Precedente :: Successivo |
Autore |
Messaggio |
Marcella Mortale devoto
Registrato: 25/05/15 12:46 Messaggi: 8 Residenza: Genova
|
Inviato: 25 Mag 2015 12:58 Oggetto: Probabile keylogger |
|
|
Premessa: sono stata stupida.
Ho ricevuto una mail dal comune di Porte, Torino, citta' nella quale ho abitato fino all'anno scorso.
L'ho aperta (l'indirizzo mail mi sembrava corretto comune@comune.porte.to.it) e ho trovato un messaggio che mi diceva: le alleghiamo il documento richiesto.
Ho cliccato sull'allegato e l'ho aperto.
Era un file zip che se mi dite non sia pericoloso posso allegarvi.
Estraendo il file e poi eseguendolo ....
mi e' scomparso tutto il desktop e poi ha cominciato a lampeggiare.
Adesso e' tornato normale e sembra funzioni tutto bene, ma ho la sensazione che ci siano dei rallentamenti mentre scrivo.
A volte vado a scatti.
Sono una profana e ho cercato con google i problemi piu' frequenti quando si hanno problemi simili al mio.
E credo che mi abbia installato un keulogger.
Cosa posso fare per capire ed eventualmente rimettere a posto le cose?
Grazie per eventuali risposte.
P.S. Sistema Operativo: Vista
Antivirus installato: Avira (che non mi trova nessun problema se lancio lo scan) |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 25 Mag 2015 16:51 Oggetto: |
|
|
Ciao e benvenuta.
Citazione: | Premessa: sono stata stupida. |
Non è una questione di stupidità.
Se voglio spedire un virus a una persona, il metodo migliore per ingannarla, è quello di far apparire nel miglior modo possibile che sia sicura.
Se poi, questa E-Mail riporta a te, indirizzi che a prima vista li conosci, il gioco è fatto.
Non la chiamo stupidità, ma mancanza di un pò di attenzione.
Per esempio PRIMA di eseguire l'eseguibile, potevi farlo scansionare dall'antivirus , o da Malwarebytes se lo hai installato.
Fine della "predica".
Segui le indicazioni di questa guida:
http://forum.zeusnews.com/viewtopic.php?t=65236
Posta i log richiesti, nelle modalità indicate a fine link. |
|
Top |
|
|
Marcella Mortale devoto
Registrato: 25/05/15 12:46 Messaggi: 8 Residenza: Genova
|
Inviato: 25 Mag 2015 18:16 Oggetto: |
|
|
L'ho scansionato (lo fa automaticamente) con Avira.
E non mi ha segnalato niente.
Infatti ho eseguito il file che era contenuto dentro lo zip proprio per quello. |
|
Top |
|
|
Marcella Mortale devoto
Registrato: 25/05/15 12:46 Messaggi: 8 Residenza: Genova
|
Inviato: 25 Mag 2015 19:43 Oggetto: |
|
|
Ok, lanciato malwarebytes seguendo e ha finito.
Non mi ha creato nessun file di log e mi dice che il sistema e' protetto.
Ora scarico e provo Adwcleaner |
|
Top |
|
|
Marcella Mortale devoto
Registrato: 25/05/15 12:46 Messaggi: 8 Residenza: Genova
|
Inviato: 25 Mag 2015 20:29 Oggetto: |
|
|
Questo e' il log che ho trovato dopo aver lanciato Adware e la ripartenza del pc:
# AdwCleaner v4.205 - Creato file registro eventi 25/05/2015 in 20:49:42
# Aggiornato 21/05/2015 da Xplode
# Database : 2015-05-25.3 [Server]
# Sistema operativo : Windows Vista (TM) Home Premium Service Pack 2 (x86)
# Nome utente : marcella - PC-MARCELLA
# In esecuzione da : C:\DOWNLOAD\adwcleaner_4.205.exe
# Opzione : Pulizia
***** [ Servizi ] *****
***** [ File / Cartelle ] *****
File Eliminato : C:\Users\marcella\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\pcoohmdcpejoeggdnihdfhohjgdbllgm
***** [ Attività pianificate ] *****
***** [ Collegamenti ] *****
***** [ Registry ] *****
***** [ Browser web ] *****
-\\ Internet Explorer v9.0.8112.16644
-\\ Mozilla Firefox v38.0.1 (x86 it)
[gu9rkyg1.default-1401144985594\prefs.js] - Linea Eliminato : user_pref("extensions.xpiState", "{\"app-profile\":{\"geolocater@3liz.com\":{\"d\":\"C:\\\\Users\\\\marcella\\\\AppData\\\\Roaming\\\\Mozilla\\\\Firefox\\\\Profiles\\\\gu9rkyg1.default-1401144985594\\\\e[...]
