Infezione Con Falso Facebook

Belzebù · May 2, 2011

appena apro un qualsiasi browser (ie, firefox..) la prima pag che visualizza di default è facebook e, se tento l'accesso con le mie credenziali, mi riporta a una pag fasulla che chiede vari dati

ho provato a fare scansioni sia con antivirus che con malwarebyte e in entrambi i casi mi ha trovato diverse infezioni che ho rimosso ma il problema rimane

ecco il log di Hijackthis

NB. ho provato anche a fixare voci sospette come

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.facebook.com

O4 - .DEFAULT User Startup: ycsaoz.exe (User 'Default user')

ma, al successivo riavvio, si ripresentano.. evidentemente non riesce ad eliminare definitivamente il problema anche se, alcune cose con antivirus e malwarebytes qualcosa è stato rimosso

hijackthis.log

FDAC · May 2, 2011

Ciao.

Potresti postare il log di MalwareBytes, e quello di Avira?

Allegane anche uno aggiornato di Hijackthis. :thumbsup5:

gopher · May 2, 2011

Sembrerebbe di capire che tu non abbia inserito i dati della carta di credito (se lo avessi fatto dovresti bloccarla il prima possibile).

Sa hai inserito i tuoi usuali dati di login su Facebook, anche in questo caso sei a rischio e dovresti collegarti il prima possibile a Facebook da un computer pulito e cambiare quantomeno la password di ingresso.

Se ho ricostruito bene lURL dell'immagine potrebbe trattarsi di una variante di Koobface apparsa a fine aprile. Hai scaricato ed installato file di recente? A quando è aggiornato Avira?

Belzebù · May 3, 2011

allego i log come richiesto

avira è aggiornato ad oggi (quando sono stato infettato o, perlomeno quando me ne sono accorto, avira non si aggiornava da 2/3 gg)

non ho inserito credenziali della c. credito anche perché non ho una c. credito!

per quanto riguarda l'installazione di file non ricordo bene.. può darsi che abbia installato un aggiornamento di adobe flash player e, da quanto ho letto, pare proprio che Koobface agisca così!

per il resto il mio problema è solo quello di disinfestarmi!!

AVSCAN-20110501-215010-853C3D13.txt

hijackthis.log

mbam-log-2011-05-02 (08-36-29).txt

Modificato May 3, 2011 da Belzebù

FDAC · May 3, 2011

Ciao Belzebu. :thumbsup5:

L'infezione è ancora presente. E' necessaria una scansione con ComboFix:

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

● posiziona il file scaricato sul Desktop

● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:

● lancia ComboFix con un doppio click

● segui le istruzioni che verranno rilasciate per eseguire la scansione

● verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare

● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:

● potrebbero comparire alcuni file sul Desktop, e poi eliminati

● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi

● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio

● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti

● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:

● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te

● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:

● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore

Belzebù · May 3, 2011

allora ho un problema perché se uso combofix a un certo punto mi si riavvia il sistema operativo (win 7)

almeno così lo ritrovo riavviato perché la scansione richiede tempo

questo il problema che mi segnala al riavvio

Firma problema:
 Nome evento problema:	BlueScreen
 Versione SO:	6.1.7601.2.1.0.256.1
 ID impostazioni locali:	1040

Ulteriori informazioni sul problema:
 BCCode:	19
 BCP1:	00000020
 BCP2:	875353C8
 BCP3:	87535C80
 BCP4:	0B170439
 OS Version:	6_1_7601
 Service Pack:	1_0
 Product:	256_1

File che contribuiscono alla descrizione del problema:
 C:\Windows\Minidump\050311-18562-01.dmp
 C:\Users\mdini\AppData\Local\Temp\WER-311703-0.sysdata.xml

devo dire che prima di usare combofix avevo provato a rimuovere le infezioni con il tool di symantec Norton Power Eraser (NPE)

che mi ha individuato alcuni file che poi sono stati rimossi

cmque avevo fatto ripristo di sistema prima di eseguire il tool (ma ora sembra non esserci più alcun pto di ripristino!)

adesso ie mi si apre sulla schermata iniziale da me predefinita (anche se non sono sicuro che funzioni regolarmente percxhé mi pare apra pagg con pubblicità) mentre firefox ancora sulla falsa pag di facebook

cosa fare? :cry2:

posto nuovo log di hijackthis

hijackthis.log

Modificato May 3, 2011 da Belzebù

gopher · May 3, 2011

Molte varianti di koobface sono individuate e rimosse da Vir.IT eXplorer (http://www.tgsoft.it/italy/download.asp)

Se vuoi provare puoi scaricare la versione Free che può tranquillamente coesistere con Avira.

