Al riavvio trovo il mio account protetto da password. -.-'

[dadonene89]

Scaricavo programmi da LimeWire... come al solito 8 su 10 sono virus, e quello che ho scaricato io è un brutto virus :

Appena scaricato questo riavvia il processo explorer.exe ogni 15-20 secondi, ma le applicazioni possono restare aperte.
Quindi mentre explorer si riavvia di continuo potevo tenere aperto un programma e utilizzarlo.
Fatta la prima scansione con Norton antivirus c'erano 6 elementi non risolti.
Fatta la seconda scansione sembrava che tutto fosse a posto ( ma non lo era perchè explorer continuava a riavviarsi) [ù.ù norton]

Con Hijackthis ho trovato qualche file probabilmente responsabile in System32. I nomi non li ricordo bene, ma erano tipo jkkaUo.dll e wvOu.dll (posto log)

************************************************** ************
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 03:34:49, on 20/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.e xe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\snmp.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\hijakthis\HiJackThis_v2.exe
E:\KillBox.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\regedit.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {09C72999-5C10-41A3-A524-24661D942003} - C:\WINDOWS\system32\jkkLFxUo.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FILECO~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: (no name) - {96965D7B-F73B-4951-B03F-678213C321D1} - C:\WINDOWS\system32\wvUoppPJ.dll
O3 - Toolbar: Mostra Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q305&bd=pavili on&pf=laptop
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEDCDCE4-A2F9-486A-831E-74E759CB5CB7}: NameServer = 192.168.1.254
O20 - Winlogon Notify: jkkLFxUo - C:\WINDOWS\SYSTEM32\jkkLFxUo.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.e xe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\LuComServer_3_4.E XE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 6593 bytes
************************************************** **********************

Ho provato a fixarli, ma niente, cancellarli con DoctorDelete, sempre senza risultati.
In programmi c'era una nuova cartella dal nome pchealt.... cancellata, conteneva 1.exe 2.exe 3.exe 4.exe ecc ecc. (ma nulla è cambiato)

La sfiga ha voluto che Avgas non andasse, e ho dovuto reinstallarlo sempre con explorer che saltava ogni 15 secondi. Finita l'installazione mi ha chiesto di riavviare.
Fatto.

Al riavvio vedo il mio Account protetto da password, e dice: Impossibile accedere. Esistono restrizioni sull'account.

Al chè ho provato ad usare PSWRD EDITOR per togliere la password dal mio account, ma niente da fare...... anche se il procedimento sembra essere andato, mi dice sempre la stessa cosa : "Impossibile accedere. Esistono restrizioni sull'account."

In modalità provvisoria uguale, sia col mio account che con Administrator.

Brutta cacca di un virus. ti elimineremo.. spero

[amvinfe]

scarica http://download.bleepingcomputer.com/sUBs/ComboFix.exe
scarica sul desktop
http://www.suspectfile.com/systemscan

ti ricordo che questi tool sono rilevati, erroneamente, come malware da quasi tutti gli antivirus. Prima del loro utilizzo disabilita il tuo antivirus salvo riattivarlo prima di riconnetterti


Disconnettiti da internet
Esegui ComboFix.exe
Segui scrupolosamente le procedure descritte

riavvia se richiesto.


Esegui SystemScan ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Vai su http://www.freefilehosting.net carica il file con estensione .zip e scrivi, nella tua prossima replica l'URL per poterlo scaricare.

NB
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così

posta anche il log ComboFix.txt che troverai in C:\

[dadonene89]

Originariamente inviato da amvinfe
scarica http://download.bleepingcomputer.com/sUBs/ComboFix.exe
scarica sul desktop
http://www.suspectfile.com/systemscan

ti ricordo che questi tool sono rilevati, erroneamente, come malware da quasi tutti gli antivirus. Prima del loro utilizzo disabilita il tuo antivirus salvo riattivarlo prima di riconnetterti


Disconnettiti da internet
Esegui ComboFix.exe
Segui scrupolosamente le procedure descritte

riavvia se richiesto.


Esegui SystemScan ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Vai su http://www.freefilehosting.net carica il file con estensione .zip e scrivi, nella tua prossima replica l'URL per poterlo scaricare.

NB
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così

posta anche il log ComboFix.txt che troverai in C:\

Come faccio a entrare nel mio pc e lanciare quei programmi se lo stronzo che mi ha messo il visrus ha protetto il MIO account con una password??

[amvinfe]

leggiti questa procedura
http://www.wintricks.it/forum/showthread.php?t=130538
ed esegui poi quanto ti ho scritto

[dadonene89]

Assurdo! niente da fare!
Riesco ad entrare nel pc, ho la gestione di tutto il mio hard disk grazie a un cd boot (MegalabCd)
Grazie a questo cd sono entrato nel pc, ho fatto scansioni ed eliminato il visrus.
Ma il mio profilo è sempre bloccato da password.
Ho provato con tantissimi programmi per password a cambiarla, a rimuoverla, ma ogni volta mi dice che il mio profilo non c'è l'ha!! ma continua a chiedermela!

Ho sostituito il file SAM contenente i dettagli degli account. Dopo ciò il mio profilo non c'era nemmeno più, sostituito dal profilo "proprietario". Ma porca vacca continua a chiedermi la passwor.

[Habanero]

prova con questo:
http://home.eunet.no/pnordahl/ntpasswd/

La password la devi resettare non cambiare...

[dadonene89]

Non era tutto finito!!!
Oggi sono riuscito a creare col Megalabcd un account che entra nel pc...... ( non so perchè prima ma di formattare ho fatto l'ultimo tentativo e sono riuscito)
Ma non sono amministratore: quando vado in "account utenti" sul pannello di controllo non vuole andare... rimane la pagina bianca.
Quando vado in c:documen and settings, c'è la cartella per accedere al mio vecchio account, ma mi dice ACCESSO NEGATO.Dalla proprietà la cartella sembra essere vuota ( 0 byte).BHO.
Se voglio andare da esegui--> msconfig, mi dice: errore di accesso negato bla bla bla potrebbe essere neccesario accedere tramite un account amministratore.

Non riesco ad accedere ad internet tramite questo account. nelle connessioni di rete non c'è nulla e pare che io non ne possa creare.
insomma.... ora dovrei sbloccare il mio account da un altro account... fattibile?