-\\ Google Chrome v43.0.2357.65
*************************
AdwCleaner[R0].txt - [8149 byte] - [19/05/2015 11:11:50]
AdwCleaner[R1].txt - [1332 byte] - [25/05/2015 20:44:45]
AdwCleaner[S0].txt - [8465 byte] - [19/05/2015 11:15:47]
AdwCleaner[S1].txt - [1267 byte] - [25/05/2015 20:49:42]
########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1325 byte] ########## |
|
Top |
|
|
Marcella Mortale devoto
Registrato: 25/05/15 12:46 Messaggi: 8 Residenza: Genova
|
Inviato: 25 Mag 2015 20:49 Oggetto: |
|
|
Questo e' il log che ho trovato dopo aver eseguito JRT
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.7.9 (05.24.2015:1)
OS: Windows Vista (TM) Home Premium x86
Ran by marcella on 25/05/2015 at 21.38.45,44
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~ Services
~~~ Tasks
~~~ Registry Values
Successfully deleted: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{41564952-412D-5637-4300-7A786E7484D7}
~~~ Registry Keys
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\158D6D9E3FE81FA428925F22ACB3A965
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\15E6C514FEFC09F45BAFAAE1D7546ED4
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\189F6D048E923EA48B11D15B30CDAC81
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1DB42320A8525634AA089F0BEC86473B
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\22468B0D6050B2E46B9C4B67A8F59577
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2251BF05A2F606D43BB064BD63CBD87E
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\3CDF313E9B28C944FBC7579CF4949414
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\661134B612233374391C95E8AC373BA3
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\71E54748EDD3DC1468548785DC856EDA
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\754590DD06DE8D249B526503432F99D4
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8036C72171EF4BA46856BF57969F6A36
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8CBC85D72B148084ABE8C2F072F781F4
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8CC5A38A64D6098468BC8395BA0EFF03
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8DF9A1AC557F56C49B56F6B83E293C15
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A08449608E3CA1F4ABF236256A256754
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A431C8F3F57D7844B89242F5F7A5F62C
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B448F401EF39C8346BF7BE9B8D1C7060
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CFA51B44D54927C4E9B7BC1D3FD1E49F
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D14A7F65792054F418578C78367D13F7
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D538E650623CB2C43AD5FBF587227D55
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DFE9F0BD163D827438CB6AD6B100EC48
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F739A19A8327DC64C9A8B641A9E89646
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{B825B237-BBFE-4B99-857F-56479689EA8A}
~~~ Files
Successfully deleted: [File] C:\Windows\wininit.ini
~~~ Folders
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{020E3BEE-FFC6-4E7D-BA8B-A1B2FC5AA986}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{111A1428-3A0B-4340-80A6-3E86FDBAC9C1}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{2C2572A9-2425-40CD-9518-B6AE6E5AB496}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{3826052F-48C0-49A3-B1D6-64020C0DECB2}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{51B0665C-A828-41BD-8A08-401BAD52D648}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{545D81DD-B7DF-4614-BC5E-6B84227AAEB1}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{5CEB80B4-E408-413D-851B-721FE0C08CE4}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{6AB51D69-0238-4BAE-AE11-921B0A4F7584}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{715A8413-9120-4C82-8E9F-A03A1AF899CD}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{7BA9D857-B0C2-437F-A6CB-C087F9DF9D43}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{7FAB26F5-1D6E-4134-9620-8CB336D481A8}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{8F0B7DF9-94D6-49DE-BE46-A1EDFEE9CB3F}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{9234ED56-CAE9-4790-8D12-D4C37EC16C45}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{9AB6031E-65DA-4983-8252-70E5603CD08B}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{A46E8728-480E-4975-B7D7-EE437AF9E3EA}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{BE42203F-6FA4-4BD0-B5D8-02A64BA0D882}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{E45ECE8C-0315-4997-AB19-F040771F4723}
