Precedente :: Successivo |
Autore |
Messaggio |
nikman Eroe in grazia degli dei

Registrato: 22/04/08 15:54 Messaggi: 158
|
Inviato: 25 Gen 2012 14:52 Oggetto: pishing |
|
|
ciao, aprendo il sito della banca dopo aver effettuato il login mi appare una finestra in cui mi chiede di inserire dati vari e dopo aver sentito la banca mi assicuravano che si tratta di pishing; dopo aver effettuato la scansione con malwarebytes prima e avira dopo sono stati trovati vari file infetti tra troyan e malware ma al riavvio il problema si ripresentava: posto i file di malwarebytes, combofix e otl; inoltre si avverte che qualcosa non va dal fatto ke all'avvio le icone appaiono dopo diversi secondi dallo sfondo del desktop e che combofix ci ha messo piu di 1 ora per generare il file.
mbam-log-2012-01-24 (18-55-42).txt
ComboFix.txt
OTL.Txt
Extras.Txt
Un grazie anticipato a chi vorrà provare a risolvere il problema |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 25 Gen 2012 19:03 Oggetto: |
|
|
Ciao.
Come primo consiglio, visto il tipo di infezione, è quello di cambiare TUTTE le password che ci sono in quel pc.
Ovviamente, compresa quella del login della tua banca.
Questa infezione, è specializzata nel rubare password.
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
Codice: | ClearJavaCache::
KillAll::
DirLook::
c:\documents and settings\Angelo\Dati applicazioni\Fono
c:\documents and settings\Angelo\Dati applicazioni\DDMSettings
File::
c:\documents and settings\Angelo\Dati applicazioni\Pym\iwakixu.exe
Folder::
c:\documents and settings\Angelo\Dati applicazioni\Tyy
c:\documents and settings\Angelo\Dati applicazioni\Pym
c:\documents and settings\Angelo\Dati applicazioni\Maawl
C:\Documents and Settings\LocalService\Dati applicazioni\AVG7
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{2C5233BE-1004-1698-4C76-82886AAED6A7}"=-
SecCenter::
{00000000-EE24-0012-4A53-927CA4101600}
{006E0069-0053-0078-5300-5C0000004100}
{00000002-0002-0000-7C25-9E7C08000A00}
{7C925FAC-DBF8-7FFD-302F-250000000000}
7C925FAC-EBF8-7FFD-302F-250000000000}
{7C925FAC-FBF8-7FFD-302F-250000000000}
{00000000-0000-0000-0000-000000000000}
{00000000-0715-0000-08F2-12003094807C}
|
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Se il pc non si riavvia da solo, riavvialo tu.
Posta il log aggiornato di combofix.
Poi:
Esegui un'altra scansione con OTL.
Posta il log. |
|
Top |
|
 |
nikman Eroe in grazia degli dei

Registrato: 22/04/08 15:54 Messaggi: 158
|
Inviato: 25 Gen 2012 22:46 Oggetto: |
|
|
si certo avevo già programmato di cambiare le password in primis quella della banca cmq ti posto come richiesto i log:
ComboFix.txt
OTL.Txt |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 26 Gen 2012 19:50 Oggetto: |
|
|
Alcune cartelle non sono state eliminate.
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
Codice: | :OTL
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programmi\DivX\DivX Player\npDivxPlayerPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1: C:\PROGRA~1\Yahoo!\Common\npyaxmpb.dll File not found
O3 - HKU\S-1-5-21-602162358-1645522239-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-602162358-1645522239-725345543-1003\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-602162358-1645522239-725345543-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab (Checkers Class)
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab (Solitaire Showdown Class)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} http://messenger.zone.msn.com/MessengerGamesContent/GameContent/it/uno1/GAME_UNO1.cab (UnoCtrl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class)
O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
[2012/01/22 22.38.42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Angelo\Dati applicazioni\Tyy
[2012/01/22 22.38.42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Angelo\Dati applicazioni\Pym
[2012/01/21 15.29.55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Angelo\Dati applicazioni\Maawl
[2012/01/21 15.29.55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Angelo\Dati applicazioni\Fono
[2008/04/16 12.14.34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Dati applicazioni\AVG7
:Files
ipconfig /flushdns /c
:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Esegui una nuova scansione con OTL
Posta il log
Quando hai finito, dimmi quali problemi riscontri. |
|
Top |
|
 |
nikman Eroe in grazia degli dei

Registrato: 22/04/08 15:54 Messaggi: 158
|
Inviato: 27 Gen 2012 08:40 Oggetto: |
|
|
ecco il log di OTL e per quanto riguarda problemi non ne ho avuti più subito dopo aver effettuato le operazioni suggerite nel tuo primo intervento di questo topic, quindi ringraziandoti ancora per la disponibilità spero che il problema sia del tutto risolto e non mi resta che cambiare un po' di password:
OTL.Txt |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 27 Gen 2012 18:28 Oggetto: |
|
|
Ciao.
Segui queste ultime indicazioni per la pulizia del pc:
Disattiva il ripristino configurazione di sistema.
http://forum.zeusnews.com/viewtopic.php?t=22084
Apri OTL e clicca su Cleanup.
Si disistallerà in automatico, sia OTL che Combofix.
Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch
Svuota il cestino.
Riavvia il pc.
Riattiva il ripristino configurazione di sistema. |
|
Top |
|
 |
nikman Eroe in grazia degli dei

Registrato: 22/04/08 15:54 Messaggi: 158
|
Inviato: 27 Gen 2012 22:39 Oggetto: |
|
|
OK fatte le ultime operazioni di pulizia e grazie ancora dell'aiuto prestato  |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 27 Gen 2012 22:48 Oggetto: |
|
|
Di niente.
Ciao  |
|
Top |
|
 |
|