Belzebù · May 5, 2011

ho usato anche Vir.IT eXplorer

mi ha individuato e rimosso qualcosa

mentre faceva la scansione anche avira mi ha individuato e rimosso qcosa

dal log di hijackthis tutto sembrerebbe ok ma continua ancora ad aprirmi firefox su facebook

mentre ie non so ancora se funzioni bene

posto i vari log

cosa posso fare? disinstallare firefox e reinstallarlo alla nuova vers. 4 può servire?

hijackthis.log

VIRITEXP.LOG

AVSCAN-20110505-194428-44FE1D23.LOG

AVSCAN-20110505-194544-553C5B0A.LOG

gopher · May 5, 2011

Dai log che hai postato sembrerebbe sia accaduto questo:

VirIT ha individuato ed eliminato due file considerati infetti.

Durante la sua scansione ha "allarmato" Avira che ha individuato alcuni archivi di VirIT come virus (e può starci) ma ha anche rimosso il file ycsaoz.exe che era presente anche all'inizio.

Il log di hijackthis effettivamente sembra pulito. Su Firefox hai provato a modificare manualmente la pagina iniziale?

FDAC · May 6, 2011

Ciao.

Disinstalla la versione di Firefox in uso, e installa la nuova.

Se ancora ricevi il messaggio di errore, prova ad eseguire ComboFix, sperando di riuscirci, e posta il log.! :thumbsup5:

Belzebù · May 8, 2011

in effetti disinstallando la vecchia versione e installando la nuova sembra tutto a posto

comunque non capisco come mai avira non rilevi molto se non a danni avvenuti; forse dipende dal fatto che ho una "evaluation version" di avira premiun e ha limitazioni?

quale altro antivirus potrei installare per avere una protezione adeguata? e oltre all'antivirus?

hijackthis.log

Modificato May 8, 2011 da Belzebù

gopher · May 8, 2011

Purtroppo non ci siamo. Ci sono ancora in esecuzione almeno due file sospetti

C:\Users\mdini\AppData\Local\Temp\Ope.exe

C:\Windows\Ogumea.exe

Ho qualche dubbio anche su

C:\Windows\system32\SearchFilterHost.exe

anche se credo sia parte di Windows Desktop Search.

Quanto ad Avira le versioni di prova sono pienamente funzionati solo per 30 giorni. Mantenerle oltre questo periodo non ha molto senso. Se ne hai i requisiti installa la versione Free (uso non commerciale) altrimenti acquista la licenza anche perché il costo di 20 euro non è proibitivo.

FDAC · May 9, 2011

Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe

● posiziona il tool sul Desktop

● chiudi tutti i programmi attivi

● avvia il tool con un doppio click

● clicca sul pulsante CleanUp!

● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe

● posiziona il tool sul Desktop

● chiudi tutti i programmi attivi

● avvia il tool con un doppio click

● clicca, in basso a sinistra, sul pulsante Start

● scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi

● clicca, in basso a destra, sul pulsante Exit

● una volta terminate le operazioni, chiudi il programma

Poi:

Scarica Kaspersky Virus Removal Tool: http://support.kaspersky.com/viruses/avptool2010?level=2

● al termine della installazione verrà mostrata la schermata principale del tool

● verrà creata una cartella sul Desktop dal nome Virus Removal Tool

● seleziona la partizione da scansionare e clicca su Scan per avviare la Scansione

● terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralize all

● si apriranno dei popup dove potrai scegliere se Cancellare o Disinfettare l'oggetto

● metti la spunta su Apply to all e clicca su Quarantine

● per salvare il Report che verrà rilasciato, clicca sul tasto Reports: salvalo sul Desktop poi allegalo sul forum

E: