Ciao a tutti, avrei un "piccolo problema di sicurezza " su winxp sp2. Premetto che per la navigazione uso abitualmente zone alarm e tengo sempre attivo un antivirus.
Questo pomeriggio però è comparso un nuovo utente sul mio pc... inoltre ho visto che numerosi files .exe sono comparsi sulla cartella temp di windows e quasi tutti questi programmi hanno tentato di accedere ad internet, ma fortunatamente sono stati bloccati dal firewall..

Allora il caso ha voluto che questo "mister x" non sia riuscito a fare un bel nulla se non a creare un nuovo account, protetto da password ed a lasciare traccia del suo passaggio nella lista delle applicazioni che hanno tentato di accedere ad internet sul firewall...

Ora il mio account è configurato come amministratore, poi c'è l'account ghost ed infine il terzo account di cui non conosco la provenienza...

che posso fare??

:stordita:

Possibile che nessuno sappia di che si tratta?? :mbe:

una volta era capitato anche a me..
ero riuscito a risalire al file che generava tutto..
cerca *.exe nella cartella "file comuni" (volendo puoi ristringere la ricerca mettendo la data di ultima modifica "1 settimana fa")

per ognuno di questi fai tasto destro e controlla la versione.
Se c'è scritto microsoft è ok... se non c'è scritto niente cancella il file

ovviamente cancella anche l'utente


miglioramenti?

ok, per il momento ho eliminato l'account ed ho impostato una password sul mio account principale impostato come amministratore, in questo modo penso di evitare che qualche altro utente possa creare dei nuovi account.
Tutti i files creati dal nuovo utente stavano sulla cartella windows/temp per cui li ho cancellati tutti svuotando completamente la cartella.

è ritornato l'account? (come si chiamava?)

non c'era nulla di sospetto nella certella "file comuni"?

l'account si chiamava "ASP.NET Machine A..." per ora sembra tutto apposto, ma su file comuni ho trovato questi file.exe che non riesco a cancellare o aprire neppure dall'account principale.

http://img208.imageshack.us/img208/5229/filecomuni1cq7.png


tutto il resto sembra ok.

Come hanno fatto a creare un nuovo account???? :muro:

non so come abbiano fatto ma quei file selezionati in verde sono mooolto sospetti!

riavvia il pc con un floppy di boot e cancellali da dos (senza quindi entrare in modalità provvisoria)
dopo di ciò non dovresti averne più (almeno con questa procedura da me ha funzionato)

sono riuscito a cancelllarli tutti tranne uno. :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro:


Che sw usi per la scansione dell'hd?? ho già provato con zone labs, AntiVir personal ma non hanno rilevato nulla.

... anche da dos non te lo fa cancellare?

software?
antivir, ZA, adaware e ccleaner... basta
il grosso lo ferma il firewall del mio router

ho provato a cancellare il file da dos, però sono riuscito a rinominarlo ed a cambiare estensione :)

Credo proprio che dovrò formattare c:... non sono riuscito a capire cosa è successo.

ok,

io non ho formattato...

comunque una volta rinominato, dovresti potrerlo sassare via da windows...

Linkoptimizer / Gromozon ? Già fatto girare il tool di rimozione/controllo ? :)

hai installato microsoft framefork??

l'asp.net machine è l'account che ti si crea in automatico quando installi framework... per risolvere o lo cancelli o lo installi gli aggiornementi di windows (cosa più giusta)!nessun virus ne intrusione a meno che sia un nome molto simile a quello usato dal framework (allora potrebbe essere in virus)

ciao!

forse era il framework, cmque ora ho eliminato l'account e sembra tutto ok. :D


Mini lista:
:read:

Ad aware
Spy bot
AntiVira
Bit defender
Zapro
:read:

ciao.