Virus che mi cambia il DNS forzatamente!

[Omnhio]

Salve a tutti, ho un problema piuttosto grave con il mio computer. Praticamente non riesco ad accedere ad internet (ora sto su un altro pc) perchè c'è una specie di virus che mi cambia continuamente l'indirizzo DNS in 85.255.112.155! Ho provato a metterlo in automatico, in manuale, ma niente...quando faccio OK sulla schermata di configurazione e poi la riapro, eccolo che riappare quell'indirizzo! Anche dal registro di sistema se provo a modificare la voce NameServer e dò OK, aggiorno e rieccolo che torna una frazione di secondo dopo quel maledetto indirizzo!

Qualcuno conosce che virus è?

[pigro85]

Quote:

Originariamente inviato da Omnhio

Salve a tutti, ho un problema piuttosto grave con il mio computer. Praticamente non riesco ad accedere ad internet (ora sto su un altro pc) perchè c'è una specie di virus che mi cambia continuamente l'indirizzo DNS in 85.255.112.155! Ho provato a metterlo in automatico, in manuale, ma niente...quando faccio OK sulla schermata di configurazione e poi la riapro, eccolo che riappare quell'indirizzo! Anche dal registro di sistema se provo a modificare la voce NameServer e dò OK, aggiorno e rieccolo che torna una frazione di secondo dopo quel maledetto indirizzo!

Qualcuno conosce che virus è?

Ho lo stesso problema, se faccio una scansione con antivir dice che il sistema è pulito.
Ho provato anche a fare una scansione sul disco da un altro pc.
Non riesco a capire da cosa dipende

[wjmat]

Quote:

Originariamente inviato da Omnhio

Salve a tutti, ho un problema piuttosto grave con il mio computer. Praticamente non riesco ad accedere ad internet (ora sto su un altro pc) perchè c'è una specie di virus che mi cambia continuamente l'indirizzo DNS in 85.255.112.155! Ho provato a metterlo in automatico, in manuale, ma niente...quando faccio OK sulla schermata di configurazione e poi la riapro, eccolo che riappare quell'indirizzo! Anche dal registro di sistema se provo a modificare la voce NameServer e dò OK, aggiorno e rieccolo che torna una frazione di secondo dopo quel maledetto indirizzo!

Qualcuno conosce che virus è?

Ciao benvenuto nel pronto soccorso di HU.

Per ripulire completamente il pc segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, e secondo le modalità .

Leggi bene tutto questo post, e salvo problemi gravi, arriverai in fondo alla guida in perfetta autonomia

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner, vogliamo necessariamente in ordine e anche se non è stato rilevato nulla:

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria, se non bastasse nemmeno così prova con il rescue cd di avira, a fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM, anche una memoria RAM con qualche giorno di vita può essere la causa di tutti i mali...

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log, qui e qui esempi precisi ed ordinati di come vorremmo tu li caricassi.

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube.com, imageshack

[wjmat]

Quote:

Originariamente inviato da pigro85

Ho lo stesso problema, se faccio una scansione con antivir dice che il sistema è pulito.
Ho provato anche a fare una scansione sul disco da un altro pc.
Non riesco a capire da cosa dipende

ciao

vedi consiglio sopra

[pigro85]

Ho appena visto che in una chiave di registro nameserver tiene salvato l'ip del dns che reimposta in automatico.
Faccio altre prove.

[pigro85]

Quote:

Originariamente inviato da wjmat

ciao

vedi consiglio sopra

Ho gia fatto con malwarebytes e con avira, ho notato da msconfig che mi avvia un kdoyc.exe c:\\Windows\system32\.
La cosa che non capisco e se tolgo il flag per l'avvio lui lo reimposta e se cerco in c:\\Windows\system32\ non esiste

[wjmat]

Quote:

Originariamente inviato da pigro85

Ho gia fatto con malwarebytes e con avira, ho notato da msconfig che mi avvia un kdoyc.exe c:\\Windows\system32\.
La cosa che non capisco e se tolgo il flag per l'avvio lui lo reimposta e se cerco in c:\\Windows\system32\ non esiste

i file nascosti sono visualizzabili?
segui la guida altrimenti con le rimozioni manuali non ne esci più

[nlucchetti]

Ho lo stesso problema e non riesco a risolverlo.
Ho controllato e il file che parte in automatico non esiste.
Se viene disattivato da esecuzione automatica, viene ricreato.
Con il REGMON, si nota che la connessione di rete va ha cercare di continuo un DHCP, va in BUFFER OVERFLOW e riparte a cercare... questo di continuo.
I dati vengono presi dal registro, cancellandoli vengono ricreati.

Ci deve essere un servizio, DLL, file da qualche parte ma non riesco a trovarli.

Se avete delel idee, fatevi avanti.

Grazie

[wjmat]

ciao
segui quanto già richiesto qui
http://www.hwupgrade.it/forum/showpo...89&postcount=3

[pigro85]

Quote:

Originariamente inviato da wjmat

ciao
segui quanto già richiesto qui
http://www.hwupgrade.it/forum/showpo...89&postcount=3

Io comunque alla fine credevo di essere riuscito a rimuovere l'infezione (apparentemente), alla fine ho preferito formattare il PC visto che mi stava impiegando più tempo di quello che avevo a disposizione.
Seguire la trafila, diciamo che non ha portato a nessun risultato (almeno nel mio caso)

[wjmat]

Quote:

Originariamente inviato da pigro85

Io comunque alla fine credevo di essere riuscito a rimuovere l'infezione (apparentemente), alla fine ho preferito formattare il PC visto che mi stava impiegando più tempo di quello che avevo a disposizione.
Seguire la trafila, diciamo che non ha portato a nessun risultato (almeno nel mio caso)

non avendo visto log non possiamo sapere come era veramente messo il pc...e a volte sono necessari altri tool per delle infezioni specifiche

Ti consiglio di leggere il trattamento di prevenzione / post disinfezione per proteggere al meglio il tuo "nuovo" pc
ciao

[wakko_kid]

Quote:

Originariamente inviato da Omnhio

Salve a tutti, ho un problema piuttosto grave con il mio computer. Praticamente non riesco ad accedere ad internet (ora sto su un altro pc) perchè c'è una specie di virus che mi cambia continuamente l'indirizzo DNS in 85.255.112.155! Ho provato a metterlo in automatico, in manuale, ma niente...quando faccio OK sulla schermata di configurazione e poi la riapro, eccolo che riappare quell'indirizzo! Anche dal registro di sistema se provo a modificare la voce NameServer e dò OK, aggiorno e rieccolo che torna una frazione di secondo dopo quel maledetto indirizzo!

Qualcuno conosce che virus è?

Soluzione temporanea, buona per aggiornare gli antivirus e tutto il resto:

start->pannello di controllo->strumenti amministrazione->servizi
disabilita DNS client e setta avvio Disabilitato.

Questo ti permette di navigare con gli ultimi DNS che imposti, prevenendone la continua modifica. Occhio che non hai tolto il virus, gli hai solo tolto la capacità di modificare i dns.

tra i virus possibili:
-Mangania
-Obfuscated AAX
-TrojanSX/DNSChanger.* e varianti (compresa una per MacOsX)

Una volta ripulito il tutto, prima di riabilitare i DNS, cancellanela cache.

Prendi in considerazione il passare a Linux :-)

[andrewbs]

Ciao a tutti!
Prima volta qui,portate pazienza...
Finalmente ho trovato un post che mi possa aiutare!
Anche io da giorni ho il problema dell'antivirus che non aggiorna e di siti che non si aprono(antivirus e microsft).Ho avuto conferma del fatto che fosse un virus grazie al mio vecchio portatile dove ho installato Ubuntu dove tutti siti sono perfettamente visionabili.
seguendo le indicazioni dell'ultimo post sono riuscito ad aggiornare Avg ma ora mi chiedo come posso ripulire il mio sistema visto che avg non mi da' nessun tipo di virus presente?
seguo la guida indicata sopra?
qualcuno ha risolto definitivamente?
grazie!
Andrea

[wjmat]

ciao

segui quanto già detto qui
http://www.hwupgrade.it/forum/showpo...89&postcount=3

[Bilancino]

Anche il mio portatile ha questo problema e non posso usare il rispristino perchè svuotato di recente in ogni caso per tamponare il problema ho disabilitato da pannello di controllo-> strumenti di amministazione ->servizi la voce client dns.

In questo modo ogni sito per la sicurezza è raggiungibile. I vari antispyware e antivirus non rivelano nulla perchè forse un file di sistema è compromesso e non viene visto come un virus.....molto subdolo....

Ciao

[xcdegasp]

Quote:

Originariamente inviato da Bilancino

Anche il mio portatile ha questo problema e non posso usare il rispristino perchè svuotato di recente in ogni caso per tamponare il problema ho disabilitato da pannello di controllo-> strumenti di amministazione ->servizi la voce client dns.

In questo modo ogni sito per la sicurezza è raggiungibile. I vari antispyware e antivirus non rivelano nulla perchè forse un file di sistema è compromesso e non viene visto come un virus.....molto subdolo....

Ciao

basta mettere nel parametro dns server l'ip del router così si evitano problemi, poi installare un buon firewall tipo OnlineArmor-Free o Comodo-Firewall e usare sempre un account limitato