Spesso, facendo la scansione con Spybot, mi ritrovo all'interno del registro di sistema sta cosa: Zlob.DNS.Changer. Ma che cos'è?
Spesso, facendo la scansione con Spybot, mi ritrovo all'interno del registro di sistema sta cosa: Zlob.DNS.Changer. Ma che cos'è?
E' un malware che spybot non riesce ad eliminare.per eliminarlo,scaricati hijackthis da qui---> http://www.angololibero.it/software/...ijackthis.html
avvialo,clicca su do a system scan and save logfile,fara una piccola scansione,uscira un blocco note con delle scritte,riporta tutto qui con un copia|incolla.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.38.07, on 03/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\SlipStream Web Accelerator\slipcore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\SlipStream Web Accelerator\slipgui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\mobile PhoneTools\mPhonetools.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:5400
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\SlipStream Web Accelerator\PBHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: SlipStream Web Accelerator - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\Programmi\SlipStream Web Accelerator\Toolband.dll
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\SlipStream Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe "
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: delcookiexp.cmd
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: SlipStream Web Accelerator.lnk = C:\Programmi\SlipStream Web Accelerator\slipgui.exe
O8 - Extra context menu item: Mostra immagine originale - res://C:\Programmi\SlipStream Web Accelerator\gui_resource.dll/328
O8 - Extra context menu item: Mostra tutte le immagini originali - res://C:\Programmi\SlipStream Web Accelerator\gui_resource.dll/327
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FEDDE13-BD24-468D-A73C-A59F32394BBD}: NameServer = 85.255.114.8 85.255.112.189
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
--
End of file - 4145 bytes
avvia hijackthis,spunta a sinistra su queste voci:
O4 - Startup: delcookiexp.cmd
O8 - Extra context menu item: Mostra immagine originale - res://C:\Programmi\SlipStream Web Accelerator\gui_resource.dll/328
O8 - Extra context menu item: Mostra tutte le immagini originali - res://C:\Programmi\SlipStream Web Accelerator\gui_resource.dll/327
e clicca sotto su FIX CHECKED.
questo lo conosci?
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FEDDE13-BD24-468D-A73C-A59F32394BBD}: NameServer = 85.255.114.8 85.255.112.189
se non lo conosci aggiungilo tra le voci che vanno fixate.
dimmi se hai risolto.
85.255.114.8
org-name: INHOSTER
address: OOO Inhoster
address: Poltavskij Shliax 24, Xarkov,
address: 61000, Ukraine
address: OOO Inhoster,
address: ul.Antonova 5, Kiev,
address: 03186, Ukraine
address: 01110, Ukraine, Kiev, 20� Solomenskaya street. room 201.
address: UA
mi pare che non sia sicuro, fixa anche questa voce...
il malware che avevi, diciamo che ti reidirizzava a siti maligni....
ohh ma 6 matto ??? quella voce si tratta del collegamento internet verso il server !!!
se lo elimini non ti funziona + internet ....
bo sei hai un server ucraino... :master:
oddio, ememe
Allora vi spiego, Zlob.DNS.Changer è un dialer local internet ovvero un soft. che dirotta la connessione verso dei numeri a pagamento ...
Nel og file ci decve essere per forza una traccia. Rifai la scansione con hjk in modalità provvisoria solo dopo aver fatto queste cose che ti dico io:
1) Avviare in modalità provvisoria il PC, avviare il programma AVG Anti-Spyware (www.filehippo.com), clic su scanner, clic su scansione completa del sistema e attendere la scansione che sia completa. Clic su Applica tutte le operazioni.
2)A Squared Antidialer è un utile tool freeware distribuito dalla Emsisoft per proteggere il sistema dai dialer. Oltre a bloccare connessioni non autorizzate dispone di un motore di scansione per scovare ed eliminare i dialer già presenti nel sistema. Scaricalo da qualche parte è avvia una scansione in modalità provvisoria.
3)Scaricare da www.filehippo.com il software Spyboth Search & Destroy.
Installarlo nel PC. Avviare il software, Aggiornamenti, Cerca Aggiornamenti, attendere che sul rettangolo sotto compaiano degli aggiornamenti, selezionari tutti con una spunta, clic su Scarica Aggiornamenti, attendere lo scaricamento, apparirà il prompt dei comandi, non cliccare su nulla e questo scomparirà da solo.
Avviare in MOD Provvisoria. Avviare il programma, clic su Search & Destroy, clic su Avvia scansione. Attendere lo scan, clic su Correggi Problemi,clic OK o si, attendere la finestra che dice "num. problemi corretti".
Clic su Immunizza, attendere scansione, appare una finestra che dice di Immunizzare, clic su OK, clic sul pulsante Immunizza. Attendere e i prodotti nocivi saranno bloccati.
Sempre in MOD PROVV fai una scansione con hjk e metti il log quì sotto.
credi di essere l'unico a sapere che cosa è un dialer???Originariamente inviato da myhouse
oddio, ememe
Allora vi spiego, Zlob.DNS.Changer è un dialer local internet ovvero un soft. che dirotta la connessione verso dei numeri a pagamento...
vorrei solo dire che ci sarà smepre qualcuno che sa più di te...quindi spiega un pochino più cortesemente...
caro l'importante non è sapere cosa è un dialer, ma saperlo debellare ...
con le tecniche che ho detto io il dialer è tolto ...
Poi non mi sembra che hai fatto un bel lavoro dando quei consigli perchè non è che si elimina un qualsiasi malware solo togliendo la voce da hjk...
Non è una critica ...
Permessi di invio
Rispondi quotando