Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
pishing
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
nikman
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 22/04/08 15:54
Messaggi: 158
MessaggioInviato: 25 Gen 2012 14:52    Oggetto: pishing Rispondi citando
ciao, aprendo il sito della banca dopo aver effettuato il login mi appare una finestra in cui mi chiede di inserire dati vari e dopo aver sentito la banca mi assicuravano che si tratta di pishing; dopo aver effettuato la scansione con malwarebytes prima e avira dopo sono stati trovati vari file infetti tra troyan e malware ma al riavvio il problema si ripresentava: posto i file di malwarebytes, combofix e otl; inoltre si avverte che qualcosa non va dal fatto ke all'avvio le icone appaiono dopo diversi secondi dallo sfondo del desktop e che combofix ci ha messo piu di 1 ora per generare il file.
mbam-log-2012-01-24 (18-55-42).txt
ComboFix.txt
OTL.Txt
Extras.Txt
Un grazie anticipato a chi vorrà provare a risolvere il problema
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 25 Gen 2012 19:03    Oggetto: Rispondi citando
Ciao.
Come primo consiglio, visto il tipo di infezione, è quello di cambiare TUTTE le password che ci sono in quel pc.
Ovviamente, compresa quella del login della tua banca.
Questa infezione, è specializzata nel rubare password.

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Codice:
ClearJavaCache::

KillAll::

DirLook::
c:\documents and settings\Angelo\Dati applicazioni\Fono
c:\documents and settings\Angelo\Dati applicazioni\DDMSettings

File::
c:\documents and settings\Angelo\Dati applicazioni\Pym\iwakixu.exe

Folder::
c:\documents and settings\Angelo\Dati applicazioni\Tyy
c:\documents and settings\Angelo\Dati applicazioni\Pym
c:\documents and settings\Angelo\Dati applicazioni\Maawl
C:\Documents and Settings\LocalService\Dati applicazioni\AVG7

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{2C5233BE-1004-1698-4C76-82886AAED6A7}"=-

SecCenter::
{00000000-EE24-0012-4A53-927CA4101600}
{006E0069-0053-0078-5300-5C0000004100}
{00000002-0002-0000-7C25-9E7C08000A00}
{7C925FAC-DBF8-7FFD-302F-250000000000}
7C925FAC-EBF8-7FFD-302F-250000000000}
{7C925FAC-FBF8-7FFD-302F-250000000000}
{00000000-0000-0000-0000-000000000000}
{00000000-0715-0000-08F2-12003094807C}


e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Se il pc non si riavvia da solo, riavvialo tu.
Posta il log aggiornato di combofix.

Poi:
Esegui un'altra scansione con OTL.
Posta il log.
Top
Profilo Invia messaggio privato
nikman
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 22/04/08 15:54
Messaggi: 158
MessaggioInviato: 25 Gen 2012 22:46    Oggetto: Rispondi citando
si certo avevo già programmato di cambiare le password in primis quella della banca cmq ti posto come richiesto i log:
ComboFix.txt
OTL.Txt
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 26 Gen 2012 19:50    Oggetto: Rispondi citando
Alcune cartelle non sono state eliminate.

Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Codice:
:OTL
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programmi\DivX\DivX Player\npDivxPlayerPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1: C:\PROGRA~1\Yahoo!\Common\npyaxmpb.dll File not found
O3 - HKU\S-1-5-21-602162358-1645522239-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-602162358-1645522239-725345543-1003\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-602162358-1645522239-725345543-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab (Checkers Class)
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab (Solitaire Showdown Class)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} http://messenger.zone.msn.com/MessengerGamesContent/GameContent/it/uno1/GAME_UNO1.cab (UnoCtrl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class)
O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
[2012/01/22 22.38.42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Angelo\Dati applicazioni\Tyy
[2012/01/22 22.38.42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Angelo\Dati applicazioni\Pym
[2012/01/21 15.29.55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Angelo\Dati applicazioni\Maawl
[2012/01/21 15.29.55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Angelo\Dati applicazioni\Fono
[2008/04/16 12.14.34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Dati applicazioni\AVG7

:Files
ipconfig /flushdns /c

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]


Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.

Esegui una nuova scansione con OTL
Posta il log

Quando hai finito, dimmi quali problemi riscontri.
Top
Profilo Invia messaggio privato
nikman
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 22/04/08 15:54
Messaggi: 158
MessaggioInviato: 27 Gen 2012 08:40    Oggetto: Rispondi citando
ecco il log di OTL e per quanto riguarda problemi non ne ho avuti più subito dopo aver effettuato le operazioni suggerite nel tuo primo intervento di questo topic, quindi ringraziandoti ancora per la disponibilità spero che il problema sia del tutto risolto e non mi resta che cambiare un po' di password:
OTL.Txt
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 27 Gen 2012 18:28    Oggetto: Rispondi citando
Ciao.
Segui queste ultime indicazioni per la pulizia del pc:

Disattiva il ripristino configurazione di sistema.
http://forum.zeusnews.com/viewtopic.php?t=22084

Apri OTL e clicca su Cleanup.
Si disistallerà in automatico, sia OTL che Combofix.

Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch
Svuota il cestino.

Riavvia il pc.

Riattiva il ripristino configurazione di sistema.
Top
Profilo Invia messaggio privato
nikman
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 22/04/08 15:54
Messaggi: 158
MessaggioInviato: 27 Gen 2012 22:39    Oggetto: Rispondi citando
OK fatte le ultime operazioni di pulizia e grazie ancora dell'aiuto prestato Very Happy
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 27 Gen 2012 22:48    Oggetto: Rispondi
Di niente.
Ciao Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi