60-72a3c40b6ce4}\Shell\AutoRun\command - "" = D:\LaunchU3.exe -a[/B]
[B]O33 - MountPoints2\{7cef5395-d586-11e0-8c6b-1c7508e58933}\Shell - "" = AutoRun[/B]
[B]O33 - MountPoints2\{7cef5395-d586-11e0-8c6b-1c7508e58933}\Shell\AutoRun\command - "" = D:\AutoRun.exe[/B]
[B]O33 - MountPoints2\{95580ffa-02fc-11e1-91eb-1c7508e58933}\Shell - "" = AutoRun[/B]
[B]O33 - MountPoints2\{95580ffa-02fc-11e1-91eb-1c7508e58933}\Shell\AutoRun\command - "" = D:\AutoRun.exe[/B]
[B]O33 - MountPoints2\{ddd019be-0f07-11e1-baff-1c7508e58933}\Shell - "" = AutoRun[/B]
[B]O33 - MountPoints2\{ddd019be-0f07-11e1-baff-1c7508e58933}\Shell\AutoRun\command - "" = D:\AutoRun.exe[/B]
[B]O33 - MountPoints2\{e52c9189-f95e-11e0-ab87-68a3c40b6ce4}\Shell - "" = AutoRun[/B]
[B]O33 - MountPoints2\{e52c9189-f95e-11e0-ab87-68a3c40b6ce4}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a[/B]
[B]O33 - MountPoints2\{fd8cf768-d607-11e0-909f-806e6f6e6963}\Shell - "" = AutoRun[/B]
[B]O33 - MountPoints2\{fd8cf768-d607-11e0-909f-806e6f6e6963}\Shell\AutoRun\command - "" = D:\AutoRun.exe[/B]
[B]O33 - MountPoints2\D\Shell - "" = AutoRun[/B]
[B]O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\LaunchU3.exe -a

:Files
C:\Users\bac\AppData\Local\PosService
C:\Users\bac\AppData\Local\PowerOffer
C:\Users\bac\AppData\Local\ServUpdater
C:\Users\Public\Documents\AppData\PoApp
C:\Users\bac\AppData\Local\Lollipop
C:\Users\bac\AppData\Roaming\EmoticoonsToolbar
C:\Users\bac\AppData\Local\SoftwareUpdater
C:\Users\bac\AppData\Local\unins000.exe
C:\Users\bac\AppData\Local\unins000.dat
[/B][B]ipconfig /flushdns /c[/B]
[B]netsh int ip reset c:\resetlog.txt /c[/B]

[B]:reg[/B]
[B][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command][/B]
[B]""=""%1" %*" [/B]

[B]:commands[/B]
[B][purity][/B]
[B][emptytemp][/B]
[B][RESETHOSTS][/B]
[B][EMPTYFLASH][/B]
[B][CLEARALLRESTOREPOINTS][/B]
[B][Reboot][/B]

Clicca sul pulsante
2eejtxj.jpg

Aspetta le operazioni senza interferire
Aspetta il riavvio del pc
Al ritorno ti apparirà un report , salvalo e postalo qui allegandolo o tramite Wikisend: free file sharing service

Verifica se Malwarebytes te lo segnala ancora.
 
In allegato il resoconto... Ora Malware non mi segnala più niente e il PC si connette ad internet normalmente... Infinitamente grazie, mi piacerebbe sapere come hai fatto ma penso che sia abbastanza fuori dai miei target di conoscenza..:-)) Devo fare qualcos'altro??
 

Allegati

  • 1234.txt
    1234.txt
    11.3 KB · Visualizzazioni: 409
Abbiamo finito.
Apri OTL e clicca su cleanup , si disinstallerà correttamente.
Ciao :)
 
ciao anche io ho avuto lo stesso problema ho seguito le indicazioni date da tecnico24 con OTL e vi allego i file...se gentilmente mi potreste aiutare a risolvere... grazie mille :D

- - - Updated - - -

Visualizza allegato Extras.Txt

- - - Updated - - -

quando provo a carica l altro file mi diche che non ho il permesso per eseguire l azione e mi slogga dal forum.... ho provato piu volte.... :S
 
steroma30x ha detto:
ciao anche io ho avuto lo stesso problema ho seguito le indicazioni date da tecnico24 con OTL e vi allego i file...se gentilmente mi potreste aiutare a risolvere... grazie mille :D

