| Autore |
 Discussione  |
|
c.pusher
Senior Member
Città: roma
131 Messaggi |
 Inserito il - 17/12/2011 : 21:23:30
|
Salve ragazzi purtroppo ho subito il cosidetto phishing. Non so come ma ci sono cascato con tutte le scarpe cosi chè hanno spillato soldi dal mio conto. Dalla banca, che ha controllato in remoto la mia cronologia dettandogli il mio ip, mi hanno detto che ho un virus che fa proprio stà roba. Vi posto un log, notate qualcosa di strano? Io se devo essere sincero non ho notato nulla di strano, navigango, se non le solite finestre dei casinò, delle roulete eccetera. Stà di fatto pero che mi hanno fregato quindi qualcosa di strano ci deve essere.
grazie a tutti per il prezioso aiuto!
htt*://[www].savefile[.com]/dl/NAX987YM
|
Modificato da - in Data
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 17/12/2011 : 21:39:17
|
ciao e benvenuto nel forum
prima di iniziare vorrei darti un consiglio: vai subito in un ufficio della Polizia postale e sporgi denuncia, ci sono persone altamente qualificate che sapranno aiutarti
ora fai questa scansione, il log di hjt sembra a posto
scarica combofix sul desktop
alla richiesta se vuoi installare la recovery console clicca su NO
esegui ComboFix.exe
segui le instruzioni
finita la scansione portati in C:\allega , nella tua prossima risposta, il contenuto del file di testo Combofix.txt
edit
controllando il log piu' attentamente ho notato una cartella sospetta
C:\Documents and Settings\Alex\Dati applicazioni\Waezva\ozruus.exe
vai sul sito di virus total e controllami l'eseguibile segnato in grassetto |
Modificato da - shang in data 17/12/2011 22:16:40 |
 |
|
|
c.pusher
Senior Member
Città: roma
131 Messaggi |
Inserito il - 19/12/2011 : 12:21:34
|
Ciao e grazie mille per l'interesse. Ovviamente ho già fatto tutte le denunce del caso.
Prima di eseguire combofix ho fatto analizzare l'eseguibile, ecco il risultato piuttosto poco incoraggiante:
Antivirus Version Last update Result
AhnLab-V3 2011.12.19.00 2011.12.19 -
AntiVir 7.11.19.157 2011.12.19 TR/PSW.Zbot.4618
Antiy-AVL 2.0.3.7 2011.12.19 -
Avast 6.0.1289.0 2011.12.18 Win32:Zbot-NUW [Trj]
AVG 10.0.0.1190 2011.12.18 PSW.Generic9.AUBP
BitDefender 7.2 2011.12.19 Trojan.Generic.7032288
ByteHero 1.0.0.1 2011.12.07 Trojan.Win32.Heur.089
CAT-QuickHeal 12.00 2011.12.18 -
ClamAV 0.97.3.0 2011.12.19 -
Commtouch 5.3.2.6 2011.12.19 -
Comodo 11010 2011.12.19 -
DrWeb 5.0.2.03300 2011.12.19 Trojan.PWS.Panda.1494
Emsisoft 5.1.0.11 2011.12.19 -
eSafe 7.0.17.0 2011.12.18 -
eTrust-Vet 37.0.9631 2011.12.19 -
F-Prot 4.6.5.141 2011.12.19 -
F-Secure 9.0.16440.0 2011.12.19 Trojan.Generic.7032288
Fortinet 4.3.388.0 2011.12.19 -
GData 22 2011.12.19 Trojan.Generic.7032288
Ikarus T3.1.1.109.0 2011.12.19 -
Jiangmin 13.0.900 2011.12.18 -
K7AntiVirus 9.119.5696 2011.12.15 Riskware
Kaspersky 9.0.0.837 2011.12.19 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.12.19 PWS-Zbot.gen.oo
McAfee-GW-Edition 2010.1E 2011.12.19 PWS-Zbot.gen.oo
Microsoft 1.7903 2011.12.19 PWS:Win32/Zbot
NOD32 6723 2011.12.19 Win32/Spy.Zbot.YW
Norman 6.07.13 2011.12.19 -
nProtect 2011-12-19.01 2011.12.19 -
Panda 10.0.3.5 2011.12.18 Suspicious file
PCTools 8.0.0.5 2011.12.19 Trojan-PSW.Banker
Prevx 3.0 2011.12.19 -
Rising 23.89.00.01 2011.12.19 -
Sophos 4.72.0 2011.12.19 -
SUPERAntiSpyware 4.40.0.1006 2011.12.17 -
Symantec 20111.2.0.82 2011.12.19 Infostealer.Banker.C
TheHacker 6.7.0.1.361 2011.12.18 Trojan/Spy.Zbot.yw
TrendMicro 9.500.0.1008 2011.12.19 -
TrendMicro-HouseCall 9.500.0.1008 2011.12.19 -
VBA32 3.12.16.4 2011.12.14 -
VIPRE 11273 2011.12.19 Trojan.Win32.Generic!BT
ViRobot 2011.12.19.4833 2011.12.19 -
VirusBuster 14.1.122.1 2011.12.18 TrojanSpy.Zbot!08sCj52NKqM |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 19/12/2011 : 12:34:45
|
bene cosi'
cancella l'eseguibile e la cartella
C:\Documents and Settings\Alex\Dati applicazioni\Waezva\ozruus.exe poi esegui combofix e posta il log che rilascia |
|
|
|
c.pusher
Senior Member
Città: roma
131 Messaggi |
Inserito il - 19/12/2011 : 13:49:06
|
ecco
htt*://[www].savefile[.com]/dl/WPEFCBU6
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 19/12/2011 : 18:56:43
|
scarica TDSSKiller sul desktop ed estrai il contenuto
Start > Esegui > copia/incolla il seguente comando e dai OK.
"%userprofile%\Desktop\TDSSKiller.exe"
Clicca su Start Scan.
Se c’è un’infezione, l'azione di default sarà cure. Clicca su continua.
Se c’è il sospetto di un’infezione, l'azione di default sarà skip. Clicca su continua.
Se viene richiesto il riavvio, accetta.
Il rapporto si troverà in C:, sotto queste sembianze: TDSSKiller.[Version]_[Date]_[Time]_log.txt
Se non è stato richiesto il riavvio, chiudi e clicca su report. Salva il contenuto in un file di testo e allegalo |
|
|
|
c.pusher
Senior Member
Città: roma
131 Messaggi |
Inserito il - 19/12/2011 : 19:30:38
|
| non ha trovato nulla. posto ugualmente il log? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 19/12/2011 : 19:41:27
|
| si posta il log devo fare una verifica |
|
|
|
c.pusher
Senior Member
Città: roma
131 Messaggi |
Inserito il - 19/12/2011 : 19:48:04
|
eccolo
htt*://[www].savefile[.com]/dl/SQ5U4269 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 19/12/2011 : 20:01:48
|
ora segui nella sequenza che ti posto queste operazioni
1 Apri il Blocco Note copia e incolla questa righe:
Citazione:
file::
c:\windows\system32\drivers\hsvd.sys
c:\windows\system32\drivers\fumas.sys
driver::
bwdpl
ysgzltxb
FileLook::
c:\windows\system32\Drivers\PROCEXP150.SYS
Dirlook::
c:\documents and settings\All Users.WINDOWS\Dati applicazioni\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}
Salva il file sul Desktop come CFScript.txt
Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix
al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt
Posta subito il log
2
scarica malwarebytes
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Posta il rapporto .
3 scarica systemscan aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Allega il file con estensione .zip nella tua prossima risposta.
|
|
|
|
c.pusher
Senior Member
Città: roma
131 Messaggi |
Inserito il - 19/12/2011 : 20:43:21
|
eccolo
htt*://[www].savefile[.com]/dl/S2XT3RQK
nel frattempo passo al punto 2 e 3 |
|
|
|
c.pusher
Senior Member
Città: roma
131 Messaggi |
Inserito il - 19/12/2011 : 23:40:09
|
il resto
htt*://[www].savefile[.com]/dl/U68KBTA9
htt*://[www].savefile[.com]/dl/K4WR39JT
Malwarebytes ha rilevato solo navilog come file malevolo ma ovviamente non l'ho rimosso |
|
|
|
c.pusher
Senior Member
Città: roma
131 Messaggi |
Inserito il - 21/12/2011 : 15:13:28
|
| qualcuno sa dirmi qualcosa? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 21/12/2011 : 16:39:53
|
riesegui malwarebytes da modalita' provvisoria tasto F8 all'avvio di vindows poi collegati qui e fai un controllo |
|
|
|
c.pusher
Senior Member
Città: roma
131 Messaggi |
Inserito il - 22/12/2011 : 15:37:51
|
htt*://[www].savefile[.com]/dl/EQ7BLZUP
htt*://[www].savefile[.com]/dl/7G24P3LX
nulla di disastroso mi pare,forse qualche cookie spione di troppo, che dici?
io uso solo zone alarm free, che mi consigli? sono disposto anche a fare un acquisto costosetto,purchè sia un prodotto tutt'uno che funzioni realmente e non rallenti troppo... |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 22/12/2011 : 15:57:24
|
zone alarm riimuovilo per carita' e' pesantissimo e ti rallenta tutto
prova pc tools molto efficace e leggero
ora in questa sequenza segui le operazioni che ti consiglio
Evidenzia gli elementi trovati da malwarebyts e premi "Rimuovi elementi selezionati".
rimuovi combofix con OTC by OldTimer
eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI
rimuovi la cartella qoobox, la trovi nel disco locale se fosse ineliminabile usa Inherit
mettilo nella stessa directory della cartella BackEnv e poi trascina la stessa cartella sull'icona di inherinit.Aspetta la scritta OK.
Da pannello di controllo rimuovi tutte le versioni di java e installalo pulito , stessa cosa con mozilla
fai pulizia del sistema con CCleaner
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
nel menu a sinistra, clicca sulla voce Pulizia
clicca su tasto Avvia pulizia per eseguire la scansione
finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
clicca sul tasto Trova problemi ed avvia una scansione
al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
Finite queste operazioni postami un nuovo log di hjackthis
|
Modificato da - shang in data 22/12/2011 15:59:40 |
|
|
|
Discussione |
|
Ho subito un furto!
Forum Bloccato
