Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
shmokiads.com .. malware?
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
eins
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 24/08/09 21:22
Messaggi: 87
Residenza: dietro al PC

MessaggioInviato: 27 Mar 2017 20:16    Oggetto: shmokiads.com .. malware? Rispondi citando

Prima di postare ho cercato su google informazioni su questo malware, ma rimanda a molti siti che, forse a torto, ho avuto l'impressione non fossero troppo affidabili. Su questo forum non vi sono ricorrenze.

Ho due PC in rete tra loro, entrambi con Win8.1 aggiornato, entrambi con gli stessi sintomi da varie settimane. Ho fatto prove solo sul primo, dove sono presenti quattro browser (IE, FF portable, OP istallato e di default, AvastBrowser). Oramai da molto, quando apro un qualsiasi Tab in uno dei primi tre, dopo qualche secondo inevitabilmente si apre la pagina di "shmokiads.com". Da oggi questo accade anche su AB, che è stato l'ultimo a capitolare. In queste settimane ho passato più volte vari tools di pulizia e detezione (avast, ccleaner, MBAM, superantispyware, AdwCleaner, RKill, JRT, ClamAV), ma senza che trovassero niente. Sui vari browser non ho quasi nessuna estenzione e quelle poche ce le ho da molto tempo. Non ho istalalto niente recentemente e comunque nella lista dei programmi istallati non vedo niente di nuovo o sospetto. Rifaccio tutte le scansioni, postando poi i log come da prassi o esiste forse una qualche procedura specifica per questo "processo" che non saprei come chiamare diversamente? Grazie per l'attenzione e per i consigli. eins
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9946

MessaggioInviato: 28 Mar 2017 16:54    Oggetto: Rispondi citando

Ciao.
Fai questa scansione con FRST :
Scarica FRST sul desktop: (è obligatorio)
http://forum.zeusnews.com/ZN/extlink_oi_1.php?id=287820
Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )
Avvialo e clicca Esegui.
Sulla finestra che ti compare clicca SI.
Clicca Scan.
Aspetta pazientemente la fine della scansione.
Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt)
Top
Profilo Invia messaggio privato
eins
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 24/08/09 21:22
Messaggi: 87
Residenza: dietro al PC

MessaggioInviato: 28 Mar 2017 22:42    Oggetto: Rispondi citando

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9946

MessaggioInviato: 29 Mar 2017 17:32    Oggetto: Rispondi citando

Ciao.
Hai la connessione dirottata in server americani.
Mi serve sapere anche la marca e il modello del router che usi, perchè sospetto sia infetto.
Segui queste indicazioni:
scarica questo file sul desktop: (dove si trova FRST)
link
Avvia FRST e clicca su FIX.
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.

Poi fai:
Start e digita CMD nel campo di ricerca.
Compare l'icona del Prompt dei comandi.
Clicca con il tasto destro sopra l'icona e scegli "Esegui come Amministratore".
Si apre una schermata nera.
Digita nslookup e clicca Invio
Posta qui le scritte del risultato.

Attenzione:
Per postare il log: (TUTTI i log richiesti)

Collegati ad internet e vai alla pagina WikiSend:
http://forum.zeusnews.com/ZN/extlink_oi_1.php?id=140728
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Top
Profilo Invia messaggio privato
eins
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 24/08/09 21:22
Messaggi: 87
Residenza: dietro al PC

MessaggioInviato: 29 Mar 2017 19:46    Oggetto: Rispondi citando

Scusa per non aver usato la procedura di upload standard, anche il solo copia/incolla del contenuto dei file è stato una gara di velocità contro il browser che mi dirottava sempra su altre pagine. Appena possibile cercherò di usare un altro PC per fare quanto mi hai suggerito. Grazie del tuo aiuto, eins.
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9946

MessaggioInviato: 29 Mar 2017 20:34    Oggetto: Rispondi citando

Citazione:
Appena possibile cercherò di usare un altro PC

Attenzione, le indicazioni che ho dato devono essere eseguite sul pc infetto.
Il tuo problema si trova probabilmente nel router, e puoi fare 2 cose:
1)Spegnere il router, lasciarlo spento per 15 secondi e poi riaccenderlo-
2) Resettare il router. Nel retro del router c'è un forellino, entri nel forellino con un qualcosa di aguzzo (spillo, stuzzicadenti, o altro) e tieni premuto il pulsante che c'è all'interno per 10 secondi.
In questo modo il router azzera tutte le impostazioni .
Il problema è che non possiamo sapere se all'accensione, il router si configura in automatico, oppure bisogna configurarlo manualmente.
Depende dalla marca e il modello del router.
Quindi, prima di fare il "reset", aspetta mie indicazioni.
Top
Profilo Invia messaggio privato
eins
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 24/08/09 21:22
Messaggi: 87
Residenza: dietro al PC

MessaggioInviato: 29 Mar 2017 22:27    Oggetto: Rispondi citando

Fixlog.txt
nslookup.txt

Bingo R16, grazie del tuo aiuto e della tua intuizione, hai centrato perfettamente il problema. Ho resetatto il router ed ora sembra che io non abbia più problemi, funziona tutto perfettamente, evidentemente era infettato il router, come cavolo ci riescono, avevo anche PW modificata e piuttosto robusta, penso che ci sono arrivati da dentro il mio PC, non da fuori. Quindi forse ho un qualche rootkit ancora attivo da qualche parte. Comunque, prima di resettarlo, avevo provato ad entrare io nel router ma erano cambiate le credenziali e ho potuto solo resettarlo, peccato non aver potuto sbirciarci dentro. In ogni caso, ho prima eseguito i due comandi che mi hai dato e ho linkato i file ascii dei risultati, chissà che da quelli tu non capisca qualcosa.
Ancora grazie, eins.
Top
Profilo Invia messaggio privato
eins
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 24/08/09 21:22
Messaggi: 87
Residenza: dietro al PC

MessaggioInviato: 30 Mar 2017 08:25    Oggetto: Rispondi citando

Per tirare le conclusioni il giorno dopo:

ad essere infetto evidentemente era proprio il router, un vecchio Kraun ADSL2+ senza access point (che io ho aggiunto a parte). Dopo il reset è tornato ai parametri di default che non ho dovuto modificare perché ho un collegamento Telecom su linea fissa e l'accreditamento è sulla base del numero telefonico. Oggi provvederò a modificare di nuovo la protezione del router.

Mi rimane sempre il dubbio se l'attacco possa essere venuto dall'interno del mio PC, sapresti consigliarmi qualcosa a questo riguardo?

Ancora veramente grazie a te e a tutto il forum, eins.
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9946

MessaggioInviato: 30 Mar 2017 16:46    Oggetto: Rispondi citando

Ciao.
Citazione:
Mi rimane sempre il dubbio se l'attacco possa essere venuto dall'interno del mio PC,

No, l'attacco è avvenuto alla tua connessione e ha sfruttato un bug (falla) del tuo router. Al massimo, ha cambiato anche i DNS delle scheda di rete. (controlla)
Ti posto un link per mettere in sicurezza il tuo router:
link
Ciao.
Top
Profilo Invia messaggio privato
Delma
Comune mortale
Comune mortale


Registrato: 04/05/17 04:17
Messaggi: 1

MessaggioInviato: 04 Mag 2017 04:36    Oggetto: Rispondi citando

Sono lieto di vederti risolvere il problema! Stavo farti provare i passaggi manuali che ho trovato su Internet.
Fare attenzione a ciò che scatti.
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9946

MessaggioInviato: 04 Mag 2017 16:38    Oggetto: Rispondi

Citazione:
Seguire le istruzioni visualizzate per installare SpyHunter

Basta e avanza per eliminare il link.
Inoltre i manuali su internet , meglio perderli che trovarli.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi