www.MegaLab.it

[nikodb07]

Al riavvio trovo il mio account protetto da password. -.-'
Scaricavo programmi da LimeWire... come al solito 8 su 10 sono virus, e quello che ho scaricato io è un brutto virus :

Appena scaricato questo riavvia il processo explorer.exe ogni 15-20 secondi, ma le applicazioni possono restare aperte.
Quindi mentre explorer si riavvia di continuo potevo tenere aperto un programma e utilizzarlo.
Fatta la prima scansione con Norton antivirus c'erano 6 elementi non risolti.
Fatta la seconda scansione sembrava che tutto fosse a posto ( ma non lo era perché explorer continuava a riavviarsi) [ù.ù norton]

Con Hijackthis ho trovato qualche file probabilmente responsabile in System32. I nomi non li ricordo bene, ma erano tipo jkkaUo.dll e wvOu.dll (posto log)

**************************************************************

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 03:34:49, on 20/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\snmp.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\hijakthis\HiJackThis_v2.exe
E:\KillBox.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\regedit.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?T...n&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {09C72999-5C10-41A3-A524-24661D942003} - C:\WINDOWS\system32\jkkLFxUo.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FILECO~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: (no name) - {96965D7B-F73B-4951-B03F-678213C321D1} - C:\WINDOWS\system32\wvUoppPJ.dll
O3 - Toolbar: Mostra Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q305&bd=pavilion&pf=laptop
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEDCDCE4-A2F9-486A-831E-74E759CB5CB7}: NameServer = 192.168.1.254
O20 - Winlogon Notify: jkkLFxUo - C:\WINDOWS\SYSTEM32\jkkLFxUo.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 6593 bytes
************************************************************************

Ho provato a fixarli, ma niente, cancellarli con DoctorDelete, sempre senza risultati.
In programmi c'era una nuova cartella dal nome pchealt.... cancellata, conteneva 1.exe 2.exe 3.exe 4.exe ecc ecc. (ma nulla è cambiato)

La sfiga ha voluto che Avgas non andasse, e ho dovuto reinstallarlo sempre con explorer che saltava ogni 15 secondi. Finita l'installazione mi ha chiesto di riavviare.
Fatto.

Al riavvio vedo il mio Account protetto da password, e dice: Impossibile accedere. Esistono restrizioni sull'account.

Al chè ho provato ad usare PSWRD EDITOR per togliere la password dal mio account, ma niente da fare...... anche se il procedimento sembra essere andato, mi dice sempre la stessa cosa : "Impossibile accedere. Esistono restrizioni sull'account."

In modalità provvisoria uguale, sia col mio account che con Administrator.

Brutta cacca di un virus. ti elimineremo.. spero

[ste_95]

Leggi questo articolo.

Poi, scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e postastiamo sul forum il risultato facendo attenzione a queste regole.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e postastiamo sul forum il risultato facendo attenzione a queste regole.

[nikodb07]

Leggi questo articolo.

Poi, scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e postastiamo sul forum il risultato facendo attenzione a queste regole.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e postastiamo sul forum il risultato facendo attenzione a queste regole.

Ma questo GMER come faccio a lanciarlo sul pc infetto se per entrare mi hanno messo una password nell'account?

[ste_95]

Ah, credevo che riuscissi comunque a entrare in qualche modo.
Crea il MegaLabCD e fai il boot da quello all'avvio. Dopo che lo hai avviato apri il menù Start -> Programmi -> Antivirus -> Avira Antivir.

Scansiona con Antivir tutto il computer, e vedi se trova malware, eliminali.
Poi con l'editor delle password del MegaLabCD, trova e modificala.

[nikodb07]

Creare il MegaLabCd....
Mhh.. l'ho fatto! ma nella lista dei plugins mancano solo popò di meno che GLI ANTIVIRUS!!!!!
quando cerci du abilitare un antivirus nella lista dei plugins mi dice:

pluginsCheck feiled:
missing files: antivir8.exe

Hit the [help] button to find more information about the plugin

[crazy.cat]

Devi prima aggiornare gli antivirus lanciando il comando getantivir.cmd e con il collegamento ad internet attivo.
Per gli altri antivirus hai il comando get_update.cmd da usare.
Poi attivi i plugin e crei il cd.

[nikodb07]

Devi prima aggiornare gli antivirus lanciando il comando getantivir.cmd e con il collegamento ad internet attivo.
Per gli altri antivirus hai il comando get_update.cmd da usare.
Poi attivi i plugin e crei il cd.

Devo fare la stessa cosa anche con i programmi per il cambio password?

[ste_95]

Devo fare la stessa cosa anche con i programmi per il cambio password?

No.

[nikodb07]

Devo fare la stessa cosa anche con i programmi per il cambio password?

No.

Bene bene... ora provo a rifare il FANTASTICO E INCREDIBILE MegalabCd con antivirus e programmi par password.
L'unico problema che incontrerò sarà riuscire a collegarsi alla rete... tra ip statici, dinamici e cose varie io non ci capisco niente, quindi immagino che non sarò collegato, e di conseguenza non aggiornerò l'antivirus...


problema.

[crazy.cat]

L'antivirus viene aggiornato prima di fare il cd quando lanci i comandi che ti ho detto prima.
Non serve che ti colleghi ad internet per aggiornare di nuovo l'antivirus dopo che hai fatto il cd.

[nikodb07]

Fatto il MegalabCd con antivirus e programmi per password...
Ho fatto una scansione con Avira trovando dei malware, ho anche eliminato il virus Vundo con vundofix....

Bene direste voi... invece NO!!!!!!
Ho provato a cambiare password, ma ad ogni accensione c'è sempre il mio account protetto da password! Anche Administrator in modalità provvisioria è protetto!!!
Non va mai bene!!!!!

"""""""""""" Impossibile accedere. Esistono restrizioni sull'account.""""""""""""""""""""""

Anche con la password cambiata.

La cosa curiosa è che nel mio account, con LCP risulta non esserci password. Nella lista degli account, accanto al mio c'è: nella colonna LM password, NO PASSWORD, nella colonna NT password, NO PASSWORD, poi nella colonna <8 c'è una x , LM hash NO PASSWORD infine in NT hash NO PASSWORD.
ma allora perché me la chiede??

Ho provato anche a creare nuovi account amministratore ma niente.... cambiare togleire rimuovere la password dal mio account, ma niente.
E' sempre bloccato.

Help

[ste_95]

Ti devo dire che è uno dei problemi più strani che abbia mai affrontato, e non saprei come uscirne non avendo la possibilità di fare praticamente nulla. Ti direi quindi di salvare i tuoi dati dal MegaLabCD e formattare.

[nikodb07]

E' strano! perché con PSWRD EDITOR nella lista degli account vedo il mio e accanto * disabled or locked*.
mi viene da pensare che con o senza password sia bloccato!!!
Andando avanti nella procedura, metto il nome del mio account e leggo: Account is probably locked out!
Altra domanda.. cosè una BLANK password?

[ste_95]

Altra domanda.. cosè una BLANK password?

Password bianca => Password vuota.

[nikodb07]

Non era tutto finito!!!
Oggi sono riuscito a creare col Megalabcd un account che entra nel pc...... ( non so perché prima ma di formattare ho fatto l'ultimo tentativo e sono riuscito)
Ma non sono amministratore: quando vado in "account utenti" sul pannello di controllo non vuole andare... rimane la pagina bianca.
Quando vado in c:documen and settings, c'è la cartella per accedere al mio vecchio account, ma mi dice ACCESSO NEGATO.Dalla proprietà la cartella sembra essere vuota ( 0 byte).BHO.
Se voglio andare da esegui--> msconfig, mi dice: errore di accesso negato bla bla bla potrebbe essere neccesario accedere tramite un account amministratore.

Non riesco ad accedere ad internet tramite questo account. nelle connessioni di rete non c'è nulla e pare che io non ne possa creare.
insomma.... ora dovrei sbloccare il mio account da un altro account... fattibile?

[TheHacker66]

puoi provare con l'hack per scalare i privilegi..

QUI (ma basta fare una ricerca con Google)trovi come fare. Dovrebbe andare bene da qualsiasi account. Prova.

[clic]

ma mi dice ACCESSO NEGATO.Dalla proprietà la cartella sembra essere vuota ( 0 byte).BHO.

è normale che tu non veda le dimensioni effettive della cartella con il suo contenuto, l'accesso alla cartella viene negato in tutto e per tutto. In sostanza il messaggio corretto dovrebbe essere dimensioni sconosciute e non zero ma sappiamo bene che Windows va interpretato alla pagina 777

Domanda: non hai la possibilità di staccare il disco e collegarlo ad un altro pc con un box usb esterno per fargli una bella scansione e se ti occorre, anche il recupero dei dati?

[clic]

credevo che quel trucchetto dell'utente system funzionasse solamente con NT4 e ricordavo che dal 2000 avevano apportato qualche modifica allo scheduler, la cosa mi incuriosisce
L'avanzamento dell'orario non è necessario né fattibile poiché un utente normale non è abilitato a questo tipo di modifica e comunque il task parte ugualmente senza l'avanzamento dell'orologio, almeno con il mio profilo amministrativo.
L'ho provato proprio ora su XP come amministratore e naturalmente funziona a patto di correggere la sintassi togliendo le virgolette da
at 15:25 /interactive “cmd.exe”
a
at 15:25 /interactive cmd.exe

ho notato però che se dal prompt si accede al profilo utente usando la variabile %userprofile% ci si ritrova nella cartella NetworkServices mentre il profilo dell'utente System dovrebbe trovarsi in C:\WINDOWS\system32\config\systemprofile\

Proverò a fare qualche test di "smanettamento" per capire quanto può essere pericolosa sta cosa anche se credo che con XP non funzioni

[clic]

dunque, avviato anche explorer (prima non lo avevo fatto e mi ero limitato alla riga di comando) ho potuto constatare che l'utente effettivamente loggato è proprio system. E' si, sono peggio di san tommaso

Scusate se ho spammato un pochino ma l'idea che qualche utonto mi faccia questo giochetto al lavoro mi preoccupa e devo assicurarmi che non ci sia pericolo con le vecchie installazioni di win2000. Domani sarà la prima cosa che farò!

@TheHacker66 mi ha i trovato una preoccupazione in più, non so se ringraziarti o meno

[nikodb07]

LA domanda può sembrare stupida, ma sono quelle cose che ti fanno salire un mucchio di dubbi:

quando sono nel cmd la riga di comando dice:

C:\Documents Adn Settings\Davide>

Come faccio a trovarmi solo con C:\ e basta?