| Precedente :: Successivo |
| Autore |
Messaggio |
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
 Inviato: 29 Lug 2009 20:29 Oggetto: Utente system$ |
 |
|
Salve a tutti .
Da un giorno all'altro, all'avvio del PC, mi compare un ulteriore utente cioe SYSTEM$.
Il PC non mi da particolari problemi, pero' volevo sapere se qualcuno e' entrato nel pc ed ha creato questo utente!.
Allego, non so e' utile un log di HJ.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:21, on 2009-07-29
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\ccSetMgr.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\MSSQL7\binn\sqlservr.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\SamsungSM\PanelMgr\ssmmgr.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SamsungSM PanelMgr] C:\WINDOWS\SamsungSM\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Symantec Setting Managers (DefWatchs) - Symantec Corporation - C:\WINDOWS\system32\ccSetMgr.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Program Compatibility Assistan (PctaSvc) - Unknown owner - C:\Programmi\R_Server\Slsvc.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
--
End of file - 4551 bytes
Vi sarei grato se mi rispondeste!!!!
Ciao Giova 78. |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
ste_95
Dio maturo
Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
|
| Inviato: 29 Lug 2009 21:27 Oggetto: |
|
|
Il log è pulito, e l'utente è legittimo. Cito da axnet.it:
| Citazione: | L' utente System non è altro che il Sistema Operativo, molti processi
avviati da XP vengono eseguiti utilizzando proprio quell' account, se lo
elimini (cosa non possibile visto che è protetto) non ti funzionerebbe più
una cippa. |
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 29 Lug 2009 21:32 Oggetto: |
|
|
Ciao ste_95, 
credo che giova78 si riferisca al fatto di trovare un utente sconosciuto in fase di accesso al pc. 
L'utente SYSTEM, nei processi, è legittimo, ma trovare un utente SYSTEM$ all'accensione mi pare quanto meno curioso.  |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 29 Lug 2009 22:59 Oggetto: |
|
|
Ciao bdoriano.
Innanzi tutto ti ringrazio per avermi risposto !!!!!!!
Ho seguito le tue indicazioni........... ecco il link
report.txt
Ciao Ciao |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 29 Lug 2009 23:52 Oggetto: |
|
|
Prego. 
| Citazione: | Users on this computer:
Is Admin? | Username
------------------
Yes | Administrator
| ALESSANDRA
Yes | GIOVANNI
| Guest (Disabled)
| HelpAssistant (Disabled)
| SQLAgentCmdExec
Yes | SUPPORT_388945a0
Yes | system$ |
Effettivamente c'è un utente system$ con poteri amministrativi...
Domandina (non c'entra nulla, ma mi serve per un chiarimento): prima di usare Avira, avevi installato AVG?
Domani mi leggo il log per bene e ti dico se c'è qualcosa che non va. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 30 Lug 2009 01:08 Oggetto: |
|
|
| ste_95 ha scritto: | | Il log è pulito, e l'utente è legittimo. |
Ste, ciao, forse ti è sfuggito, il log non proprio del tutto pulito:
| Citazione: | | O23 - Service: Program Compatibility Assistan (PctaSvc) - Unknown owner - C:\Programmi\R_Server\Slsvc.exe (file missing) |
Tra le altre cose è un servizio che non viene eseguito dalla cartella System32, quindi è probabile che non sia legittimo o quanto meno è dubbio.
Inoltre (ma questo è il meno) dal log di Hijackthis si evince che diversi software di terze parti sono da aggiornare (compreso IE che è ancora alla V6) e sono ancora presenti residui che fanno rifermiento a Norton:
| Citazione: | | O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe |
Per la questione utente System$ sarebbe utile sapere se è quali applicazioni sono state eventualmente installate prima della sua comparsa.
| bdoriano ha scritto: | | Effettivamente c'è un utente system$ con poteri amministrativi... |
Che non è una bella cosa, non sapendo di cosa si tratta
Intanto, provvisoriamente, suggerirei di intervenire, abbassando i privilegi a quell'utente. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 30 Lug 2009 07:20 Oggetto: |
|
|
| Riverside ha scritto: | | bdoriano ha scritto: | | Effettivamente c'è un utente system$ con poteri amministrativi... |
Che non è una bella cosa, non sapendo di cosa si tratta
Intanto, provvisoriamente, suggerirei di intervenire, abbassando i privilegi a quell'utente. |
Buona idea! 
Sinceramente non ci avevo pensato...
@giova78
procedi così:
- Da un'utenza con poteri amministrativi (nel tuo caso, va bene GIOVANNI)
- Clicca Start
- Clicca Impostazioni
- Clicca Pannello di controllo
- Visualizzazione classica
- Clicca Account utente
- Clicca Modifica account
- Visualizzazione per categorie
- Clicca Account utente
- Clicca Cambia un account
- Scegli l'account system$
- Clicca Cambia tipo di account
- Scegli Limitato
- Clicca il bottone Cambia il tipo di account
Da questo momento, l'account perderà poteri amministrativi. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 30 Lug 2009 08:54 Oggetto: |
|
|
| bdoriano ha scritto: | | Buona idea! |
Bueno, mentre tu analizzi il log si SystemScan (non mi pare ci sia nulla di particolare, ma potrebbe - anzi è certo - essermi sfuggito qualcosa), direi di iniziare a fare un controllo.
Quindi Giova dopo aver seguito le istruzioni di Bdoriano per quanto riguarda l'abbassare i privilegi all'utente System$, esegui questa prima procedura:
Disattiva il Ripristino configurazione di sistema:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino alla risoluzione del probema
Svuota del suo contenuto la cartella Prefetch:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)
1) Scarica Norman Malware Cleaner: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, i tool che hai scaricato
2) Scarica Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, i tool che hai scaricato
● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer
● accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore
● lancia Norman ed esegui una scansione completa
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman1 e riavvia il sistema
● accedi nuovamente al sistema in modalità provvisoria con un account con privilegi di Amministratore
● rilancia Norman ed esegui una seconda scansione completa
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman2 e riavvia il sistema
● accedi nuovamente al sistema in modalità provvisoria con un account con privilegi di Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log
● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contraio, riavvialo tu)
Note: durante la scansione
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● protrebbe venire rilasciato un messaggio in relazione all'antivirus in uso: prosegui ingnorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
Verrà creato un log in Disco Locale C: dal nome combofix.txt che dovrai allegare
Conclusi questi passaggi:
● riavvia il sistema in modalità normale
● ricollega, fisicamente, il modem al computer
● connettiti a Internet
● rilancia Hijackthis
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log: salvalo sul desktop
allega, in questa sequenza, tutti i log che hai salvato
● Norman1
● Norman2
● Combofix
● Hijackthis
Per allegare i log utilizza questo servizio di upload: clicca qui per wikisend
pubblicando, nella discussione, il link che verrà rilasciato dopo il caricamento di ogni singolo file. |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 31 Lug 2009 22:23 Oggetto: |
|
|
Ciao a tutti!!!!
Per prima cosa, come mi avete suggerito, ho limitato i poteri dell' utente system$.
A Bdoriano:
si effettivamente avevo AVG che ho sostituito con Avira.
il fatto è che nonostante lo abbia eliminato, in qualche modo c'è sempre una sua traccia.
A Riverside:
ringrazio anche te per l'aiuto che sicuramente mi sarà utile ancora una volta!!!!
Cmq nel log di HJ la voce:
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe ho provato a fixarla, anche in modalità provvisoria, ma ad ogni scansione ricompare puntualmente.
Norman 1.log
Norman 2.log
ComboFix.txt
hijackthis.log
Ciao Giova |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 01 Ago 2009 10:54 Oggetto: |
|
|
Ragazzi adesso ho un ulteriore problema.
Quando riavvio normalmente il pc mi compare questa scritta :
Your SQL Server installation is either corrupt or has been tampered
with (unknown package ID), please rerun Setup...
 |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 01 Ago 2009 11:20 Oggetto: |
|
|
| Citazione: | Cmq nel log di HJ la voce:
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe ho provato a fixarla, anche in modalità provvisoria, ma ad ogni scansione ricompare puntualmente. |
Ma chi ti a detto di fixarla??
| giova78 ha scritto: | Quando riavvio normalmente il pc mi compare questa scritta :
Your SQL Server installation is either corrupt or has been tampered
with (unknown package ID), please rerun Setup... |
Interessante.
Intanto ti avevo chiesto se prima che si evidenziasse il problema che hai segnalato, avevi installato dei software (la questione utente System$) e non hai risposto.
Ora, oltre a quello ti chiedo se e cosa hai disinstallato; ma non solo: quanti e quali programmi craccati girano su quella macchina?. |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 01 Ago 2009 11:52 Oggetto: |
|
|
Scusa mi era sfuggito.....
Cmq non ho installato ne disinstallato nessun programma.
Per quanto riguarda i programmi, di craccati non ne ho anche perche' il pc lo uso poco e non particolari esigenze.
Ciao ciao |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 01 Ago 2009 12:28 Oggetto: |
|
|
P.S.
Avevo AVG craccato, ma l'ho disinstallato molto tempo fa quando, sotto tuo suggerimento, installai Avira !!!!!!! |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 19 Ago 2009 01:33 Oggetto: |
|
|
Ciao Riverside!
allora ti chise e' possibile riprendere il lavoro che stavamo facendo !!!!
Ciao ciao !!! |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 19 Ago 2009 08:47 Oggetto: |
|
|
| giova78 ha scritto: | | .... e' possibile riprendere il lavoro che stavamo facendo .... |
Vediamo.
Intanto i log che avevi pubblicato sono scaduti e non più analizzabili, quindi ripeti la scansione con Combofix in modalità provvisoria, ed allega il log che verrà rilasciato.
Dopo aver eseguito Combofix, rilancia Hijackthis ed allega un nuovo log. |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 19 Ago 2009 11:11 Oggetto: |
|
|
Allora, vai in Windows Upadate, intanto, e scarica tutti gli aggiornamenti disponbili (I.E., per esempio, non è aggiornato).
Per la questione dell'utente System$ (se non sbaglio gli avevi abbassato i privilegi) laasciamo tutto come è (vediamo dopo) però ho ho bisogno che tu mi dica (se ti ricordi) cosa hai installato di recente.
Quell'utente è stato creato da qualcosa e mi piacerebbe capire da cosa (un pò per risolvere la tua questione ed un pò perché, trattandosi di una cosa nuova e che non mi è mai capitato di vedere, mi intriga).
Non è che per caso hai installato dei software di virtualizzazione?.
Il computer viene utilizzato solo in casa e per uso personale?.
Quando hai scaricato tutti gli aggiornamernti, allega un nuovo log di Hijackthis. |
|
| Top |
|
|
giova78
Eroe in grazia degli dei
Registrato: 18/01/09 18:33
Messaggi: 85
|
| Inviato: 19 Ago 2009 15:07 Oggetto: |
|
|
ciao riverside
ti ricordi bene i poteri di Sistem$ già li limitammo l'altra volta.
Per navigare uso Firefox perciò non aggiorno I.E. cmq
non riesco a scaricare gli aggiornamenti.
in windows update quandocerco di scaricarli mi dice:
File necessari per l'utilizzo di Windows Update non sono più registrati o installati nel computer in uso. Per continuare:Registra o reinstalla i file automaticamente (scelta consigliata)
continuo, clicco sulla scelta consigliata, mi cerca gli ultimi aggiornamenti e poi mi compare questo messaggio:
Impossibile visualizzare la pagina richiesta a causa di un errore. Le risorse seguenti possono essere utili per la risoluzione del problema
ti ricordo, cmq, e non so se c'entra qualcosa che ho anche un problema con MSSQL, infatti all'avvio del pc e dula navigazione mi compare continuamente questo messaggio:
Your SQL Server installation is either corrupt or has been tampered
with (unknown package ID), please rerun Setup...
di recente non ho installato nulla.
Per quanto riguarda il software di virtualizzazione, se ti riferisci ad un programma che ti permette di far girare un altro S.O. , si ne ho uno e' "Sun xVM Virtualbox" ma l'ho gia' installato da un bel pezzo !!!!
Per continuare a risponderti, il pc viene utilizzato solo a casa e per uso personale
Ciao ciao |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 19 Ago 2009 21:34 Oggetto: |
 |
|
Andiamo bene:
> un utente che non si sa da dove salti fuori;
> Windows Update che si è perso i file (quindi sistema non aggiornabile);
> SQL Server che si è corrotto.
Scusa Giova, per i miracoli mi sto attrezzando .... ma ci vorrà del tempo
Suggerimento: passa alla formattazione, fai, decisamente prima.
E' totalmente inutile andare per tentativi. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
