17 replies to this topic

[-giancarlo]

Ciao a tutti
da una settimana ricevo delle strane mail sulla mia casella ......@tin.it

mittente: MAIL DELIVERY SERVICE
oggetto: DELIVERY STATUS NOTIFICATON
allegati: 2 da circa 300 a circa 900 bytes

testo di una mail a caso:

- These recipients of your message have been processed by the mail
server:
marionsepp@hotmail.com; Failed; 5.3.0 (other or undefined mail system
status)

Remote MTA mx4.hotmail.com: network error


- SMTP protocol diagnostic: 550 SC-001 (COL0-MC2-F5) Unfortunately,
messages from 212.216.176.109 weren't sent. Please contact your
Internet service provider since part of their network is on our block
list. You can also refer your provider to http://mail.live.com/mail/tro
ubleshooting.aspx#errors.

Queste mail fanno riferimento a messaggi che io non ho mai inviato ad utenti che non conosco
Ho telefonato al servizio assistenza tin.it e mi hanno risposto che potrebbe trattarsi di un virus, che faranno controlli e poi non li ho più sentiti


Qualcuno sa di cosa può trattarsi o cosa si può fare per evitare di ricevere queste mail?

grazie

[Pike]

Per prima cosa: da un altro pc cambia la password della tua casella di posta Tin.
Per seconda cosa: aggiorna il tuo antivirus ed esegui una scansione completa del sistema.
Nel caso in cui l'antivirus sia già aggiornato, scarica Malware Bytes Anti Malware, installalo, aggiornalo, rifiuta il periodo di prova, esegui una scansione completa dell'intero pc e allega il log.
Finito questo, Scarica ed installa Hijackthis, crea un log e allega anche quello.

[-giancarlo]

allego i due log:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Versione database: v2012.02.03.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
utente :: UTENTE-MSI [amministratore]

03/02/2012 12:15:56
mbam-log-2012-02-03 (12-15-56).txt

Tipo di scansione: Scansione completa
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 331918
Tempo impiegato: 1 ore, 16 minuti, 38 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)




Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:36:24, on 03/02/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\windows\system32\taskhost.exe
C:\windows\system32\Dwm.exe
C:\windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\IObit\Advanced SystemCare 5\ASCTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
C:\PROGRAM FILES\STARDOCK\OBJECTDOCK\OBJECTDOCK.EXE
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\windows\system32\ctfmon.exe
C:\windows\notepad.exe
C:\windows\system32\SearchFilterHost.exe
C:\Users\utente\Desktop\SICUREZZA e PULIZIA\AUP_Hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NSU_agent] "C:\Program Files\Nokia\Nokia Software Updater\nsu3ui_agent.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [IObit Malware Fighter] "C:\Program Files\IObit\IObit Malware Fighter\IMF.exe" /autostart
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [avast! Antivirus] "C:\Program Files\Alwil Software\Avast5\AvastUI.exe"
O4 - HKCU\..\Run: [Advanced SystemCare 5] "C:\Program Files\IObit\Advanced SystemCare 5\ASCTray.exe" /AutoStart
O4 - HKCU\..\Run: [Google Update] "C:\Users\utente\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - Startup: Mozilla Firefox.lnk = C:\Program Files\Mozilla Firefox\firefox.exe
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: http://www.samsungsetup.com
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Advanced SystemCare Service 5 (AdvancedSystemCareService5) - IObit - C:\Program Files\IObit\Advanced SystemCare 5\ASCService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Firewall - AVAST Software - C:\Program Files\Alwil Software\Avast5\afwServ.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: IMF Service (IMFservice) - IObit - C:\Program Files\IObit\IObit Malware Fighter\IMFsrv.exe
O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe
O23 - Service: NitroPDFReaderDriverCreatorReadSpool2 (NitroReaderDriverReadSpool2) - Nitro PDF Software - C:\Program Files\Nitro PDF\Reader\NitroPDFReaderDriverService2.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\windows\system32\nvvsvc.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: WMI_Hook_Service - MICRO-STAR INT'L,.LTD. - C:\Program Files\msi\WMIHookBtnFn\WMI_Hook_Service.exe

--
End of file - 6310 bytes

[Pike]

ARGH!
Allegare per mantenere la leggibilità, postati così sono abbastanza caotici.