- - - Updated - - -

Visualizza allegato 41837

- - - Updated - - -

quando provo a carica l altro file mi diche che non ho il permesso per eseguire l azione e mi slogga dal forum.... ho provato piu volte.... :S
Clicca per espandere...
Caricalo su WikiFortio - Wikifortio
 
il mio problema non riguarda la connessione internet...il pc si collega benissimo..ma mi hanno suggerito che sia un virus... ho fatto la scansione con hijackthis... e mi segnalava quell indirizzo ip con puno interrogativo...ho provato a scansionare con malware bytes ma non mi trova niente...e poi ho fatto la procedura con OTL pero non mi fa allegare il file OTL.Txt non so perchè mentre l altro come potete vedere è gia allegato...in definitiva...ho un virus?? oppure no?? perche all accensione del pc stamattina mi appariva una finestrella con scritto ACCESS VIOLATION e la chiudevo...ma la finestrella si riapriva e si moltiplicava..ho riavviato il pc e non è piu apparsa...per questo ho fatto quelle scansioni.....mi potreste rispondere perfavore???

- - - Updated - - -

http://www.wikifortio.com/732012/OTL.Txt eccolo grazie :D


- - - Updated - - -

a me non lo segnalava malware bytes questo accesso..ma hijackthis...pero un amico mi ha detto che sicuramente ho preso un virus...non ci capisco molto sinceramente...pero non vorrei formattare...a meno che non sia necessario...che mi consigli???

- - - Updated - - -

steroma30x ha detto:
il mio problema non riguarda la connessione internet...il pc si collega benissimo..ma mi hanno suggerito che sia un virus... ho fatto la scansione con hijackthis... e mi segnalava quell indirizzo ip con puno interrogativo...ho provato a scansionare con malware bytes ma non mi trova niente...e poi ho fatto la procedura con OTL pero non mi fa allegare il file OTL.Txt non so perchè mentre l altro come potete vedere è gia allegato...in definitiva...ho un virus?? oppure no?? perche all accensione del pc stamattina mi appariva una finestrella con scritto ACCESS VIOLATION e la chiudevo...ma la finestrella si riapriva e si moltiplicava..ho riavviato il pc e non è piu apparsa...per questo ho fatto quelle scansioni.....mi potreste rispondere perfavore???

- - - Updated - - -

http://www.wikifortio.com/732012/OTL.Txt eccolo grazie :D


- - - Updated - - -

a me non lo segnalava malware bytes questo accesso..ma hijackthis...pero un amico mi ha detto che sicuramente ho preso un virus...non ci capisco molto sinceramente...pero non vorrei formattare...a meno che non sia necessario...che mi consigli???
Clicca per espandere...



ma non mi rispondete piu????
 
Ciao.
Il tuo pc è infetto anche da ZeroAccess.
Disattiva l'antivirus e il firewall
apri fix.txt che ti ho allegato qui in basso
Apri OTL
copia tutto il contenuto del file fix.txt sotto custom scans/fixes di OTL
clicca in alto su RUN FIX
posta il report che ti appare.
 

Allegati

  • fix.txt
    fix.txt
    2.1 KB · Visualizzazioni: 246
ok grazie :D :D

- - - Updated - - -

tecnico24 ha detto:
Ciao.
Il tuo pc è infetto anche da ZeroAccess.
Disattiva l'antivirus e il firewall
apri fix.txt che ti ho allegato qui in basso
Apri OTL
copia tutto il contenuto del file fix.txt sotto custom scans/fixes di OTL
clicca in alto su RUN FIX
posta il report che ti appare.
Clicca per espandere...


ok ora te lo posto qui...ho fatto...pero aspetta...tu hai detto: affetto anche da ZeroAccess...quindi anche da altro è affetto?? cmq grazie mille per il tuo aiuto :D
http://www.wikifortio.com/373015/12232012_144307.log
l ho messo qua perche essendo un log non me lo caricava :D

- - - Updated - - -

che ne pensi??? è pulito ora?'' cmq strano che malware bytes non lo rilevi....è abbastanza complesso questo trojan...
 
Stato
Discussione chiusa ad ulteriori risposte.
Pubblicità
Pubblicità
Indietro
Top