| Precedente :: Successivo |
| Autore |
Messaggio |
Batigol1967
Comune mortale
Registrato: 24/06/13 12:04
Messaggi: 4
|
 Inviato: 24 Giu 2013 12:17 Oggetto: Account Utente duplicato !! |
 |
|
Ciao a tutti, ho un pc con Windows Xp Professional, sicuramente ho preso un virus/trojan.
All'avvio mi chiede con quale utente accedere ma in pratica crea un altro utente similare che non contiene più i miei dati: ad esempio, se accedo all'utente PIPPO nella cartella Documents and Settings troverò sia la cartella PIPPO (con tutti i dati dentro) ed una chiamata PIPPO.PLUTO. Se creo un nuovo account PAPERINO e vi copio dentro i dati di PIPPO funziona tutto fino al successivo spengimento e riavvio creando una nuova cartella chiamata PAPERINO.PLUTO o la variante PAPERINO1.PLUTO, ritornando al punto iniziale di non funzionamento
Ho provato vari antispyware/malware ma senza risultati.
Vi prego aiutatemi !!
Grazie |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 24 Giu 2013 13:04 Oggetto: |
|
|
Ciao, e benvenuto.
Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548
Posta il log.
Per postare il log:
Collegati ad internet e vai alla pagina WikiSend:
link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum. |
|
| Top |
|
|
Batigol1967
Comune mortale
Registrato: 24/06/13 12:04
Messaggi: 4
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 28 Giu 2013 18:56 Oggetto: |
|
|
Ciao.
Gli account attivi sul pc sono questi:
| Citazione: | Yes | Administrator
Yes | FRA
Yes | FRA1
Yes | VIOLA |
Qual'è quello farlocco? ( FRA oppure FRA1 )
Ho visto che hai fatto anche una scansione con Combofix.( eseguita il 27/06/2013 e cioè ieri)
Puoi postarmi il log ?
Si trova in questo percorso:
E:\ComboFix.txt |
|
| Top |
|
|
Batigol1967
Comune mortale
Registrato: 24/06/13 12:04
Messaggi: 4
|
| Inviato: 01 Lug 2013 09:49 Oggetto: |
|
|
GRazie, l'account "viola" era una prova e l'ho già eliminato.
L'account FRA è il mio originale, FRA1 è una prova che ho fatto dopo aver scoperto questo problema.
Il virus crea una cartella in documents & settings chiamata FRA.FRANCESCO, copia "light" della cartella FRA: quando all'avvio seleziono l'account FRA, automaticamente mi fa partire con la cartella FRA.FRANCESCO.
Idem se volessi partire con l'account FRA1, mi "gira" a FRA1.FRANCESCO
Questo è il report di combofix rifatto alle 12.42
ComboFix.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Lug 2013 18:43 Oggetto: |
|
|
Ciao.
Hai il pc piuttosto incasinato.
Innanzi tutto bisogna controllare L'MBR (Master Boot Record) per vedere se è infetto:
Scarica MBRCheck, e e salvalo sul desktop.
link
Chiudi tutti i programmi.
Doppio click su MBRCheck, che hai scaricato sul desktop, ed eseguilo.
Attendi la fine della scansione.
Finita la scansione (dura pochissimo) posta il log che troverai sul desktop
| Citazione: | | l'account "viola" era una prova e l'ho già eliminato |
.
Bisogna vedere come lo hai eliminato.
Per una eliminazione corretta segui queste indicazioni: (il mio consiglio è quello di eliminare TUTTI gli account fuorchè il tuo account originale, e quello denominato "Administrator").
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)
Conferma con Applica e poi OK.
POI:
Start.
Esegui.
Copia- incolla questo comando:
control userpasswords2
Ti appare l'elenco degli account.
Seleziona (uno alla volta) gli account da eliminare e clicca su "Rimuovi".
Poi:
Dal Pannello di Controllo vai in Strumenti di Amministrazione ed apri Gestione Computer.
Espandi(clicca sul +) la visualizzazione di Utenti e gruppi locali.
Clicca una volta, sopra la cartellina Users,e sulla destra della pagina,trovi l'account che hai eliminato precedentemente
Clicca con il tasto destro del mouse, sull'account .
clicca su: Proprietà.
Nella finestra di dialogo Proprietà metti la spunta, a l'opzione: Account disabilitato.
Poi, clicca nuovamente su: Proprietà, clicca sulla tabella in alto: "Membro di" e se nel box appare Amministratore, (sempre sull'account farlocco) selezionalo, e premi il tasto "Rimuovi": in questo modo si esclude l'account farlocco dal gruppo Amministratori.
Poi devi seguire questo percorso:
e:\documents and settings
All'interno della cartella "documents and settings" dovresti trovare una cartella con gli account che hai eliminato.
Devi eliminare le cartelle con il nome degli account farlocchi che vedi. (in pratica quelli che si rigenerano)
Poi:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
| Codice: | KillAll::
Driver::
FixZeroAccess
MFE_RR
File::
e:\windows\system32\drivers\RKHit.sys
e:\windows\system32\drivers\FixZeroAccess.sys
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"3400438930"=- |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
Tutto chiaro?
Se NO, chiedi senza problemi. |
|
| Top |
|
|
Batigol1967
Comune mortale
Registrato: 24/06/13 12:04
Messaggi: 4
|
| Inviato: 01 Lug 2013 19:32 Oggetto: |
|
|
Grazie R16, domattina provo i tuoi consigli e ti faccio sapere.
Grazie ancora |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Lug 2013 21:04 Oggetto: |
 |
|
| Citazione: | | domattina provo i tuoi consigli e ti faccio sapere. |
Fai le cose con calma.
Segui con attenzione le indicazioni, e non dovresti avere problemi. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