Comunque...
per MBAM e HJT il pc sembra pulito.
Ergo forse non è il tuo pc ad essere infetto.
Tenterei un giro con HitManPro, tanto per avere una "seconda opinione".
http://www.surfright.nl/en/hitmanpro

Ricordati di scaricare la versione adatta al tuo OS (32 o 64 bit), e postane il log.

Per l'accesso alla posta... hai variato la password?

[-giancarlo]

Allego il log di HitManPro

La password l'ho modificata come tu mi hai indicato da un altro PC

Tra l'altro devo segnalarti ancora 2 cose strane che succedono da qualche giorno:
1) senza che io faccia nulla si apre ogni tanto il pannello col qualesi può modificare la luminosità, il contrasto ecc... e se io utilizzo i tasti che ci sono sul PC non sempre prende il comando che do, sembra impazzito, passa da luminosità a contrasto senza che io dia l'input e se cerco di aumentare o diminuire i valori un pò accetta e un pò no
2) io per un'altra casella di posta elettronica uso WINDOWS LIVE MAIL e da qualche giorno non mi è più possibile scrivere mail in uscita, quando clicco per fare una nuova mail, o per rispondere a una mail ricevuta, mi appare un riquadro con la scritta:
Errore durante l'apertura del messaggio. Si è verificato un problema. Riprova

Da quando ho cambiato la password alla casella mail ----@tin.it non ho più ricevuto quel tipo di messaggi

Ancora una domanda, io ho come antivirus Avast 6 ma il log HijackThis mi dice che ho Avast 5 e se vado nella cartella in Programmi vedo che si chiama AVAST5, anche se quando apro AVAST dalla barra delle applicazioni in Manutenzione mi dice che la versione attuale è 6.0.1367 ed è già aggiornata
cosa può significare?

Allega File

•  log.xml   660bytes   7 Numero di downloads

Post modificato da -giancarlo il 04 February 2012 - 17:51 PM

[-giancarlo]

ancora una domanda:
per gli acquisti online e le operazioni bancarie uso la SAFE ZONE di Avast, Avast dice che si tratta di uno spazio che non può essere raggiunto da spyware o key loggers.
Qualcuno sa se ci si può effettivamente fidare ?

[Pike]

Intanto perdonami, ma mi era sfuggito il post.

-giancarlo, su 03 February 2012 - 15:50 PM, ha detto:

Allego il log di HitManPro

Segnala che c'è un file sospetto, ovvero
C:\Users\utente\Desktop\NOKIA\fdmftsetup.exe
Se è di dimensioni contenute (entro 32mb), lo sottoporrei a VirusTotal.
https://www.virustotal.com/
E se è per almeno 5 siti malevolo, lo inoltrerei al cestino.


La password l'ho modificata come tu mi hai indicato da un altro PC

-giancarlo, su 03 February 2012 - 15:50 PM, ha detto:

Tra l'altro devo segnalarti ancora 2 cose strane che succedono da qualche giorno:
1) senza che io faccia nulla si apre ogni tanto il pannello col qualesi può modificare la luminosità, il contrasto ecc... e se io utilizzo i tasti che ci sono sul PC non sempre prende il comando che do, sembra impazzito, passa da luminosità a contrasto senza che io dia l'input e se cerco di aumentare o diminuire i valori un pò accetta e un pò no

Su questo non so proprio che cosa dirti...

-giancarlo, su 03 February 2012 - 15:50 PM, ha detto:

2) io per un'altra casella di posta elettronica uso WINDOWS LIVE MAIL e da qualche giorno non mi è più possibile scrivere mail in uscita, quando clicco per fare una nuova mail, o per rispondere a una mail ricevuta, mi appare un riquadro con la scritta:
Errore durante l'apertura del messaggio. Si è verificato un problema. Riprova

Da quando ho cambiato la password alla casella mail ----@tin.it non ho più ricevuto quel tipo di messaggi

Tanto meglio, anche se non ne capisco il perchè.
Che cosa usi come server di posta in uscita? E' autenticato?
Quale è il tuo fornitore di Internet?

-giancarlo, su 03 February 2012 - 15:50 PM, ha detto:

Ancora una domanda, io ho come antivirus Avast 6 ma il log HijackThis mi dice che ho Avast 5 e se vado nella cartella in Programmi vedo che si chiama AVAST5, anche se quando apro AVAST dalla barra delle applicazioni in Manutenzione mi dice che la versione attuale è 6.0.1367 ed è già aggiornata
cosa può significare?

Probabilmente, che Avast si è aggiornato mantenendosi nella cartella "Avast 5". Non è belissimo da vedersi, ma non dovrebbe creare problemi. Aggiungo inoltre che io non sono un grande fan di Avast, e se non l'hai pagato ti suggerirei di valutare alternative.

-giancarlo, su 06 February 2012 - 13:35 PM, ha detto:

ancora una domanda:
per gli acquisti online e le operazioni bancarie uso la SAFE ZONE di Avast, Avast dice che si tratta di uno spazio che non può essere raggiunto da spyware o key loggers.
Qualcuno sa se ci si può effettivamente fidare ?

Secondo me è un po' pretenzioso da parte di Avast dichiarare questo.
Se Avast viene compromesso, la funzionalità lo è quanto il software. Inoltre può cercare di aggiungere altri "strati".
Ma se il pc è compromesso, non ci sono sicurezze assolute.

Potremmo tentare di fare altre verifiche, ma impiegherebbero molto tempo...

[-giancarlo]

Per prima cosa grazie per i consigli

Pike, su 06 February 2012 - 13:53 PM, ha detto:

Segnala che c'è un file sospetto, ovvero
C:\Users\utente\Desktop\NOKIA\fdmftsetup.exe
Se è di dimensioni contenute (entro 32mb), lo sottoporrei a VirusTotal.
https://www.virustotal.com/
E se è per almeno 5 siti malevolo, lo inoltrerei al cestino.

per evitare problemi io l'ho cestinato e poi annullato

Pike, su 06 February 2012 - 13:53 PM, ha detto:

Che cosa usi come server di posta in uscita? E' autenticato?
Quale è il tuo fornitore di Internet?

uso yahoo.it

Pike, su 06 February 2012 - 13:53 PM, ha detto:

Probabilmente, che Avast si è aggiornato mantenendosi nella cartella "Avast 5". Non è belissimo da vedersi, ma non dovrebbe creare problemi. Aggiungo inoltre che io non sono un grande fan di Avast, e se non l'hai pagato ti suggerirei di valutare alternative.

la mia è una versione a pagamento. ho avuto per 2 anni la versione free poi ho pensato fosse meglio prendere la versione più completa

Pike, su 06 February 2012 - 13:53 PM, ha detto:

Secondo me è un po' pretenzioso da parte di Avast dichiarare questo.
Se Avast viene compromesso, la funzionalità lo è quanto il software. Inoltre può cercare di aggiungere altri "strati".
Ma se il pc è compromesso, non ci sono sicurezze assolute.

Potremmo tentare di fare altre verifiche, ma impiegherebbero molto tempo...

ovviamente la sicurezza assoluta non esiste.
avast pubblicizza la SafeZone con questa frase:
Attivando la Safe Zone ti troverai un desktop pulito dove puoi gestire le transazioni sensibili (come le transazioni bancarie e gli acquisti online) senza il rischio di essere monitorato da spyware o key-logger

spero che ci sia un minimo di sicurezza in più rispetto alle transazioni fatte nel desktop normale

[Pike]

Per il file... prendo atto

E dire che ti ho fatto 3 domande...

Citazione

Che cosa usi come server di posta in uscita? E' autenticato?
Quale è il tuo fornitore di Internet?

A quale di queste 3 hai fornito risposta?

Citazione

la mia è una versione a pagamento. ho avuto per 2 anni la versione free poi ho pensato fosse meglio prendere la versione più completa

Mi rimangio quanto ho detto, inutile buttare un antivirus che hai pagato a favore di uno gratuito.
Riconsidera il prossimo acquisto cercando altro...
Ad onor del vero...
Avast non fa affatto schifo, solo a mia personale opinione non è un buon antivirus ed è pesante ed invasivo.
Nonostante la tendenza di fornire, ora come ora, prodotti completi ed integrati invece che prodotti efficienti, compatti e poco invasivi.

Per la funzione Safe Zone, candidamente: non so che cosa faccia nè come si usa. Probabilmente aggiunge qualche strato di protezione in più, ma dirti a prescindere senza informazione se è più sicura o no, non sono in grado di farlo.

La cosa su cui ponevo l'accento è che alla fine di tutto, la Safe Zone è un programma che gira nel pc.
Se il pc è compromesso, non ci sono certezze che si comporti in maniera corretta o come da progetto.

