Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Mail fasulle con indirizzi mia rubrica e LOG da controllare Opzioni
9plc
Inviato: Thursday, May 29, 2014 5:44:46 PM
Rank: AiutAmico

Iscritto dal : 11/18/2004
Posts: 206
Salve!
E' da ieri che cerco di eliminare quella che credo sia un'infezione dei miei 2 p.c. in rete. La prima scansione con ADWCleaner ha trovato (ed eliminato): HKCU\Software\AppDataLow\Software.
Poi ho scansionato con MalwareBytes, con Malicius, con Security Essential e con Spybot, nonché CCleaner. Non sembravano esserci altri problemi, ma adesso è arrivata un'altra di queste malefiche mail. Alcuni indirizzi sono nella mia rubrica, altri no; alcuni sono mittenti, altri destinatari, e altri ancora in oggetto. Poi nel testo c'è sempre un lungo strano link che mi guardo bene dal cliccare.
Vi riporto il log Hijack: qualcuno può controllarlo? E' possibile che ci sia qualcosa che spieghi il problema?
GRAZIE!

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17.27.29, on 29/05/2014
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Microsoft Security Client\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\Java\jre7\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\Programmi\Macrium\Reflect\ReflectService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Microsoft Security Client\msseces.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\PopTray\PopTray.exe
C:\Programmi\Rainlendar\Rainlendar.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre7\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Programmi\Agnitum\Outpost Firewall\feedback.exe" /dump:os_startup
O4 - HKLM\..\Run: [SoundMax] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [MSC] "C:\Programmi\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\Outpost Firewall\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PopTray.lnk = C:\Programmi\PopTray\PopTray.exe
O4 - Startup: Rainlendar.lnk = C:\Programmi\Rainlendar\Rainlendar.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{941AC715-75D7-48A9-97DC-3625ED9BEC16}: NameServer = 8.8.8.8,8.8.4.4
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\Skype4COM.dll
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpost firewall\wl_hook.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\Outpost Firewall\acs.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programmi\Java\jre7\bin\jqs.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService.exe) - Unknown owner - C:\Programmi\Macrium\Reflect\ReflectService.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programmi\Skype\Updater\Updater.exe

--
End of file - 6233 bytes
Sponsor
Inviato: Thursday, May 29, 2014 5:44:46 PM

 
9plc
Inviato: Friday, May 30, 2014 6:25:24 PM
Rank: AiutAmico

Iscritto dal : 11/18/2004
Posts: 206
Nel frattempo, ho fatto anche una scansione con OTL:

OTL.Txt

e

OTL Extra.txt
fax71ita
Inviato: Friday, May 30, 2014 11:02:50 PM

Rank: AiutAmico

Iscritto dal : 4/23/2010
Posts: 3,838
ciaooo e' arrivato anche a me quel genere di mail... proprio oggi sull cellulare tramite gmail ma anche io non ho aperto.... mi pare che come paese si "pl" credo polonia..
mortacciiii loroooooo

miticoalex
Inviato: Friday, May 30, 2014 11:22:57 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
Salve! Se hai un account libero mail, non sei il primo.

http://www.investireoggi.it/tech/libero-mail-account-sotto-attacco/

Oggi è arrivato la mail che aveva come mittente un mio amico. Link che aspettavo, ma non era quello che avrei voluto.

Bloccato dal mio antivirus.



9plc
Inviato: Saturday, May 31, 2014 7:56:31 AM
Rank: AiutAmico

Iscritto dal : 11/18/2004
Posts: 206
Scusate fax e alex, ma credo proprio che si tratti di un virus...
Qualcuno può gentilmente controllarmi i LOG ?

hijackthis.log

http://wikisend.com/download/245204/OTL.Txt

http://wikisend.com/download/310294/OTL%20Extra.txt
r16
Inviato: Saturday, May 31, 2014 2:32:28 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Non è per caso questo programma che ha a che fare con la posta, e che si trova in Esecuzione Automatica?
PopTray
Lo usi?
In ogni caso, per sicurezza cambia la password.

Il log di OTL non presenta infezioni attive, ma un sacco di "rimasugli" di programmi che probabilmente non usi più.
C:\Documents and Settings\All Users\Dati applicazioni
Seguendo il percorso apri la cartella Dati applicazioni e li trovi.
Elimina quelli che riconosci, e svuota il cestino.
9plc
Inviato: Saturday, May 31, 2014 5:34:58 PM
Rank: AiutAmico

Iscritto dal : 11/18/2004
Posts: 206
Grazie R16!
Ho eliminato parecchie cartelle da Dati applicazioni (molte vuote), ma non oso eliminarne altre.
Riguardo a PopTray, lo uso da sempre e mi ha salvato tante volte - e anche stavolta - da scaricare robaccia sul clinet di posta.
Però il problema delle mail fasulle si è verificato anche su un account Libero e uno Tiscali che non passano da PopTray.
Devo dire che oggi è arrivata una sola mail falsa (con al mittente l'indirizzo di una persona che è in rubrica).
Che sia finita l'ondata?...

Ho letto la tua guida per eliminare le pagine pubblicitarie: eventualmente dove stanno? Vedendo il log OTL, pensi che dovrei fare pulizia?

miticoalex
Inviato: Saturday, May 31, 2014 7:03:46 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
9plc ha scritto:
Devo dire che oggi è arrivata una sola mail falsa (con al mittente l'indirizzo di una persona che è in rubrica).



Cambia la password come ti ha suggerito R16, e come ti avevano consigliato lo staff di libero.

Poptray o meno, è una cosa da fare con una certa urgenza.

Ciao




r16
Inviato: Saturday, May 31, 2014 9:04:03 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Vedendo il log OTL, pensi che dovrei fare pulizia?

Come detto in precedenza, il log di OTL non presenta infezioni attive.
Inoltre per il tuo problema, OTL non serve un granchè.
Commenta:
Ho letto la tua guida per eliminare le pagine pubblicitarie:

Se vuoi fare una scansione con Malwarebytes, e con Adwcleaner, puoi anche farle.
Di sicuro male non fanno.

Commenta:
Devo dire che oggi è arrivata una sola mail falsa (con al mittente l'indirizzo di una persona che è in rubrica).

Questo non vuol dire che per forza abbiano "bucato" il tuo account di posta.
E' possibile che abbiano "bucato" l'account della persona che hai in rubrica, che a sua volta possiede l'indirizzo email tuo.
Spero di essermi spiegato decentemente. (ma ne dubito)

Ma la cosa più importante è quella che dicono tutti: cambiare la password.
9plc
Inviato: Sunday, June 01, 2014 8:29:23 AM
Rank: AiutAmico

Iscritto dal : 11/18/2004
Posts: 206
r16 ha scritto:
Questo non vuol dire che per forza abbiano "bucato" il tuo account di posta.
E' possibile che abbiano "bucato" l'account della persona che hai in rubrica, che a sua volta possiede l'indirizzo email tuo.
Spero di essermi spiegato decentemente. (ma ne dubito)
Ma la cosa più importante è quella che dicono tutti: cambiare la password.


Ok per le password. Oggi finisco di cambiarle: ho parecchi account sui 2 pc.
In quanto alle altre scansioni, come dicevo nel primo post, le ho già fatte.

Invece trovo abbastanza convincente l'ipotesi che il problema potesse dipendere da altri (ti sei spiegato benissimo!). In realtà alcuni indirizzi si sono ripetuti (oggi niente) e ho già provveduto ad avvertire gli interessati.
Insomma, spero proprio che la faccenda si sia risolta, altrimenti mi leggerete di nuovo qui!

Grazie Alex, grazie R16, come sempre gentili e disponibili, e buon week end!

Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.