Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Probabile keylogger
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Marcella
Mortale devoto
Mortale devoto


Registrato: 25/05/15 12:46
Messaggi: 8
Residenza: Genova

MessaggioInviato: 25 Mag 2015 12:58    Oggetto: Probabile keylogger Rispondi citando

Premessa: sono stata stupida.

Ho ricevuto una mail dal comune di Porte, Torino, citta' nella quale ho abitato fino all'anno scorso.
L'ho aperta (l'indirizzo mail mi sembrava corretto comune@comune.porte.to.it) e ho trovato un messaggio che mi diceva: le alleghiamo il documento richiesto.

Ho cliccato sull'allegato e l'ho aperto.
Era un file zip che se mi dite non sia pericoloso posso allegarvi.

Estraendo il file e poi eseguendolo ....
mi e' scomparso tutto il desktop e poi ha cominciato a lampeggiare.

Adesso e' tornato normale e sembra funzioni tutto bene, ma ho la sensazione che ci siano dei rallentamenti mentre scrivo.

A volte vado a scatti.

Sono una profana e ho cercato con google i problemi piu' frequenti quando si hanno problemi simili al mio.
E credo che mi abbia installato un keulogger.

Cosa posso fare per capire ed eventualmente rimettere a posto le cose?

Grazie per eventuali risposte.

P.S. Sistema Operativo: Vista
Antivirus installato: Avira (che non mi trova nessun problema se lancio lo scan)
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 25 Mag 2015 16:51    Oggetto: Rispondi citando

Ciao e benvenuta.
Citazione:
Premessa: sono stata stupida.

Non è una questione di stupidità.
Se voglio spedire un virus a una persona, il metodo migliore per ingannarla, è quello di far apparire nel miglior modo possibile che sia sicura.
Se poi, questa E-Mail riporta a te, indirizzi che a prima vista li conosci, il gioco è fatto.
Non la chiamo stupidità, ma mancanza di un pò di attenzione.
Per esempio PRIMA di eseguire l'eseguibile, potevi farlo scansionare dall'antivirus , o da Malwarebytes se lo hai installato.
Fine della "predica". Very Happy

Segui le indicazioni di questa guida:
http://forum.zeusnews.com/viewtopic.php?t=65236
Posta i log richiesti, nelle modalità indicate a fine link.
Top
Profilo Invia messaggio privato
Marcella
Mortale devoto
Mortale devoto


Registrato: 25/05/15 12:46
Messaggi: 8
Residenza: Genova

MessaggioInviato: 25 Mag 2015 18:16    Oggetto: Rispondi citando

L'ho scansionato (lo fa automaticamente) con Avira.
E non mi ha segnalato niente.

Infatti ho eseguito il file che era contenuto dentro lo zip proprio per quello.
Top
Profilo Invia messaggio privato
Marcella
Mortale devoto
Mortale devoto


Registrato: 25/05/15 12:46
Messaggi: 8
Residenza: Genova

MessaggioInviato: 25 Mag 2015 19:43    Oggetto: Rispondi citando

Ok, lanciato malwarebytes seguendo e ha finito.

Non mi ha creato nessun file di log e mi dice che il sistema e' protetto.

Ora scarico e provo Adwcleaner
Top
Profilo Invia messaggio privato
Marcella
Mortale devoto
Mortale devoto


Registrato: 25/05/15 12:46
Messaggi: 8
Residenza: Genova

MessaggioInviato: 25 Mag 2015 20:29    Oggetto: Rispondi citando

Questo e' il log che ho trovato dopo aver lanciato Adware e la ripartenza del pc:

# AdwCleaner v4.205 - Creato file registro eventi 25/05/2015 in 20:49:42
# Aggiornato 21/05/2015 da Xplode
# Database : 2015-05-25.3 [Server]
# Sistema operativo : Windows Vista (TM) Home Premium Service Pack 2 (x86)
# Nome utente : marcella - PC-MARCELLA
# In esecuzione da : C:\DOWNLOAD\adwcleaner_4.205.exe
# Opzione : Pulizia

***** [ Servizi ] *****


***** [ File / Cartelle ] *****

File Eliminato : C:\Users\marcella\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\pcoohmdcpejoeggdnihdfhohjgdbllgm

***** [ Attività pianificate ] *****


***** [ Collegamenti ] *****


***** [ Registry ] *****


***** [ Browser web ] *****

-\\ Internet Explorer v9.0.8112.16644


-\\ Mozilla Firefox v38.0.1 (x86 it)

[gu9rkyg1.default-1401144985594\prefs.js] - Linea Eliminato : user_pref("extensions.xpiState", "{\"app-profile\":{\"geolocater@3liz.com\":{\"d\":\"C:\\\\Users\\\\marcella\\\\AppData\\\\Roaming\\\\Mozilla\\\\Firefox\\\\Profiles\\\\gu9rkyg1.default-1401144985594\\\\e[...]

-\\ Google Chrome v43.0.2357.65


*************************

AdwCleaner[R0].txt - [8149 byte] - [19/05/2015 11:11:50]
AdwCleaner[R1].txt - [1332 byte] - [25/05/2015 20:44:45]
AdwCleaner[S0].txt - [8465 byte] - [19/05/2015 11:15:47]
AdwCleaner[S1].txt - [1267 byte] - [25/05/2015 20:49:42]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1325 byte] ##########
Top
Profilo Invia messaggio privato
Marcella
Mortale devoto
Mortale devoto


Registrato: 25/05/15 12:46
Messaggi: 8
Residenza: Genova

MessaggioInviato: 25 Mag 2015 20:49    Oggetto: Rispondi citando

Questo e' il log che ho trovato dopo aver eseguito JRT

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.7.9 (05.24.2015:1)
OS: Windows Vista (TM) Home Premium x86
Ran by marcella on 25/05/2015 at 21.38.45,44
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Tasks



~~~ Registry Values

Successfully deleted: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{41564952-412D-5637-4300-7A786E7484D7}



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\158D6D9E3FE81FA428925F22ACB3A965
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\15E6C514FEFC09F45BAFAAE1D7546ED4
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\189F6D048E923EA48B11D15B30CDAC81
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1DB42320A8525634AA089F0BEC86473B
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\22468B0D6050B2E46B9C4B67A8F59577
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2251BF05A2F606D43BB064BD63CBD87E
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\3CDF313E9B28C944FBC7579CF4949414
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\661134B612233374391C95E8AC373BA3
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\71E54748EDD3DC1468548785DC856EDA
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\754590DD06DE8D249B526503432F99D4
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8036C72171EF4BA46856BF57969F6A36
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8CBC85D72B148084ABE8C2F072F781F4
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8CC5A38A64D6098468BC8395BA0EFF03
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8DF9A1AC557F56C49B56F6B83E293C15
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A08449608E3CA1F4ABF236256A256754
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A431C8F3F57D7844B89242F5F7A5F62C
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B448F401EF39C8346BF7BE9B8D1C7060
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CFA51B44D54927C4E9B7BC1D3FD1E49F
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D14A7F65792054F418578C78367D13F7
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D538E650623CB2C43AD5FBF587227D55
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DFE9F0BD163D827438CB6AD6B100EC48
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F739A19A8327DC64C9A8B641A9E89646
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{B825B237-BBFE-4B99-857F-56479689EA8A}



~~~ Files

Successfully deleted: [File] C:\Windows\wininit.ini



~~~ Folders

Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{020E3BEE-FFC6-4E7D-BA8B-A1B2FC5AA986}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{111A1428-3A0B-4340-80A6-3E86FDBAC9C1}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{2C2572A9-2425-40CD-9518-B6AE6E5AB496}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{3826052F-48C0-49A3-B1D6-64020C0DECB2}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{51B0665C-A828-41BD-8A08-401BAD52D648}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{545D81DD-B7DF-4614-BC5E-6B84227AAEB1}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{5CEB80B4-E408-413D-851B-721FE0C08CE4}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{6AB51D69-0238-4BAE-AE11-921B0A4F7584}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{715A8413-9120-4C82-8E9F-A03A1AF899CD}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{7BA9D857-B0C2-437F-A6CB-C087F9DF9D43}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{7FAB26F5-1D6E-4134-9620-8CB336D481A8}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{8F0B7DF9-94D6-49DE-BE46-A1EDFEE9CB3F}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{9234ED56-CAE9-4790-8D12-D4C37EC16C45}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{9AB6031E-65DA-4983-8252-70E5603CD08B}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{A46E8728-480E-4975-B7D7-EE437AF9E3EA}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{BE42203F-6FA4-4BD0-B5D8-02A64BA0D882}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{E45ECE8C-0315-4997-AB19-F040771F4723}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{F1035141-F7E2-4B5B-B113-8A108FF0E8DD}



~~~ FireFox

Successfully deleted: [File] C:\Users\marcella\AppData\Roaming\mozilla\firefox\profiles\gu9rkyg1.default-1401144985594\searchplugins\avira-safesearch.xml
Successfully deleted: [Folder] C:\Users\marcella\AppData\Roaming\mozilla\firefox\profiles\gu9rkyg1.default-1401144985594\extensions\safesearch@avira.com
Successfully deleted the following from C:\Users\marcella\AppData\Roaming\mozilla\firefox\profiles\gu9rkyg1.default-1401144985594\prefs.js

user_pref(avira.safe_search.search_was_active, false);
user_pref(extensions.xpiState, {\app-profile\:{\geolocater@3liz.com\:{\d\:\C:\\\\Users\\\\marcella\\\\AppData\\\\Roaming\\\\Mozilla\\\\Firefox\\\\Profiles\\\\gu9rkyg1.d
Emptied folder: C:\Users\marcella\AppData\Roaming\mozilla\firefox\profiles\gu9rkyg1.default-1401144985594\minidumps [556 files]





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 25/05/2015 at 21.42.31,10
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 25 Mag 2015 20:49    Oggetto: Rispondi citando

Ciao.
Mi serve il log di OTL, per controllare se ci sono altre infezioni in corso.
Top
Profilo Invia messaggio privato
Marcella
Mortale devoto
Mortale devoto


Registrato: 25/05/15 12:46
Messaggi: 8
Residenza: Genova

MessaggioInviato: 25 Mag 2015 21:01    Oggetto: Rispondi citando

Chiedo scusa. Adesos ho letto che i log andavano trattati con wikisend...

Quelli generati li mando su wikisend appena finisce OTL.

Se non ho cancellato gli altri, li mando anche questi con wikisend.

Chiedo scusa.... sono andata step by step e forse e' meglio che mettiate quell'avviso in testa al messaggio e non in fondo.
Top
Profilo Invia messaggio privato
Marcella
Mortale devoto
Mortale devoto


Registrato: 25/05/15 12:46
Messaggi: 8
Residenza: Genova

MessaggioInviato: 25 Mag 2015 21:24    Oggetto: Rispondi citando

Extras.Txt

OTL.Txt

E questi sono i due files prodotti da OTL.

Grazie di tutto.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 26 Mag 2015 16:56    Oggetto: Rispondi citando

Ciao.
Consiglio di disinstallare Spybot.
Con installati Superantispyware, e Malwarebytes, non serve a nulla, se non a "ingolfare" il pc per niente.
Prima di eseguire le pulizie, dimmi come funziona il pc.
Top
Profilo Invia messaggio privato
Marcella
Mortale devoto
Mortale devoto


Registrato: 25/05/15 12:46
Messaggi: 8
Residenza: Genova

MessaggioInviato: 26 Mag 2015 18:03    Oggetto: Rispondi citando

Ok, disinstallato spybot.

Mi pare vada piu' veloce di prima, ma temo che se davvero e' un keylogger non riusciamo a scoprirlo.

Comunque ora riavvio e poi fammi sapere cos'altro posso fare.

Grazie di tutto.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 26 Mag 2015 19:04    Oggetto: Rispondi

Citazione:
ma temo che se davvero e' un keylogger non riusciamo a scoprirlo.

L'unico proramma che è in relazione con un possibile keylogger è questo:
C:\Programmi\Keyboard Driver\KMWDSrv.exe (UASSOFT.COM)
L'eseguibile KMWDSrv.exe è in grado di registrare gli input da tastiera, e del mouse.
Ma non credo sia un keylogger.
Poi vorrei sapere perchè, pensi di essere controllata da un keylogger.

Apri OTL e clicca su CleanUP.
Si disinstallerà OTL.
Ti chiederà il riavvio del pc: acconsenti.
Al riavvio fai una pulizia con CCleaner. (registro compreso)
Sempre con CCleaner:
Apri CCleaner.
Clicca su "Strumenti".
Clicca su "Ripristino Sistema"
Seleziona TUTTI i punti di ripristino e poi clicca "Rimuovi".

N.B:
Il punto segnalato in grigio (il primo) non lo puoi eliminare per motivi di sicurezza.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi