Circa un mese e mezzo fa sono stato contagiato da un virus chiamato MSIL.Bladabindi. Ho notato il virus abbastanza presto perché Google mi ha informato che qualcuno dalla Turchia ha tentato di accedere al mio account (sono in Italia).
Poi ho cercato la cronologia degli accessi e ho scoperto che 67.221.255.65 (che penso sia un proxy, forse correlato ad alcuni dei miei VPN?) ha provato ad accedere al mio account, ma era stato bloccato perché non era uno dei miei posizione abituale Ho scoperto che alcuni programmi hanno esportato i miei cookie di Chrome e forse li ho inviati da qualche parte. Stavo usando Kaspersky Internet Security, ma non ho notato nulla quando ho scaricato e installato il file infetto e forse ho (stupido) concesso l'accesso a Internet tramite KIS Firewall. Quindi ho eseguito una scansione con Malwarebytes e ho trovato il virus e l'ho eliminato. Successivamente ho anche utilizzato Combofix, Microsoft Malware Remover, ADWCleaner, HouseCall, Clamwin e HiJack per assicurarsi che tutto fosse a posto. Più tardi sono tornato alla cronologia degli accessi di Google e il log degli accessi sospetti è andato insieme al suddetto IP, ma l'ho tenuto (in link non mostra alcun registro di accesso prima del 26 maggio, ma forse vengono cancellati dopo un po 'di tempo.L'accesso sospetto è avvenuto il 29 aprile, con la scritta" Eventi di accesso non disponibili prima di questa data. Altre attività di seguito. "(Come la modifica della password ...)).
Il virus ha creato una chiave di registro che l'ha lanciata all'avvio ed è stata nascosta in appdata; dopo la scansione di Malwarebytes, sia la chiave di registro che i file in appdata erano spariti. Ma ora a volte ho ricevuto una notifica in Chrome che mi chiedeva se volevo utilizzare google.tr invece di google.it (non ricordo se ciò è accaduto anche prima che mi infettasse); è strano perché la posizione dell'attaccante era la Turchia (.tr è il dominio turco).
Oggi mi ha chiesto se volevo usare google.pk. A volte uso un proxy (estensione chrome) chiamato Zenmate, ma non usa gli IP turchi o pakistani. Non ho notato alcuna attività sospetta nel mio PC o nei miei account (in realtà, quando scarico materiale e guardo il monitor di rete, il contatore della velocità di download aumenta, ma anche il contatore di upload aumenta, penso sia normale, perché utilizzo NetSpeedMonitor per monitorare l'attività di rete e mostra un'elevata velocità di upload, ma quando utilizzo Windows Resource Monitor, non vedo una velocità di caricamento così elevata nella scheda Rete).
Infine, oggi ho provato a uscire dal mio account Google e ho ricevuto un messaggio strano, ha detto qualcosa del tipo: "Siamo spiacenti, dato che sei connesso a diversi servizi Google, non siamo stati in grado di disconnetterti completamente. ancora connesso ai servizi nei seguenti domini. Se vuoi continuare a provare a disconnetterti da questi domini, fai clic sul pulsante "riprova". Quindi ho fatto clic su quel pulsante ma ho ricevuto un messaggio di errore (questo servizio non è disponibile in questo momento ...).
Quindi penso che qualcuno abbia rubato i miei cookies e stia usando il mio account, anche se ho cambiato la mia password dopo aver eliminato il virus, ma forse i cookie non sono ancora annullati. Come posso annullarli? Perché google dice che non ho accessi contemporanei nel mio account, ma quando provo a disconnetterlo dice che sono connesso a servizi diversi?
Sono ancora infetto? Qualcuno sta usando il mio account? Cosa posso fare? Che cosa significa il messaggio post-logout?
Spero che capirai il mio inglese distorto e avrò la pazienza di leggere il mio lungo post. Sono su Windows 7, Chrome 35, KIS 2014.
Grazie in anticipo.