PDA

Visualizza versione completa : Cracker msn?


gore
30-07-2008, 20.19.39
Ciao a tutti,
oggi, mentre ero su msn, si è collegato un mio contatto lasciandomi un link e poi scollegandosi subito. Il link era composto da http://IL MIO NICKNAME.picshotz.com.
Li per li, non capendo cosa volesse dire, ho cliccato il link. Mi è apparsa una schermata fasulla di messenger che mi chiedeva di inserire nome utente e password. Ovviamente non l'ho fatto, immaginando che un cracker stesse, dal suo pc, inviando ai suoi contatti questo scherzetto per rubargli la password.
La mia domanda è: cliccando sul link ho corso comunque il rischio di infettare il mio pc?
Grazie ;)

cascavel
30-07-2008, 20.31.29
fai un controllo con questo

http://sosvirus.changelog.fr/MSNFix.zip Dopo averlo scaricato e decompresso troverai una cartella contenente la cartella MSNFix
Aprila e doppio click su MSNFix.bat per lanciare il tool
Scegli la lingua e premi un tasto qualunque per proseguire
apparira' questa finestra come quella che segue;http://www.steven.altervista.org/images/msnfix1.jpg
Clicca R e poi su ENTER per continuare
Se un infezione verrà rilevata basta premere un tasto per eliminarla.
Attendi......
Alla fine dell'operazione si aprirà un rapporto con i dettagli, nel caso contrario vorrà dire che MSNFix necessità di un riavvio per portare a termine la pulizia.

p.s. se hai vista disattiva il UAC

gore
30-07-2008, 20.37.26
fai un controllo con questo

http://sosvirus.changelog.fr/MSNFix.zip Dopo averlo scaricato e decompresso troverai una cartella contenente la cartella MSNFix
Aprila e doppio click su MSNFix.bat per lanciare il tool
Scegli la lingua e premi un tasto qualunque per proseguire
apparira' questa finestra come quella che segue;http://www.steven.altervista.org/images/msnfix1.jpg
Clicca R e poi su ENTER per continuare
Se un infezione verrà rilevata basta premere un tasto per eliminarla.
Attendi......
Alla fine dell'operazione si aprirà un rapporto con i dettagli, nel caso contrario vorrà dire che MSNFix necessità di un riavvio per portare a termine la pulizia.

p.s. se hai vista disattiva il UAC

Ti ringrazio..
Mi appare una schermata blu con scritto Errore e "Please UNzip..", penso che significhi che non l'ho decompresso.. Scusa l'ignoranza ma come si fa? :x:

cascavel
30-07-2008, 20.44.48
Ti ringrazio..
Mi appare una schermata blu con scritto Errore e "Please UNzip..", penso che significhi che non l'ho decompresso.. Scusa l'ignoranza ma come si fa? :x:
tasto destro sull'oggetto estrai tutto....

leofelix
31-07-2008, 01.33.12
ciao,
cliccando sul link che ti inviano ti appare una pagina di phishing dove ti chiedono nome utente e password di MSN, giusto?
Ecco ovviamente non inserire i tuoi dati: e' una trappola.
Il tuo sistema non dovrebbe essere infetto e nemmeno quello di chi ti ha mandato il link, ma chi ti ha inviato inconsapevolmente quel link dovrebbe cambiare immediatamente la password (che qualcuno ha compromesso) e la domanda segreta di Windows Live Messenger, facendo accesso qui
http://login.live.com/
e cliccando su "password dimenticata", quindi farsi rimandare la password, cambiarla e confermare la nuova.
Anzi forse è bene che questa procedura la segui anche tu
:)

gore
31-07-2008, 10.28.29
ciao,
cliccando sul link che ti inviano ti appare una pagina di phishing dove ti chiedono nome utente e password di MSN, giusto?
Ecco ovviamente non inserire i tuoi dati: e' una trappola.
Il tuo sistema non dovrebbe essere infetto e nemmeno quello di chi ti ha mandato il link, ma chi ti ha inviato inconsapevolmente quel link dovrebbe cambiare immediatamente la password (che qualcuno ha compromesso) e la domanda segreta di Windows Live Messenger, facendo accesso qui
http://login.live.com/
e cliccando su "password dimenticata", quindi farsi rimandare la password, cambiarla e confermare la nuova.
Anzi forse è bene che questa procedura la segui anche tu
:)

Ciao, ti ringrazio dell'aiuto :)
Ho fatto delle ricerche su internet e mi sembra di aver capito che si tratti di fake login, e che non sia molto difficile realizzarlo. Quindi potrebbe anche essermi stato mandato dalla persona in questione giusto? (o da qualche spyware che ha accesso al suo msn)..
Comunque ho provveduto subito a cambiare password, dici sia utile anche cambiare la domanda segreta?
Un ultima cosa: secondo te a quale scopo queste persone avrebbero interesse a rubare la mia password?
Grazie ancora :jump:

crazy.cat
31-07-2008, 11.32.10
Un ultima cosa: secondo te a quale scopo queste persone avrebbero interesse a rubare la mia password?
Qualsiasi dato personale tu abbia inserito al momento della registrazione su un qualsiasi sito/servizio (telefono, indirizzo di casa, età....) ha sempre un suo valore di mercato e può essere rivenduto.
Il furto di password è un mercato molto florido e in espansione.

