BRIZ.F

[rig1]

Ho letto dal sito di pandasoftware che c'è in giro un nuovo Trojan (Briz.F appunto) che ruba dati bancari del pc in cui risiede. Per fare ciò scarica alcuni file su l pc infetto: iexplore.exe, ieschedule.exe, smss.exe, ieredir.exe. Per sicurezza ho fatto un analisi con panda platinum al mio pc e non è risultato nulla. Però se guardo tra i processi attivi scopro che c'è smss.exe. Devo preoccuparmi?

[rig1]

aggiungo log di hijackthis. Se qualcuno sa dirmi se e cosa devo eliminare...

[wgator]

Ciao,

il processo smss.exe ce l'abbamo tutti, fa parte del sistema operativo. Il "vero" smss.exe di Microsoft risiede in windows\system32. L'importante è che non ce ne siano altri in giro, ad esempio in c:\windows oppure in c:\windows\system (senza 32)

Se vuoi fare una verifica, dopo aver attivato la visualizzazione dei file e delle cartelle nascoste lancia una ricerca sul tuo pc: dovresti trovarlo solo in "system32" e il relativo back-up in "dllcache"... Al massimo ce ne potrebbe essere un altro in "i386" se il tuo S.O. è preinstallato; eventuali altri sono clandestini

[rig1]

Quote:

Originariamente inviato da wgator

Ciao,

Se vuoi fare una verifica, dopo aver attivato la visualizzazione dei file e delle cartelle nascoste lancia una ricerca sul tuo pc: dovresti trovarlo solo in "system32"

Grazie per la risposta, in effetti la ricerca file mi ha trovato un unico smss.exe in "system32" . Approfitto della tua gentilezza per chiederti se nel log che ho postato c'è qualche cosa di sospetto...
Grazie ancora

[tutmosi3]

Anche io getto acqua sul fuoco.
Il processo è normale in tutti gli XP e le indicazioni di wgator sono ottime.
Quello che mi fa sorridere è che il virus, dovrebbe rubare i dati bancari.
E come fa?
E' in grado di capire che mi connetto ad un sito di home banking?
Insomma, non cliccare a casaccio su internet, non parire allegato sospetti ed andrai sempre tranquillo.

Ciao

[manganese]

Io fisserei questa
F2 - REG:system.ini: Shell=


Una cosa da verificare è se conosci la provenenza di questo activeX.
O16 - DPF: {6B9495E8-EE43-11D1-AEC6-006097D60BAC} (DlgCtl Control) - http://zdots.com/sipphone/ocx/DlgCtl.cab

[rig1]

Quote:

Originariamente inviato da tutmosi3

Quello che mi fa sorridere è che il virus, dovrebbe rubare i dati bancari.
E come fa?
E' in grado di capire che mi connetto ad un sito di home banking

Io ho letto qui: http://www.pandasoftware.it/newshomepage.php?id=47
Per il resto non vado mai su siti sospetti nè tantomeno scarico file... Sono prudentissimo!

[manganese]

Io invece faccio il piromane
Se è vero quello che anno scritto (e non deriva dalla voglia di vendere prodotti antivirus) cè da preoccuparsi.
http://www.anti-phishing.it/news/art....020520062.php

[manganese]

Anticipato mentre leggevo.

Faccio un discorso un pò ad ampio spettro. (OT ma mica tanto)
Io stò tenendo sempre più in considerazione l'efficacia dei programmi "preventivi" quelli di cui si parla nell'apposito 3d: Prevenire ecc.
Mi spiace che la nuova relase di ewido non ne incorpori uno...
SpySweeper da quel punto di vista è più efficace.

[tutmosi3]

Quote:

Originariamente inviato da manganese

Anticipato mentre leggevo.

Faccio un discorso un pò ad ampio spettro. (OT ma mica tanto)
Io stò tenendo sempre più in considerazione l'efficacia dei programmi "preventivi" quelli di cui si parla nell'apposito 3d: Prevenire ecc.
Mi spiace che la nuova relase di ewido non ne incorpori uno...
SpySweeper da quel punto di vista è più efficace.

Io ho provato Spysweeper.
E' il miglior antispyware che abbia mai visto. Ottima anche la protezione in real time. Di contro c'è una certa pesantezza ed il fatto che non è freeware (però non costa tanto).
Ciao

[rig1]

Quote:

Originariamente inviato da manganese

Una cosa da verificare è se conosci la provenenza di questo activeX.
O16 - DPF: {6B9495E8-EE43-11D1-AEC6-006097D60BAC} (DlgCtl Control) - http://zdots.com/sipphone/ocx/DlgCtl.cab

Non saprei.... dici che è meglio fixarla?

e di questi cosa dici: li lascio?

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = Host-4
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = Host-4
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = Host-4

[manganese]

Io nel dubbio fisso, poi se qualcosa non funziona posso recuperarla dal backup.

[rig1]

ops! ho editato dopo la tua risposta

[manganese]

Quote:

Originariamente inviato da rig1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = Host-4
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = Host-4
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = Host-4

bella domanda!
Quei parametri sono stati configurati secondo le caratteristiche della tua connessione di rete (una specie di elenco di DNS)

Non ho mai visto questo schema, ma non mi pare "maligno".

[rig1]

Si scusa, hai ragione, l' Host-4 sono "io", il mio pc è in rete con altri "Host"... E' tutto ok... Ho fixato la riga precedente, se ci saranno problemi userò il backup. Grazie mille!