Precedente :: Successivo |
Autore |
Messaggio |
eins Eroe in grazia degli dei
Registrato: 24/08/09 21:22 Messaggi: 87 Residenza: dietro al PC
|
Inviato: 27 Mar 2017 20:16 Oggetto: shmokiads.com .. malware? |
|
|
Prima di postare ho cercato su google informazioni su questo malware, ma rimanda a molti siti che, forse a torto, ho avuto l'impressione non fossero troppo affidabili. Su questo forum non vi sono ricorrenze.
Ho due PC in rete tra loro, entrambi con Win8.1 aggiornato, entrambi con gli stessi sintomi da varie settimane. Ho fatto prove solo sul primo, dove sono presenti quattro browser (IE, FF portable, OP istallato e di default, AvastBrowser). Oramai da molto, quando apro un qualsiasi Tab in uno dei primi tre, dopo qualche secondo inevitabilmente si apre la pagina di "shmokiads.com". Da oggi questo accade anche su AB, che è stato l'ultimo a capitolare. In queste settimane ho passato più volte vari tools di pulizia e detezione (avast, ccleaner, MBAM, superantispyware, AdwCleaner, RKill, JRT, ClamAV), ma senza che trovassero niente. Sui vari browser non ho quasi nessuna estenzione e quelle poche ce le ho da molto tempo. Non ho istalalto niente recentemente e comunque nella lista dei programmi istallati non vedo niente di nuovo o sospetto. Rifaccio tutte le scansioni, postando poi i log come da prassi o esiste forse una qualche procedura specifica per questo "processo" che non saprei come chiamare diversamente? Grazie per l'attenzione e per i consigli. eins |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 28 Mar 2017 16:54 Oggetto: |
|
|
Ciao.
Fai questa scansione con FRST :
Scarica FRST sul desktop: (è obligatorio)
http://forum.zeusnews.com/ZN/extlink_oi_1.php?id=287820
Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )
Avvialo e clicca Esegui.
Sulla finestra che ti compare clicca SI.
Clicca Scan.
Aspetta pazientemente la fine della scansione.
Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt) |
|
Top |
|
|
eins Eroe in grazia degli dei
Registrato: 24/08/09 21:22 Messaggi: 87 Residenza: dietro al PC
|
Inviato: 28 Mar 2017 22:42 Oggetto: |
|
|
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 29 Mar 2017 17:32 Oggetto: |
|
|
Ciao.
Hai la connessione dirottata in server americani.
Mi serve sapere anche la marca e il modello del router che usi, perchè sospetto sia infetto.
Segui queste indicazioni:
scarica questo file sul desktop: (dove si trova FRST)
link
Avvia FRST e clicca su FIX.
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.
Poi fai:
Start e digita CMD nel campo di ricerca.
Compare l'icona del Prompt dei comandi.
Clicca con il tasto destro sopra l'icona e scegli "Esegui come Amministratore".
Si apre una schermata nera.
Digita nslookup e clicca Invio
Posta qui le scritte del risultato.
Attenzione:
Per postare il log: (TUTTI i log richiesti)
Collegati ad internet e vai alla pagina WikiSend:
http://forum.zeusnews.com/ZN/extlink_oi_1.php?id=140728
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum. |
|
Top |
|
|
eins Eroe in grazia degli dei
Registrato: 24/08/09 21:22 Messaggi: 87 Residenza: dietro al PC
|
Inviato: 29 Mar 2017 19:46 Oggetto: |
|
|
Scusa per non aver usato la procedura di upload standard, anche il solo copia/incolla del contenuto dei file è stato una gara di velocità contro il browser che mi dirottava sempra su altre pagine. Appena possibile cercherò di usare un altro PC per fare quanto mi hai suggerito. Grazie del tuo aiuto, eins. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 29 Mar 2017 20:34 Oggetto: |
|
|
Citazione: | Appena possibile cercherò di usare un altro PC |
Attenzione, le indicazioni che ho dato devono essere eseguite sul pc infetto.