Losko
31-07-2008, 12.14.35
Per non parlare del furto di identità e/o peggio ancora truffe effettuate appunto con l'utilizzo dei tuoi dati.

gore
01-08-2008, 21.46.41
Posto qui il log di HiJAck This, anche perchè avast mi ha appena rilevato il trojan Win32 BHO:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.45.59, on 01/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\Panasonic\LUMIXSimpleViewer\PhLeAutoR un.exe
C:\Programmi\RALINK\Common\RaUI.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.BIN
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\a-squared Anti-Malware\a2service.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\PC Tools Firewall Plus\FWService.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Programmi\Alwil Software\Avast4\ashSimpl.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Alwil Software\Avast4\ashSimpl.exe
C:\Programmi\Alwil Software\Avast4\ashChest.exe
C:\Documents and Settings\user\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119 .1736\swg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language. exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [00PCTFW] "C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programmi\RALINK\Common\RaUI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Malware\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Programmi\PC Tools Firewall Plus\FWService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe

--
End of file - 7717 bytes

cascavel
01-08-2008, 21.56.31
il log e' pulito, esegui una scansione online qui http://www.bitdefender.com/scan8/ie.html chiaramente usando I.E.

Giorgius
02-08-2008, 17.12.40
Al posto di usare il solito MSN annualmente bucato, provate "aMSN" ;)

http://www.amsn-project.net/forums/templates/MorpheusXSteelBlue/images/sblue/logo.gif
Sito Web: http://www.amsn-project.net/
Forum: http://www.amsn-project.net/forums/

Lorenzo3
07-08-2008, 11.07.36
fai un controllo con questo

http://sosvirus.changelog.fr/MSNFix.zip Dopo averlo scaricato e decompresso troverai una cartella contenente la cartella MSNFix
Aprila e doppio click su MSNFix.bat per lanciare il tool
Scegli la lingua e premi un tasto qualunque per proseguire
apparira' questa finestra come quella che segue;http://www.steven.altervista.org/images/msnfix1.jpg
Clicca R e poi su ENTER per continuare
Se un infezione verrà rilevata basta premere un tasto per eliminarla.
Attendi......
Alla fine dell'operazione si aprirà un rapporto con i dettagli, nel caso contrario vorrà dire che MSNFix necessità di un riavvio per portare a termine la pulizia.

p.s. se hai vista disattiva il UAC

Ehm... perché quella frase "l'uso è a vostro rischio e pericolo?"

shadowDK
07-08-2008, 12.18.38
Al posto di usare il solito MSN annualmente bucato, provate "aMSN" ;)
A me chrashava spesso...ma usandolo a lavoro non ero stato più di tanto a provarlo, probabile che avessi installato male qualcosa! Bello cmq, nolto più bello di msn secondo me!

cascavel
07-08-2008, 13.26.29
Ehm... perché quella frase "l'uso è a vostro rischio e pericolo?"
e' un normalissimo disclaimer. tutti i software di sicurezza ,come antispyware o antivirus ,che compiono rimozioni hanno diciture di quel tipo.

leofelix
07-08-2008, 15.14.48
il log e' pulito, esegui una scansione online qui http://www.bitdefender.com/scan8/ie.html chiaramente usando I.E.


la wintricker gore non farà mai questo controllo visto che è allergica a Internet Explorer :lol:

Però un controllo via Firefox attraverso questo sito


http://housecall.trendmicro.com/it/

potrebbe anche tentarlo;)


leofallax de la Mancha particolarmente dispettoso :devil:

cascavel
07-08-2008, 15.38.29
la wintricker gore non farà mai questo controllo visto che è allergica a Internet Explorer :lol:

Però un controllo via Firefox attraverso questo sito


http://housecall.trendmicro.com/it/

potrebbe anche tentarlo;)


leofallax de la Mancha particolarmente dispettoso :devil:
anche io sono allergico ad IE7, lo tengo solo per queste evenienze scan on line perche' la rilevazione/rimozione di bitdefender online e', secondo me, superiore ad ogni altro online scanner. forse solo questo http://www.eset.com/onlinescan/ gli si avvicina..ma e' un pensiero legato alle mie esperienze.

Lorenzo3
07-08-2008, 20.01.15
e' un normalissimo disclaimer. tutti i software di sicurezza ,come antispyware o antivirus ,che compiono rimozioni hanno diciture di quel tipo.

Allora è la prima volta che la noto :)... speriamo abbene.