Perdona l'atteggiamento "sfiduciante", ma la sicurezza non si compra.
Si realizza con intelligenza, attenzione, comprensione, ordine, controllo.
Intelligenza ed attenzione nell'evitare trappole e software inutili, comprensione di che cosa fa un sito o un programma, ordine nel gestire le proprie informazioni, controllo nelle conseguenze "a posteriori" dei propri atti (come l'estratto conto elettronico della carta di credito, le conferme d'ordine, etc etc...)

Il prodotto che hai scelto potrebbe aiutarti un poco ad evitare alcune frodi; per assurdo, un pc pulito da malware e spyware potrebbe farlo in maniera eguale.

[-giancarlo]

Pike, su 06 February 2012 - 16:16 PM, ha detto:

E dire che ti ho fatto 3 domande...

A quale di queste 3 hai fornito risposta?

Che cosa usi come server di posta in uscita? E' autenticato?
Quale è il tuo fornitore di Internet?

il server in uscita è: pop-mail.yahoo.com
non so cosa risponderti perchè non so cosa si intenda per AUTENTICATO"
il mio fornitore di internet è telecom Alice

Pike, su 06 February 2012 - 16:16 PM, ha detto:

Il prodotto che hai scelto potrebbe aiutarti un poco ad evitare alcune frodi; per assurdo, un pc pulito da malware e spyware potrebbe farlo in maniera eguale.

sono sicuro che è come dici, purtroppo non sono sicuro che il mio pc sia libero da malware e spyware, anche se oltre ad avast utilizzo abitualmente i programmi gratuiti
Malwarebytes Anti-malware
IOBit Malware fighters
e i programmi che si hanno con windows 7 e cioè: windows defender e windows firewall

sai dirmi se i programmi che sto utilizzando sono sufficienti?
grazie ancora della cortese disponibilità

[Pike]

-giancarlo, su 06 February 2012 - 16:39 PM, ha detto:

il server in uscita è: pop-mail.yahoo.com
non so cosa risponderti perchè non so cosa si intenda per AUTENTICATO"
il mio fornitore di internet è telecom Alice

Secondo me mi hai fornito il server di posta in arrivo e non quello per la posta in uscita.
http://help.yahoo.co...age/pop-08.html

Citazione

• Sotto "Il mio server di posta in arrivo è..." seleziona "POP3".
• Digita "pop.mail.yahoo.com" nel campo Server posta in arrivo (POP3, IMAP o HTTP).
• Digita "smtp.mail.yahoo.com" nel campo Server posta in uscita (SMTP).

Ti sto domandando quale sia il server di posta in uscita...

Per quanto riguarda il discorso "Autenticato", significa che ci "presentiamo" al server di posta in uscita con username e Password.

Questa immagine fa riferimento alla posta di Gmail, ma l'informazione che ti ho domandato è quella che trovi nel secondo riquadro in basso.
Inoltre, tieni conto che per ogni casella di posta elettronica c'è un server di posta in uscita. Noi sino ad ora abbiamo parlato della casella @tin.it, abbi l'attenzione di controllare questo account e non l'altro

Se anche lì hai inserito pop-mail.yahoo.com, direi che non hai seguito le istruzioni di yahoo.
Se c'è altro, per piacere, indicami che cosa c'è scritto e se è autenticato.

Di solito si usa il fornitore di ADSL per recapitare la posta elettronica, ma con gli attuali stretti controlli sullo spam, sembra diventato una politica piuttosto controversa e che espone al rischio di vedersi la posta classificata come SPAM anche quando SPAM non è.

-giancarlo, su 06 February 2012 - 16:39 PM, ha detto:

sono sicuro che è come dici, purtroppo non sono sicuro che il mio pc sia libero da malware e spyware, anche se oltre ad avast utilizzo abitualmente i programmi gratuiti
Malwarebytes Anti-malware
IOBit Malware fighters
e i programmi che si hanno con windows 7 e cioè: windows defender e Windows Firewall

sai dirmi se i programmi che sto utilizzando sono sufficienti?
grazie ancora della cortese disponibilità

Abbiamo fatto altri test che ci dicono che non dovresti avere ospiti, ma ovviamente siamo nell'ambito della certezza relativa.
HitManPro fa varie verifiche con altri siti di definizioni.

Non è che questa posta elettronica è configurata anche su un altro pc che di recente è stato usato?
E che magari non è stato verificato?

[-giancarlo]

Non essendo molto esperto purtroppo mi rendo conto di ostacolare anche se involontariamente il tuo tentativo di aiutarmi.
Comunque hai ragione, ti ho dato il server di posta in arrivo, il server di posta in uscita è smtp.mail.yahoo.com
ora che ho capito posso risponderti: è autenticato
per quanto riguarda la casella @tin.it non utilizzo windows liive mail ma vado direttamente sul sito www.tin.it
Questa posta elettronica è configurata soltanto sul PC che stiamo esaminando

spero di averti risposto correttamente e mi scuso ancora per le perdite di tempo che ti causo

[Pike]

Grazie delle risposte, -giancarlo.
A questo punto sono perplesso...

Torniamo all'inizio:
Dichiari di aver ricevuto della mail sulla casella @tin.it delle mail con questo contenuto:

Citazione

mittente: MAIL DELIVERY SERVICE
oggetto: DELIVERY STATUS NOTIFICATON
allegati: 2 da circa 300 a circa 900 bytes

testo di una mail a caso:- These recipients of your message have been processed by the mail
server:
marionsepp@hotmail.com; Failed; 5.3.0 (other or undefined mail system
status)

Remote MTA mx4.hotmail.com: network error

La mia paura è che qualcuno possa aver preso possesso del tuo indirizzo di posta, motivo per cui ti faccio cambiare la password da un altro pc (temo che il tuo possa essere corrotto o infetto).
Le analisi che abbiamo eseguito racconta che a parte un singolo file "sospetto", il tuo pc è pulito.
Non solo: sembra che la posta elettronica che viene gestita dal tuo PC sia solo di un altro account.

A questo punto, io ho solo due ipotesi possibili...
La prima è che qualcuno avesse usato il tuo indirizzo per inviare spam e tu vedessi solo i "rimbalzi" di posta che arrivavano alla tua casella. Il fatto che abbia smesso poco dopo che tu abbia cambiato la password è quasi una coincidenza
La seconda è che in qualche modo un malware un giretto nel tuo pc l'abbia fatto, e abbia raccolto e comunicato i dati memorizzati. Una volta cambiati, chi li aveva raccolti non è più stato in grado di inviare posta.

La seconda è abbastanza improbabile, quantomeno perchè non abbiamo trovato altre tracce di infezione se non quel singolo file sospetto.
La prima, secondo il rasoio di occkam, sembra essere quella da "gettonare"....

Altrimenti, se altri Win-iniziati hanno idee migliori, ben vengano suggerimenti e ragionamenti.
Me la cavo con i pc, ma non mi sento "onniscente"...

[-giancarlo]

Spero e voglio credere che la tua interpretazione sia quella giusta.

L’importante per me sarebbe avere la certezza che nessuno si è infiltrato e che magari è ancora dentro il mio PC.

Secondo te esiste la possibilità che ci sia qualche intruso magari in file nascosti o qualcosa del genere?

In tal caso forse mi converrebbe salvare i dati e i file che mi interessano , formattare tutto e ripartire da zero

Ti ringrazio per la risposta e per l’attenzione che hai avuto per il mio problema.

Tra l'altro ho appreso la teoria del rasoio di occkam che non conoscevo e che mi trova d'accordo

[Pike]

-giancarlo, è una certezza che non ti posso offrire.
Posso offrire solo una ragionevole e comprovata serie di fatti... ovvero ciò che non è stato trovato sul pc.
Non posso escludere nulla, a distanza e senza altre verifiche più approfondite, e forse nemmeno con queste riuscirei, visto che ci sono strumenti sconosciuti ai produttori di antivirus e di software di sicurezza.

Altri test che possiamo archiviare come ulteriore "fatto" a comprovare (o smentire) questa possibilità sono:
L'uso di uno scanner online come quello di ESET o TrendMicro
e
L'uso di un rescue disk per una scansione "offline" del disco fisso.

[-giancarlo]

Per il momento credo che lascerò tutto così.
D'altra parte ragionando a mente fredda penso che se qualcuno avesse carpito, introducendosi nel mio PC, codici o password della banca a quest'ora il conto sarebbe già stato ripulito.
Grazie per la disponibilità e i preziosissimi consigli
giancarlo

[Pike]

Non abbassare la guardia. Tieni monitorato il discorso banche ed estratti conto con C/C

[-giancarlo]

Pike, su 07 February 2012 - 12:20 PM, ha detto:

Non abbassare la guardia. Tieni monitorato il discorso banche ed estratti conto con C/C

sicuramente, a tal fine ho attivato l'invio SMS per ogni operazione che transita sul conto
ciao e ancora grazie