Il tuo problema si trova probabilmente nel router, e puoi fare 2 cose:
1)Spegnere il router, lasciarlo spento per 15 secondi e poi riaccenderlo-
2) Resettare il router. Nel retro del router c'è un forellino, entri nel forellino con un qualcosa di aguzzo (spillo, stuzzicadenti, o altro) e tieni premuto il pulsante che c'è all'interno per 10 secondi.
In questo modo il router azzera tutte le impostazioni .
Il problema è che non possiamo sapere se all'accensione, il router si configura in automatico, oppure bisogna configurarlo manualmente.
Depende dalla marca e il modello del router.
Quindi, prima di fare il "reset", aspetta mie indicazioni. |
|
Top |
|
|
eins Eroe in grazia degli dei
Registrato: 24/08/09 21:22 Messaggi: 87 Residenza: dietro al PC
|
Inviato: 29 Mar 2017 22:27 Oggetto: |
|
|
Fixlog.txt
nslookup.txt
Bingo R16, grazie del tuo aiuto e della tua intuizione, hai centrato perfettamente il problema. Ho resetatto il router ed ora sembra che io non abbia più problemi, funziona tutto perfettamente, evidentemente era infettato il router, come cavolo ci riescono, avevo anche PW modificata e piuttosto robusta, penso che ci sono arrivati da dentro il mio PC, non da fuori. Quindi forse ho un qualche rootkit ancora attivo da qualche parte. Comunque, prima di resettarlo, avevo provato ad entrare io nel router ma erano cambiate le credenziali e ho potuto solo resettarlo, peccato non aver potuto sbirciarci dentro. In ogni caso, ho prima eseguito i due comandi che mi hai dato e ho linkato i file ascii dei risultati, chissà che da quelli tu non capisca qualcosa.
Ancora grazie, eins. |
|
Top |
|
|
eins Eroe in grazia degli dei
Registrato: 24/08/09 21:22 Messaggi: 87 Residenza: dietro al PC
|
Inviato: 30 Mar 2017 08:25 Oggetto: |
|
|
Per tirare le conclusioni il giorno dopo:
ad essere infetto evidentemente era proprio il router, un vecchio Kraun ADSL2+ senza access point (che io ho aggiunto a parte). Dopo il reset è tornato ai parametri di default che non ho dovuto modificare perché ho un collegamento Telecom su linea fissa e l'accreditamento è sulla base del numero telefonico. Oggi provvederò a modificare di nuovo la protezione del router.
Mi rimane sempre il dubbio se l'attacco possa essere venuto dall'interno del mio PC, sapresti consigliarmi qualcosa a questo riguardo?
Ancora veramente grazie a te e a tutto il forum, eins. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 30 Mar 2017 16:46 Oggetto: |
|
|
Ciao.
Citazione: | Mi rimane sempre il dubbio se l'attacco possa essere venuto dall'interno del mio PC, |
No, l'attacco è avvenuto alla tua connessione e ha sfruttato un bug (falla) del tuo router. Al massimo, ha cambiato anche i DNS delle scheda di rete. (controlla)
Ti posto un link per mettere in sicurezza il tuo router:
link
Ciao. |
|
Top |
|
|
Delma Comune mortale
Registrato: 04/05/17 04:17 Messaggi: 1
|
Inviato: 04 Mag 2017 04:36 Oggetto: |
|
|
Sono lieto di vederti risolvere il problema! Stavo farti provare i passaggi manuali che ho trovato su Internet.
Fare attenzione a ciò che scatti. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 04 Mag 2017 16:38 Oggetto: |
|
|
Citazione: | Seguire le istruzioni visualizzate per installare SpyHunter |
Basta e avanza per eliminare il link.
Inoltre i manuali su internet , meglio perderli che trovarli. |
|
Top |
|
|
|