Virus che fa apparire schermata fasulla di una banca

[Omonimo]

Ciao a tutti

Su un PC con VISTA, ed antivurs McAfee aggiornato, inserendo le credenziali di accesso ad una banca (unicredit) appare un pop up che chiedi di confermare dati di una carta di credito, contemporaneamente unicredi ha informato il titolare del conto di un attacco e glielo ha bloccato.
Ora il PC iserendo qualunque credenziale di accesso all banca fa apparire querl popup, anche mettendo dati fasulli. Ho fatto una scansione con Mcafee in modalita' provvisoria e non ha trovato nulla, poi una con il recovery disk di kaspersky ed anche quello nulla. Alla ripartenza pero' VISTA presentaba la barra delle applicazioni come se fosse sempre in provvisoria (tasto start invece della pallina).
Suggerimenti ?

grazie

Alberto

[VincenzoGTA]

Inizia disinstallando tutte le toolbar, poi dai una pulita con Ccleaner

Installiamo CCleaner
Durante l'installazione ci verrà chiesto di installare la Google toolbar (facoltativa, meglio non installarla)
Alla fine dell'installazione lasciamo la spunta su Esegui Ccleaner.

Clicchiamo su Avanzate
togliamo la spunta alla voce Cancella file in Windows Temp solo se più vecchi di 24 ore
togliamo la spunta alla voce Chiedi se salvare un backup dei problemi del registro
togliamo la spunta alla voce chiudi il programma dopo la pulizia

Clicchiamo nel menù a sinistra su Pulizia:
Windows
Internet explorer
spuntiamo tutte le voci e
confermiamo con OK se riceviamo avviso di conferma.
Esplora risorse
Spuntiamo tutte le voci
Sistema
Spuntiamo tutte le voci
Avanzate
Spuntiamo le voci
Vecchi dati Prefetch e
File Log IIS
Cronologia Assistenza utente
confermiamo con OK se riceviamo avviso di conferma.

Clicchiamo su Applicazioni di fianco a Windows
spuntiamo tutte le voci presenti e
confermiamo con OK se riceviamo avviso di conferma.

Clicchiamo il pulsante in basso a sinistra Analizza,
attendiamo la fine dell'Analisi e
clicchiamo in basso a destra sul pulsante Avvia Pulizia

Terminata la pulizia, nel menù a sinistra, clicchiamo sul pulsante Registro
spuntiamo tutte le voci sulla sinistra e clicchiamo Trova Problemi
Al termine della scansione clicchiamo su Ripara selezionati.
Questo passaggio va ripetuto più volte, fino a quando non verranno più rilevati problemi da correggere.

Posta un log di Hijackthis

Installiamo HijackThis
Nota: per eseguirlo correttamente su Windows Vista o Seven clicchiamo con il
tasto destro del mouse sull'eseguibile e scegliamo Esegui come amministratore
Clicchiamo il pulsante Do a system scan and save a logfile
alla fine verra creato un log.

Fai una scansione con Malwarebytes' Anti-Malware

Eseguiamo Malwarebytes' Anti-Malware
Per usare il tool, facciamo riferimento a questa guida:
http://forum.wintricks.it/showthread.php?t=155589.
Terminata la scansione, facciamo clic su OK, poi su Mostra i Risultati, selezioniamo tutti i malware trovati e
clicchiamo su Rimuovi gli elementi selezionati.
Riavviamo il pc se richiesto e
salviamo il log della scansione.

Posta i log di hijackthis e malwarebytes sul forum.

[booty island]

Scansiona con Antimalwarebytes Antimalware aggiornato
Prova con un browser alternativo come Opera, Chrome o Firefox
Posta un log di HiJackThis se non risolvi con il primo

Non avevo visto che avevi già risposto nel frattempo

[Omonimo]

Firefox e' gia' installato e manifesta lo stesso fenomeno di IE.
faro' le scansioni suggerite.

grazie e presto segnalero' sviluppi eventuali.

Alberto

[retalv]

Da quanto mi risulta è più semplice formattare e reinstallare che andare a cercare di sradicarlo (anche perchè non sarà mai sicuro di aver risolto definitivamente).

Due consigli da dare al possessore dell'ammalato...

1) Reinstalla Vista e accoppialo in dual boot con una qualsiasi distribuzione Linux (avrà pure 10Gb a cui può rinunciare...) e usi Linux come client per i collegamenti Home Banking.

2) La smetta di girovagare nei siti di donnine succinte... si diventa ciechi e si prende il raffreddore...

[Omonimo]

Abbiamo risolto con il punto di ripristino, quel PC chiaramente non verra' piu' usato per l'home banking, anche perche' ha altri problemi. Comunque abbiamo confrontato il log di hijackthis prima e dopo ed abbiamo trovato il colpevole.
Una DLL nascosta nella cartella TEMP del profilo dell'utente, ed aveva data dei 23/8, la stranezza era che ne' McAfee ne' Kaspersky (live CD) lo vedeva.
Altra stranezza era che se bloccava i siti di antivirus non bloccava quello di Norton
Comunque, quella dei punti di ripristino e' una bella invenzione.

garzie a tutti

Alberto

[booty island]

Quota:

Inviato da Omonimo

Altra stranezza era che se bloccava i siti di antivirus non bloccava quello di Norton

Perchè Norton è un antivirus??

Quota:

Comunque, quella dei punti di ripristino e' una bella invenzione.

Più che ai punti di ripristino mi affiderei ai backup completi con tool esterni (True Image ad esempio), sono molto più affidabili.

[Omonimo]

quello di Norton era pura costatazione
hai ragione riguardo ai backup con tool esterni, ma quello avevo
e quello mi ha risolto, almeno in questo caso, ed era stato fatto in automatico dall'aggiornamento windows update.

[Omonimo]

Trovato cio' che restava del virus.
Cioe' 4 file denominati Java/CVE-2012-1723.xx il ripristino
ha distrutto i collegamenti creati dal virus nel registro,
per questo non funzionava piu', poi
li ha trovati per primo i malware remover di MS
(e poi se parla male), da quello che ho letto su internet
e' una vulnerabilita' Java conosciuta dai primi di agosto,
e da allora utilizzata da numerosi malware, gli ultimi aggiornamenti
degli AV dovrebbero ormai riconoscere questo virus.
speriamo sia finita. Per rimuoverlo a mano cercate in google
Java/CVE-2012-1723 e trovate parecchi siti con le istruzioni.

Alberto

[Nicolas1995]

Grazie delle informazioni sempre utilissime!