Successfully deleted: [Empty Folder] C:\Users\marcella\appdata\local\{F1035141-F7E2-4B5B-B113-8A108FF0E8DD}
~~~ FireFox
Successfully deleted: [File] C:\Users\marcella\AppData\Roaming\mozilla\firefox\profiles\gu9rkyg1.default-1401144985594\searchplugins\avira-safesearch.xml
Successfully deleted: [Folder] C:\Users\marcella\AppData\Roaming\mozilla\firefox\profiles\gu9rkyg1.default-1401144985594\extensions\safesearch@avira.com
Successfully deleted the following from C:\Users\marcella\AppData\Roaming\mozilla\firefox\profiles\gu9rkyg1.default-1401144985594\prefs.js
user_pref(avira.safe_search.search_was_active, false);
user_pref(extensions.xpiState, {\app-profile\:{\geolocater@3liz.com\:{\d\:\C:\\\\Users\\\\marcella\\\\AppData\\\\Roaming\\\\Mozilla\\\\Firefox\\\\Profiles\\\\gu9rkyg1.d
Emptied folder: C:\Users\marcella\AppData\Roaming\mozilla\firefox\profiles\gu9rkyg1.default-1401144985594\minidumps [556 files]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 25/05/2015 at 21.42.31,10
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 25 Mag 2015 20:49 Oggetto: |
|
|
Ciao.
Mi serve il log di OTL, per controllare se ci sono altre infezioni in corso. |
|
Top |
|
|
Marcella Mortale devoto
Registrato: 25/05/15 12:46 Messaggi: 8 Residenza: Genova
|
Inviato: 25 Mag 2015 21:01 Oggetto: |
|
|
Chiedo scusa. Adesos ho letto che i log andavano trattati con wikisend...
Quelli generati li mando su wikisend appena finisce OTL.
Se non ho cancellato gli altri, li mando anche questi con wikisend.
Chiedo scusa.... sono andata step by step e forse e' meglio che mettiate quell'avviso in testa al messaggio e non in fondo. |
|
Top |
|
|
Marcella Mortale devoto
Registrato: 25/05/15 12:46 Messaggi: 8 Residenza: Genova
|
Inviato: 25 Mag 2015 21:24 Oggetto: |
|
|
Extras.Txt
OTL.Txt
E questi sono i due files prodotti da OTL.
Grazie di tutto. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 26 Mag 2015 16:56 Oggetto: |
|
|
Ciao.
Consiglio di disinstallare Spybot.
Con installati Superantispyware, e Malwarebytes, non serve a nulla, se non a "ingolfare" il pc per niente.
Prima di eseguire le pulizie, dimmi come funziona il pc. |
|
Top |
|
|
Marcella Mortale devoto
Registrato: 25/05/15 12:46 Messaggi: 8 Residenza: Genova
|
Inviato: 26 Mag 2015 18:03 Oggetto: |
|
|
Ok, disinstallato spybot.
Mi pare vada piu' veloce di prima, ma temo che se davvero e' un keylogger non riusciamo a scoprirlo.
Comunque ora riavvio e poi fammi sapere cos'altro posso fare.
Grazie di tutto. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 26 Mag 2015 19:04 Oggetto: |
|
|
Citazione: | ma temo che se davvero e' un keylogger non riusciamo a scoprirlo. |
L'unico proramma che è in relazione con un possibile keylogger è questo:
C:\Programmi\Keyboard Driver\KMWDSrv.exe (UASSOFT.COM)
L'eseguibile KMWDSrv.exe è in grado di registrare gli input da tastiera, e del mouse.
Ma non credo sia un keylogger.
Poi vorrei sapere perchè, pensi di essere controllata da un keylogger.
Apri OTL e clicca su CleanUP.
Si disinstallerà OTL.
Ti chiederà il riavvio del pc: acconsenti.
Al riavvio fai una pulizia con CCleaner. (registro compreso)
Sempre con CCleaner:
Apri CCleaner.
Clicca su "Strumenti".
Clicca su "Ripristino Sistema"
Seleziona TUTTI i punti di ripristino e poi clicca "Rimuovi".
N.B:
Il punto segnalato in grigio (il primo) non lo puoi eliminare per motivi di sicurezza. |
|
Top |
|
|
|