Variante Trojan Sinowal [era: problemi]

[giomorab]

Salve
In questi giorni non mi sono accorto che mi era scaduto il Nod32, Quando mi collego all'home banking di Banca Intesa dopo la schermata di login mi chiede il codice dispositivo! E' chiaro che devo essermi beccato qualcosa di grosso. Ho provato con con Spybots, spywarefighter, niente! qualcosa sono riuscito a beccare con spyhunter sopratutto nelle voci di registro(250 di schifezze varie Trojan etc), ma ho dovuto scaricare mozilla per potermi collegare alla banca. Sotto explorer niente continua a piazzarsi il malware. Adesso anche con mozilla non mi fa entrare nella pagina di aggiornamento di spyhunter, anche levando il firewall. Ho anche provato Sophos nella speranza che fosse un rootkit, ma niente il pc sembra pulito ma è evidente che non va bene. A meno che non sia riuscito a variare le voci di registro definitivamente. Qualcuno sa qualcosa ho dovrò resettare tutto!!! Grazie

[hell's bells]

Segui questa procedura:

scarica Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum

per postare il report, segui questa scaletta

1) andare sul sito http://www.savefile.com/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ]

Nota bene: contatta via telefono la tua agenzia di banca Intesa o utilizza il numero verde e fatti assegnare un nuovo id e una nuova password per il conto on-line, non accedere finchè non è chiarito di che infezione si tratta.

[giomorab]

Ti allego il link
http://www.savefile.com/files/1765224

Da quello che pare sembra legato a Malwarebytes

ha trovato solo questo!!!!

[hell's bells]

Segui questa procedura, evito di farti rifare la scansione:

scarica Avenger

Esegui avenger e nella finestra copia/incolla tutta la citazione:

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\{def85c80-216a-43ab-af70-1665edbe2780}

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.

poi segui questa procedura:

scarica Norman_Sinowal_Cleaner

Per eseguirlo riavvii il pc in modalità provvisoria, per riavviare in provvisoria dopo la schermata iniziale del bios premi più volte il tasto F8.

[amvinfe]

io contatterei la banca e modificherei tutte le pass

http://www.pandasecurity.com/switzer...news/new-1.htm

[hell's bells]

Si vede che i miei post non vuoi proprio leggerli amvinfe era la prima cosa che mi ero premurato di fare....e spero lo faccia domattina subito

[amvinfe]

Originariamente inviato da hell's bells
Si vede che i miei post non vuoi proprio leggerli amvinfe era la prima cosa che mi ero premurato di fare....e spero lo faccia domattina subito

è appunto perchè l'ho letto che ho ritenuto intervenire per fare solo "un'aggiunta" e non è detto che sia come dica io o come dica tu.

Ma la prudenza non è mai troppa soprattutto in casi come questi.

Scritto questo, buona continuazione.

[giomorab]

Fortunatamente ho sotto mano un altro pc e ho già cambiato le pass. Nel frattempo dopo sto seguendo i Vostri consigli e dopo avenger sto scansionando con norman... in modalità provv. per il momento non ha trovato niente. giusto per cercare di capire la stringa di avenger a cosa sertviva? Nel frattempo Vi ringrazio.

[giomorab]

Questo è il log di avenger:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\{def85c80-216a-43ab-af70-1665edbe2780}" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Ho finito lo scan di Norman con nessun file infetto trovato. Che ne pensi Hell's??
Grazie

[giomorab]

Nonostante ho fatto tutto quello che molto gentilmente mi avete consigliato e una nuova scansione con Malwrebytes dove da tutto negativo se lancio exp sul sito banca intesa e anche con pass errate appare la solita pagina di richiesta da parte del Trojan delle pass è come se expl ormai fosse andato certo posso usare mozilla ma non mi dispiacerebbe capire che cavolo succede. Grazie comunque!