virus in memoria

[tanj]

ciao a tutti. Spero che possiate essermi d'aiuto!! Vi espongo il mio problema:il virus Downloader.DNSChanger!!!
Questo virus bastardo e fastidioso mi indirizza su link sconosciuti quando premo sui risultati della ricerca di google. Quando eseguo la scansione della memoria con AVG AS me lo rivela come:

[1084] VM_009D0000 Downloader.DNSChanger
[260] VM_00DA0000 Downloader.DNSChanger
[284] VM_00C40000 Downloader.DNSChanger
[844] VM_00A30000 Downloader.DNSChanger

successivamente eseguo l'operazione consigliata(quarantena) pare che effettua l'operazione ma quando ritorno su google c'è sempre lo stesso problema.

sembra sia un virus che s'inserisce nella memoria, o almeno credo! Potete consigliarmi come faccio a sbarazzarmene???

[OYS]

Posta un log di hijackthis

[tanj]

scusa potresti essere un pò più chiaro...

[P4nico]

Originariamente inviato da P4nico
Parole di "tiratardi" per fare piu in fretta :

Scarica HijackThis e "scompattalo" nella cartella C:Programmi/, aprilo e fai Do a system scan and save a logfile (prima ti chiederà di fare il backup te cliccka OK)...una volta che finesce lo scan posta il log nella sezione che ti ho detto prima...(la scansione la devi fare con tutti i programmi chiusi, compreso connessione Internet e antivirus)

Facci sapere.

GL

[OYS]

HijackThis

[tanj]

spero sia questo il risultato di ciò che mi avete chiesto...e poi?


Logfile of HijackThis v1.99.1
Scan saved at 22.41.22, on 05/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\Antonio\IMPOST~1\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: (no name) - {EFB5DC7B-F40C-4AA4-B036-290557AB3A2F} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SpywareBot] C:\Programmi\SpywareBot\SpywareBot.exe -boot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServicesOnce: [1] C:\WINDOWS\system32\RegSvr32.exe /s C:\WINDOWS\system32\BCHal.dll
O4 - HKLM\..\RunServicesOnce: [2] C:\WINDOWS\system32\RegSvr32.exe /s C:\WINDOWS\system32\BlstCtrl.dll
O4 - HKLM\..\RunServicesOnce: [3] C:\WINDOWS\system32\RegSvr32.exe /s C:\WINDOWS\system32\BCInfo.dll
O4 - HKLM\..\RunServicesOnce: [4] C:\WINDOWS\system32\RegSvr32.exe /s C:\WINDOWS\system32\BCMon.dll
O4 - HKLM\..\RunServicesOnce: [5] C:\WINDOWS\system32\RegSvr32.exe /s C:\WINDOWS\system32\BCColor.dll
O4 - HKLM\..\RunServicesOnce: [6] C:\WINDOWS\system32\RegSvr32.exe /s C:\WINDOWS\system32\BCDesk.dll
O4 - HKLM\..\RunServicesOnce: [20] C:\WINDOWS\system32\RegSvr32.exe /s C:\WINDOWS\system32\BCPref.dll
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpywareBot] C:\Programmi\SpywareBot\SpywareBot.exe -boot
O4 - Startup: Ubisoft register.lnk = C:\Programmi\Ubisoft\Register\schedule.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Alice - {4AECDCA3-E580-4449-AF09-ACCF730EC5E9} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.yeak.net
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E3301C4-C91C-4427-8E44-CBA2F99BBAFD}: NameServer = 85.255.113.131,85.255.112.74
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.131 85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.131 85.255.112.74
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe (file missing)
O23 - Service: Creative NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[OYS]

E adesso eliminiamo tutte ste schifezze: seleziona questi e fai fix checked

O4 - HKLM\..\Run: [SpywareBot] C:\Programmi\SpywareBot\SpywareBot.exe -boot

O4 - HKCU\..\Run: [SpywareBot] C:\Programmi\SpywareBot\SpywareBot.exe -boot

O15 - Trusted Zone: www.master69.biz

O15 - Trusted Zone: www.sgrunt.biz

O15 - Trusted Zone: www.yeak.net


Scarica e fai andare KillSgrunt

Conosci l'organizzazione INHOSTER?

[tanj]

purtroppo dopo aver eliminato i file che mi sono stati postati il problema sussiste ancora.
ho scaricato anche killsgrunt ma dopo che lo faccio partire il computer si blocca!questo però è un problema che non dipende dal programmino bensì dal mio computer che spesso e volentieri, e non sono mai riuscito a capire perchè,s'impalla o a volte anche peggio si spegne e si riaccendo da solo.
Mi succede sempre quando eseguo delle scansioni con gli antvirus(non con il nod32 però e non capisco perchè) e spesso quando ho diverse applicazioni in esecuzione. Ma questo è un altro problema.
Ritornando al nostro caso spero mi riusciate ad aiutare ulteriormente altrimenti un modo per evitare questo inconveniente ce l'ho:salvo i link su Preferiti e da lì apro la pagina internet.
voglio comunque ringraziarvi per la disponibiltà.

[tanj]

dopo qualche tentativo ho fatto andare killsgrunt ma non ha rilevato nessun tipo di problema.
non è che c'è bisogno di eliminare qualche altro file da quelli elencati nel log di hijackthis??

[OYS]

Quali sono le voci che ti ricompaiono?
Se sono queste, killSgrunt è stato creato apposta per eliminarle!:

O15 - Trusted Zone: www.master69.biz

O15 - Trusted Zone: www.sgrunt.biz


(fai una scansione in modalità provvisoria)


Nel log non ci sono altre cose dannose da fixare... Se propio vuoi puoi fixare queste che sono inutili:

O2 - BHO: (no name) - {EFB5DC7B-F40C-4AA4-B036-290557AB3A2F} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)

O9 - Extra button: Alice - {4AECDCA3-E580-4449-AF09-ACCF730EC5E9} - http://gw.aliceadsl.it/alice (file missing) (HKCU)

Se vuoi un consiglio cambierei avg con antivir