| Autore |
 Discussione  |
|
|
oxygendelta
New Member
36 Messaggi |
 Inserito il - 30/06/2007 : 16:16:08
|
Allora partiamo dal principio:
Una volta mi è successo che la connessione ad internet su vista da un momento all'altro cadeva e non mi si connetteva più fino al prossimo riavvio. Di recente riavviando ho scoperto che in pratica il mio account non è più amministratore ma è bensì diventato guest. Il problema è che non posso più recuperare ciò che una volta era il mio account amministratore, compresa la cartella dell'utente con documenti ecc.e per giunta il mio antivirus windows live one care ha smesso di funzionare rendendo impossibile l'avvio di uno scan. Stessa cosa vale anche per windows defender che non si apre e mi dice accesso negato allora ho pensato: "disinstalliamo live one care e installiamo trial di antivirus...non lo posso fare perché non godo più di privilegi di amministratore. Vi posto qui il .log di hijackthis:
log.txt
|
Modificato da - Yves in Data 30/06/2007 19:01:19
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 01/07/2007 : 02:14:35
|
Un pò di robetta malvagia c'è di sicuro:
O4 - HKLM\..\Run: [System Updater] C:\WINDOWS\system32\Sysupd\sysupd.exe -detach
O4 - HKLM\..\Run: [FASTTRACKPassepartout] C:\Windows\Passepartout.exe -A
Ma sicuramente c'è altro, e se in più sono riusciti a toglierti i privilegi di root sarà una bella storiella 
Aspetta uno dei nostri esperti ed incrocia le dita 
ciao. |
Modificato da - Yves in data 01/07/2007 02:15:43 |
 |
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 01/07/2007 : 04:13:40
|
Azz... con Vista mi muovo un po' nella nebbia 
In ogni caso Yves ha inquadrato molto bene il problema.
Fixa le due voci incriminate:
O4 - HKLM\..\Run: [System Updater] C:\WINDOWS\system32\Sysupd\sysupd.exe -detach
O4 - HKLM\..\Run: [FASTTRACKPassepartout] C:\Windows\Passepartout.exe -A
Poi dovresti eliminare i due file in questione. Non so se non avendo privilegi amministrativi tu lo possa fare...
Per ora prova ad eliminare i due file dopo aver fixato le voci (ed eventualmente riavviato):
C:\WINDOWS\system32\Sysupd\sysupd.exe
C:\Windows\Passepartout.exe
Se ci riesci, posta un nuovo log |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 01/07/2007 : 06:50:18
|
Io farei un tentativo, so che da "guest" con ogni probabilità non riuscirai a cancellare i file in questione, ma forse una soluzione c'è e potremmo usarla in altre situazioni simili, in primo luogo prova ad accedere al sistema da modalità provvisoria (non so se in Vista questo sia possibile, mai "visto"  ), se ci riesci di li ok, altrimenti prova a scaricarti la Knoppix, è una distribuizione Linux Live (gira si CD, non installa niente), se riusciamo ad accedere in scrittura al disco di Windows forse abbiamo un arma in più per debellare (cancellare) certi intrusi, in particolare ora che con Vista molti di noi siamo spaesati potrebbe darci una mano.
Io intanto faccio una prova usando il mio come "cavia" (giusto per vedere come installare il driver "ntfs-3g", quello che permette la scrittura su filesystem ntfs con Knoppix), se funziona forse forse abbiamo un arma in più.
Quello che comunque mi preoccupa di più è che non riesci ad accedere con i privilegi di "root", anche debellando il "male" dubito forte che riusciremo a darti il controllo completo del sistema con una certa facilità
Prima di sera dovrei poterti dire qualcosa.
Ciao. |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 01/07/2007 : 11:33:07
|
Sì, ovviamente i file vanno eliminati da provvisoria... si vede che l'ora non era delle migliori
Anche l'idea di Yves non è affatto male.
Ora mi pongo un problema un po' più tecnico anche se OT:
Qui abbiamo due trojan, non dico semplici da eliminare, ma sicuramente abbastanza "caratteristici".
Ci troviamo di fronte a nuove versioni oppure Vista pone problemi simili per tutte le infezioni classiche? Se fosse così sarebbe devastante... |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 01/07/2007 : 19:58:01
|
non ricordo in quale occasione ho trattato l'argomento, penso all'inizio anno.
La vulnerabilità di Vista era stata testata da Sophos a fine 2006, circa il 40% del maleware in circolazione, senza modifiche, funzionava.
In questo post c'è la conferma che, anche con il loro live one care, entrano maleware datati come Sysupd (dialer tedesco del 2001) o Passepartout.
Il problema grave comunque rimane quello della modifica di account admin da parte di un semplice dialer......possibile?
purtroppo Vista non lo conosco e non so dirti altro, ho rimandato a fine anno la sua installazione e studio(acquisto incluso).
PS. Vista non è un nuovo sistema operativo ma un'evoluzione di XP |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 02/07/2007 : 20:39:15
|
Ho fatto una prova ieri con knoppix, troppo macchinoso per poterla far eseguire ad una persona che non conosce Linux, bisognerà che faccia una prova con qualche CD "Live", ma di qui (a casa mia) è una tortura scaricarli, in ufficio tiro giù un pò di robe e vi tengo informati..
A titolo di informazione, qualcuno ha provato questo?
htt*://[www].ubcd4win[.com]/ |
|
|
|
Bartoloni Davy
Senior Member
Città: Cuneo
Nota:
92 Messaggi |
Inserito il - 24/07/2007 : 17:14:31
|
scusa.. scaricati il bart-PE... ci metti 2 secondi, e con un disco di windows xp, ti fai un live cd..di xp.. :)
cmq di certo quei 2 rottami del paleozoico (i 2 file incriminati) nn sono responsabili della variazione dell' utente... c'e' qualcosa di piu', ed e' cmq un piacere vedere che finalmente( emhh. scusate... non vorrei essere eccitato per la cosa, ma la stavo attendendo) qualcuno riesce ad attaccare vista in maniera efficace. :)
per la cosa del 40% del malware vecchio efficace contro vista.. si e' gia visto da 6 mesi, che nn e' assolutamente vero.. sophos si riferiva a qualche versione rc di vista.
cmq attendo in attesa di sapere quale file (o virus se ha un nome) e' responsabile di questa cosa..
hai controllato se ci sono utenti nascosti con nomi random? (dal regedit cerchi gli specialaccounts) |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 24/07/2007 : 20:21:18
|
Credo che dopo tutto questo tempo l'utente abbia rimediato in qualche maniera (penso servizio tecnico a pagamento, dove senza tanti complimenti hanno piallato tutto e rimesso nuovo..), non so se sia vero che Vista è immune al 60% di malware e robe affini di XP, ma so di sicuro (e lo si vede in certi post) che hanno già trovato sistemi per far sudar freddo qualsiasi user medio (togliere il privilegio di Admin all'user corrente non è da poco..), ancora una volta sembra che la tanto vantata "sicurezza" sia una chimera con i SO M$...
Speriamo bene.. |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 25/07/2007 : 00:36:01
|
Citazione:
Messaggio inserito da Yves
...hanno già trovato sistemi per far sudar freddo qualsiasi user medio (togliere il privilegio di Admin all'user corrente non è da poco..)...
Non solo non è da poco, è la negazione dei privilegi di amministratore...
Magari l'anno prossimo esce "Vista 2008 Server"... sarebbe da da tirargli le orecchie  |
|
|
|
Bartoloni Davy
Senior Member
Città: Cuneo
Nota:
92 Messaggi |
Inserito il - 25/07/2007 : 11:20:58
|
win 2008 server arriva il prossimo mese per gli sviluppatori microsoft :)
beh.. il fatto del $ e delle solite polemiche... scusate, ma se un giorno mi viene in mente di sviluppare del malware... per quale sistema lo sviluppo? ... linux? nooo... troppi pochi utenti.... osx?... noooo troppi pochi utenti... ... windows? ... umhh.. 90% del pianeta ricoperto da macchine wintel.... umhh. mi sa che visto che mi sbatto ... lo sviluppo proprio per win.. :)
e' una scelta obbligata colpire il sistema piu' diffuso. i soldi non centrano.
se osx prendesse anche solo il 60% del mercato i virus non tarderebbero ad arrivare in modo massiccio, e vista la lentezza con cui apple gestisce i suoi affari (vedi hardware del paleozoico, e update secolari).. mi sa che la gente dopo i primi 3 mesi in balia dei virus, senza aggiornamenti... tornerebbero a win... (o a linux)
cmq sono sempre dell'idea che micorosft dovrebbe rilasciare una versione win solo-kernel... senza interfaccia grafica e servizi strambi, bella pulita... facile da controllare, e personalizzabile. |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 25/07/2007 : 21:17:15
|
| un altro problema e che di sicuro per la sicurezza del proprio pc non ci si dovrebbe affidare a live on care o a windows defender............ma a ben altri prodotti e ve ne sono di molto validi per vista, G-Data Anti Virus Kit 2007- Karsperky 6.0 - AVG pro edition 7.5, con i primi due non credo proprio che vista abbia di che temere |
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 26/07/2007 : 20:50:28
|
Citazione:
Messaggio inserito da Bartoloni Davy
win 2008 server arriva il prossimo mese per gli sviluppatori microsoft :)
beh.. il fatto del $ e delle solite polemiche... scusate, ma se un giorno mi viene in mente di sviluppare del malware... per quale sistema lo sviluppo? ... linux? nooo... troppi pochi utenti.... .
LOOL già già... il dominio nei server è troppo poco :D che vuoi che sia...:P
Intere PA come quelle di Monaco, parlamenti come quello Francese.. vero.. più gratificante e difficile bucare il mio pc :D |
Modificato da - Trunks in data 26/07/2007 20:53:07 |
|
|
| |
Discussione |
|
Vista: Virus account amministratore
Forum Bloccato
