www.MegaLab.it

[Jaadre]

Ciao a tutti,

ho timore che il mio pc sia infestato da Gromozon, e che lo sia già da un po' di tempo: l'ho scoperto soltanto oggi perché. per la prima volta in tanti mesi, mi sono reso conto che non è il sito di hwupgrade ad avere problemi con i server, bensì il mio pc a non permettermi l'accesso, visto che un amico con il suo portatile vi ha avuto accesso senza problemi proprio stasera da casa mia.

Allarmato ho quindi girato il web alla ricerca del perché, ed ho trovato questo forum. Grazie infinite per il vostro supporto.

Ho letto la guida per "postare" nuove discussioni in questa sezione, ma, purtroppo, pare che il virus non mi permetta neanche di aprire le relative guide per il corretto uso dei programmi consigliati.

Ho provato anche a leggere come rimuoverlo, ma ci ho ricavato solo un gran bel mal di testa.

C'è qualcuno che potrebbe seguirmi passo passo in questa cosa?

Ho proprio adesso provato a scaricare ed usare HiJackthis, ma, oltre alle difficoltà incontrate per effettuarne il download, non sembra che ne abbia scaricata una versione utilizzabile, almeno non dal mio pc. Appena eseguito, il desktop è andato per un attimo in palla, chiudendo successivamente tutte le finestre aperte.
Mai successo prima.
Sembra che, ora che "sa" che qualcuno vuole rimuoverlo, stia dando il massimo di sè...

EDIT: ah, ovviamente, quasi la totalità dei link inseriti nella pagina della guida alla rimozione di gromozon, sono risultati inservibili.

EDIT#2: bellissima questa! non mi permette neanche di visualizzare la discussione di "utente" dal titolo "Non riesco a eseguire GMER, Avenger, Hijackthis". Favoloso questo virus!

[crazy.cat]

Apri il task manager e controlla la presenza di un processo con nome strano che contenga marchi di pc, stampanti o telefonini.
Nokiaword, lexmarkstyle, nomi del genere, terminato ed eliminato questo file dovresti riuscire a collegarti dove vuoi e usare tutti i tools e l'antivirus virit per eliminare il resto.

[Jaadre]

Ciao Crazycat, grazie tante :-)

Ho trovato in task manager un file chiamato "LotusMonitor": il lotus organizer era un programma che avevo diverso tempo fa, ma l'ho cacellato, ed effettivamente mi chiedevo già da mesi come mai persistesse questa applicazione... ad ogni modo l'ho eliminato (ma si ripresenterà al prossimo riavvio, no?!) e sono riuscito a caricare molte pagine che prima non si aprivano neanche.

Tuttavia credo che non sia l'unico processo infetto, infatti non riesco ancora a visitare il forum Hwpgrade, nè ad aprire alcune discussioni di questo forum, e non sono neanche riuscito a scaricare The Avenger.

E però adesso ho almeno HiJackThis e Gmer.

Volevo farvi una screenshot del task manager (nell'eventualità che un occhio tecnico ed allenato riconoscesse qualche altro processo sospetto), ma con mio sommo stupore non so come si faccia! Credevo che si facesse ancora con il pulsante stampa da tastiera (com'ero solito fare sul mio vecchio Pentium 200 mmx): non è che qualcuno mi aggiornerebbe su come si procede? Scusate l'ignoranza...

Comunque, mi sono accorto che nella cartella Documents and Settings, ci sono molti altri utenti con nome fatto da una sfilza di caratteri alfanumerici: ho provveduto a cancellarli tutti, ma uno di essi persiste: non riesco ad eliminarlo (questo tanto per la cronaca).

Per passare ai fatti, immagino che adesso dovrei utilizzare HiJackThis e postare il log. Lo faccio al più presto.
A dopo, e un enorme grazie a questo utile forum.

EDIT: ecco il log
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12.25.42, on 27/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Antivirus Avast4\aswUpdSv.exe
C:\Programmi\Antivirus Avast4\ashServ.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ANTIVI~1\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\MemoRex\MemoRex.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Antivirus Avast4\ashMaiSv.exe
C:\Programmi\Antivirus Avast4\ashWebSv.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Lucignolooo\Impostazioni locali\Temp\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\lotusmonitor.exe",
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {676AA6B6-D381-8C63-F3FF-79079F64B23F} - C:\WINDOWS\qihng1.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {f250d521-225d-4d6b-8829-e064f944e180} - C:\WINDOWS\system32\usaa.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [rithc] "C:\DOCUME~1\LUCIGN~1\IMPOST~1\Temp\1087794.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [rithc] "C:\DOCUME~1\LUCIGN~1\IMPOST~1\Temp\1087794.exe"
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\service32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://toolbar.imageshack.us
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Antivirus Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Antivirus Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Antivirus Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Antivirus Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[BilloKenobi]

urka... scusa crazy se ti frego l'utente, ma è un miracolo della medicina ha due o tre varianti vecchissime del malware

@ jaadre

Scarica systemscan, estrailo, avvialo, metti la spunta a tutte le voci e premi "Scan". poi vai su www.easy-share.com e metti lì il suo log (che trovi in C:\suspectfile\report.txt). poi dacci il link per scaricarlo (solo quello per scaricarlo, non quello per eliminarlo dal sito di hosting)

[crazy.cat]

urka... scusa crazy se ti frego l'utente,

Nessun problema, non è che l'avessi preso in esclusiva.

Intanto qualche riga da eliminare con hijackthis e i due file in rosso da eliminare.
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\lotusmonitor.exe",
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O2 - BHO: Class - {676AA6B6-D381-8C63-F3FF-79079F64B23F} - C:\WINDOWS\qihng1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {f250d521-225d-4d6b-8829-e064f944e180} - C:\WINDOWS\system32\usaa.dll (file missing)
O4 - HKLM\..\Run: [rithc] "C:\DOCUME~1\LUCIGN~1\IMPOST~1\Temp\1087794.exe"
O4 - HKCU\..\Run: [rithc] "C:\DOCUME~1\LUCIGN~1\IMPOST~1\Temp\1087794.exe"
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\service32.exe

Adesso dovresti riuscire a fare anche la scansione con Virit che era molto efficace con questo virus.

[Jaadre]

Ciao BilloKenoby!
Immagino che per te devo essere proprio un caso divertente!!!
Mi fa un sacco di piacere sapere che c'è almeno un ritorno in termini di spasso mentre mi aiuti! :-D

Ad ogni modo non riesco a scaricare questo systemscan, e non posso proseguire nella procedura.
Se nel frattempo mi dicessi come si fa una screenshot, potrei anche postare il taskmanager...

Grazie ancora.
Spero di poter valere qualcosa come caso-studio! :-P

Per Crazy:
grazie per i suggerimenti ed il supporto; tuttavia non so come si eliminano le righe con HiJackThis, ed inoltre il secondo file in rosso che mi segnali non riesco a trovarlo (i file nascosti sono visibili nella cartella).

Per l'altro in rosso, sono riuscito a eliminarlo senza problemi.

[crazy.cat]

Rifai la scansione con hijackthis, selezioni le caselle delle righe che ti ho indicato e premi fix.
Dai una scansione con virit
http://www.tgsoft.it/italy/index_ita.html

[BilloKenobi]

Ciao BilloKenoby!
Immagino che per te devo essere proprio un caso divertente!!!
Mi fa un sacco di piacere sapere che c'è almeno un ritorno in termini di spasso mentre mi aiuti! :-D

effettivamente sì

systemscan scaricalo da qui allora (è questo file in basso, sys78841.exe) , e poi posta il log come ti ho detto. anche perché molte di quelle voci non si faranno eliminare se prima non facciamo fuori il malware. quelle che possiamo togliere ora sono

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\lotusmonitor.exe"
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [rithc] "C:\DOCUME~1\LUCIGN~1\IMPOST~1\Temp\1087794.exe"

le altre essendo relative a rootkit non possiamo toglierle per ora

[Jaadre]

Ciao,
perdonate il ritardo nella risposta, ma oggi sono stato molto impegnato.

Dunque, ho fatto come mi aveva detto Crazy.Cat nel suo ultimo post, e sembra che HiJackThis abbia fatto il suo dovere senza intoppi.
Ho quindi scaricato l'antivirus Virit e gli ho fatto fare una scansione; da notare che mi ha chiesto la cancellazione di un file (che purtroppo non ricordo più) e la mia riposta è stata affermativa.

Ecco il log di virit:
VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.N
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
27/04/2007 - 14:14:52

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\Lucignolooo\Impostazioni locali\Temp\1871871.exe Infetto da Trojan.Win32.Small.PM
* * * RIMOSSO * * *
C:\Documents and Settings\Lucignolooo\Impostazioni locali\Temp\671826.exe Infetto da Trojan.Win32.Small.PM
* * * RIMOSSO * * *
C:\Documents and Settings\Lucignolooo\Impostazioni locali\Temp\673548.exe Infetto da Trojan.Win32.Small.PM
* * * RIMOSSO * * *
C:\Documents and Settings\Lucignolooo\Impostazioni locali\Temp\675321.exe Infetto da Trojan.Win32.Small.PM
* * * RIMOSSO * * *
C:\WINDOWS\system32\LotusMonitor.exe Infetto da Trojan.Win32.Agent.AOK
* * * RIMOSSO * * *
C:\WINDOWS\system32\nul.gsk Infetto da Trojan.Win32.RootKit.N
* * * RIMOSSO * * *
C:\WINDOWS\Temp\tifx1.exe Infetto da Trojan.Win32.Agent.ADM
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 7.
Files Sospetti: 0.
Files Analizzati: 56306.
Files Totali: 56306.
Chiavi Registro rimosse: 0.
Virus Rimossi: 7.

@ BilloKenoby: vuoi che adesso faccia anche quello che mi hai chiesto nel tuo ultimo post?

Oppure volete un altro log di HiJackThis?

Tanto per aggiornarvi, adesso ho potuto rimuovere l'ultimo utente abusivo in Documents and Settings, e posso finalmente navigare sul forum di HWUpgrade.

[BilloKenobi]

sì, anche se VirIt ha fatto molto credo ci sia qualcosa da fare ancora

[Jaadre]

Ciao BilloKenoby,
scusa l'incompetenza, ma il SystemScan mi dice che non ho l'autorizzazione per lanciarlo.
A proposito di questo problema, visto che sono completamente ignorante in materia, volevo chiederti se potresti sinteticamente dirmi come posso fare in modo che ogni volta che il mio pc viene acceso, l'accesso sia fatto da Administrator, e non da semplice utente: vorrei, in poche parole, eliminare tutti gli altri utenti (anche l'utente "default").
Questo tantoper prendere due piccioni con una fava (sempre se è possibile) dal momento che adesso, immagino, qualcuno mi spiegherà come faccio ad avere queste autorizzazioni di cui parla SystemScan.

Ah, ho rilanciato HiJackThis: questo è il nuovo log:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22.58.54, on 27/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Antivirus Avast4\aswUpdSv.exe
C:\Programmi\Antivirus Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAMMI\VIR.IT-XP-LITE\viritsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Antivirus Avast4\ashMaiSv.exe
C:\Programmi\Antivirus Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ANTIVI~1\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\MemoRex\MemoRex.exe
C:\Documents and Settings\Lucignolooo\Desktop\Rischio pc\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\ashDisp.exe
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\PROGRAMMI\VIR.IT-XP-LITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://toolbar.imageshack.us
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Antivirus Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Antivirus Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Antivirus Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Antivirus Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\PROGRAMMI\VIR.IT-XP-LITE\viritsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4685 bytes

[Amantide]

Apri il registro di sistema (Start--> Esegui--> regedit) e vedi se esiste questa sottochiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe

[Jaadre]

Ciao Amantide,
grazie te per il tuo intervento, e colgo l'occasione per ringraziare ancora Crazy.Cat e BilloKenoby per il loro subitaneo, cortese e preziosissimo aiuto.

Ho controllato la cartella da te indicatami -Image File Execution Options-, ma non vi compare nessuna sottocartella, nè alcuna chiave di registro dal nome Explorer.exe (nè al suo interno, nè all'interno di ciascuna sottocartella).

[Amantide]

Meglio cosi
Allora, per rimuovere gli account "di troppo" vai su Start Esegui e scrivi control userpasswords2

Visto che non ti funziona Systemscan prova a fare la scansione con WinPFind ed allega qui il log in forma di un allegato.

[Jaadre]

Ok, fatto tutto quello che mi hai detto.

In windows permangono gli ultimi due account:
-Administrator (gruppo administrators);
-Arlecchino (gruppo administrators).

Sai percaso dirmi la differenza fra i due, e se e come posso fare a cancellarne uno senza compromettere nulla?
Il mio intento è sempre quello di poter avere solo un account, accedere sempre e solo con quello al windows, ed avere ogni volta tutte le autorizzazioni necessarie per potermi gestire il pc come desidero.

Il log del WinPFind è in allegato.

EDIT: L'ho rimosso per questioni di privacy: chi lo vuole revisionare può chiedermelo in pvt. Grazie e ciao!

[Jaadre]

Ciao,
ho paura di aver combinato un bel casino: quando, l'ultima volta che ho avuto accesso al pc, ho messo mano agli utenti, devo averla fatta grossa, perché ora, ogni volta che accendo il pc, mi chiede di scegliere tra i due utenti di cui prima vi parlavo, e di immettere una password.
Il problema è che io non ho assegnato nessuna parola d'ordine e senza di essa non riesco più a entrare in windows.
Le ho provate di tutte, ma mi viene chiesto di immettere una password finanche se avvio il pc in modalità provvisoria, sigh!

Conoscete un modo per ovviare all'inconveniente?
Non mi si era mai presentata prima questa schermata con la scelta dell'utente e l'immissione della password, e posso assicurare di non aver minimamente toccato queste impostazioni... ho solo cancellato dalla lista degli utenti l'utente "guest".

Che posso fare?

[crazy.cat]

Se non gli dai nessuna password, cosa succede?

Se proprio si è creata una password, prova a resettarla
http://www.MegaLab.it/2232

Vai poi nel pannello di controllo - account utente - cambia modalità di accesso e connessione - metti il flag nella casella di Usa la schermata iniziale, premi applica opzioni e prova a riavviare il pc.

[Jaadre]

Ciao Crazy, non smetterò mai di ringraziarvi tutti!

Dunque, se non fornisco nessuna password succede che, per l'account Administrator mi vien detto "password errata", mentre per l'account Arlecchino compare una schermata nera ed il messaggio di accesso "Il criterio locale del sistema non permette l'accesso interattivo".

Ho letto tutta la guida che mi hai fornito e ho seguito le istruzioni passo passo; il risultato è questo:

1) gli account che vengono elencati sono
RID: 01f4, Username: <Administrator> *disabled or locked*
RID: 01f5, Username: <Arlecchino> *BLANK password*
RID: 03e8, Username: <HelpAssistant> *disabled or locked*
RID: 03ea, Username: <SUPPORT_388945a0> *disabled or locked*;

2) scelto Administrator compare:
Failed login count:9, while max tries is:0
Total login count: 2
Account is probably locked out!
Do you wish me to reset the failed count, unset disabled and lockout, and set the "password never expires" option?

[a questo punto, non sapendo di cosa si trattasse, perché non presente nella guida, ho risposto no; la procedura è quindi ritornata a quanto descritto nell'articolo]

3)Alla fine, una volta eseguito tutto come da guida, il risultato è stato
# name
0 <sam> - OK

[e non # hive, 0 OK, come diceva la guida!]

Dunque ho resettato e sono corso a scrivervelo. Secondo voi cosa devo fare?

[Jaadre]

Ciao,
nell'attesa di una risposta, ho provato ad effettuare la procedura descritta nella guida anche per l'altro account, Arlecchino; i risultati ottenuti subito dopo aver optato per questo account sono stati questi (non sono andato avanti, perché mi è parso inutile, vista l'ultima riga...):

comment: Account predefinito per l'accesso come utente/ospite al computer/dominio

Failed login count:0, while max tries is:0
Total login count: 44

** LANMAN password not set. User MAY have a blank password
** Usually safe to continue. This always happen on Vista
** No NT MD4 hash found. This user probably has a BLANK password!
** No LANMAN hahs found either. Sorry cannot change. Try login with no password!

Cosa posso fare?

[crazy.cat]

Francamente mi sono perso a cercare di capire cosa potresti aver combinato e come recuperare il tutto.

Dovresti prepararti questo cd
http://www.MegaLab.it/2629
e tramite questa utility
http://www.MegaLab.it/2629/11
provare di nuovo il cambio password (che non dovrebbe riuscire) ed allora crearti un nuovo account administrator e accedere al pc con quello.
Poi una volta dentro il pc reimpostare le password degli altri account.

Oppure recuperare i dati ed eliminare gli altri account.