Nuovo utente "ZCvaJIsKXO" che si autoricrea!

Geggo · 22-12-2006, 11:30

Ciao ragazzi, ho un problemino inerente la sicurezza.
Da un po di tempo mi sono accorto che nella cartella C:\Documents and Settings\ è comparso un nuovo account utente.
Ovviamente non l'ho creato io e ha il nome "ZCvaJIsKXO".
Il punto è che anche se lo cancello, mi ricompare al riavvio del pc.

Ho utilizzato il tool di rimozione di PrevX ma dice che non trova nulla.

Inoltre i processi attivi mi sembrano quelli normali.

Avete qualche consiglio per me?

Grazie. Ciao

andrea.ippo · 22-12-2006, 12:21

un consiglio:
installati un buon firewall, un buon antivirus, e soprattutto un buon antispyware, tipo avg antispyware, spyware terminator ecc...
guarda nel topic ufficiale

Geggo · 22-12-2006, 12:40

Quote:

Originariamente inviato da andrea.ippo

un consiglio:
installati un buon firewall, un buon antivirus, e soprattutto un buon antispyware, tipo avg antispyware, spyware terminator ecc...
guarda nel topic ufficiale

Ho già tutto. ho il firwall nel router D-Link, uso Antivir e antispyware.
Altri consigli?

e scusa, dov'è il topic ufficiale?

Grazie

c.m.g · 22-12-2006, 13:41

fai una scansione on line col kasper

FOXYLADY · 22-12-2006, 14:04

Controlla se ci sono servizi associati all'utente nascosto.
Per controllare:
Start > digita services.msc > invio, e noterai che nella lista, i servizi sono associati, nella colonna Connessione, a tipologie quali Servizio Locale, Servizio di Rete ecc., verifica in quella stessa colonna che non ci siano servizi associati a ZCvaJIsKXO.
Fai anche una scansione con i software antirootkit che trovi in questa pagina
http://www.pcalsicuro.com/main/48/
al punto terzo.

P.S.
In caso di infezione o sospetta infezione i topic vanno aperti qui
http://www.hwupgrade.it/forum/forumdisplay.php?f=125

s1m0n3 · 22-12-2006, 14:13

anch'io ho avuto questo problema. ho risolto con hijackthis.
è un programmino gratuito e lo puoi scaricare qui: http://www.hijackthis.de/it

poi lanci il programma che crea nella stessa directory in cui lo hai lanciato un file txt. sempre dal sito che ti ho segnalato alleghi il file txt creato, fai analizza e ti dice cosa è sicuro e cosa no. le cose non sicure cancellale direttamente col programmino. se ci sono problemi, chiedimi pure. ciao

Geggo · 08-01-2007, 10:21

Quote:

Originariamente inviato da FOXYLADY

Start > digita services.msc > invio, e noterai che nella lista, i servizi sono associati, nella colonna Connessione, a tipologie quali Servizio Locale, Servizio di Rete ecc., verifica in quella stessa colonna che non ci siano servizi associati a ZCvaJIsKXO.
P.S.
In caso di infezione o sospetta infezione i topic vanno aperti qui
http://www.hwupgrade.it/forum/forumdisplay.php?f=125

Ecco.
Tra i servizi me ne ha tovato 1 associato a quel nome. Si tratta di NetKiq e la descrizione dice che "Consente la gestione dei temi".

Che faccio ora?

FOXYLADY · 08-01-2007, 10:49

Prova a disabilitare quel servizio e poi ad eliminare l'account utente.
Posta anche un log di hijackthis nell'apposito thread
http://www.hwupgrade.it/forum/showthread.php?t=937676
Scarichi il programmino, lo estrai in una cartella creata appositamente per lui, lanci l'eseguibile hijackthis e clicchi su "do a system scan and save log file.
Copia ed incolla il testo del log sul forum nel topic che ti ho indicato.

22-12-2006, 11:30	#1
Geggo Senior Member Iscritto dal: Dec 2003 Messaggi: 334	Nuovo utente "ZCvaJIsKXO" che si autoricrea! Ciao ragazzi, ho un problemino inerente la sicurezza. Da un po di tempo mi sono accorto che nella cartella C:\Documents and Settings\ è comparso un nuovo account utente. Ovviamente non l'ho creato io e ha il nome "ZCvaJIsKXO". Il punto è che anche se lo cancello, mi ricompare al riavvio del pc. Ho utilizzato il tool di rimozione di PrevX ma dice che non trova nulla. Inoltre i processi attivi mi sembrano quelli normali. Avete qualche consiglio per me? Grazie. Ciao

22-12-2006, 12:21	#2
andrea.ippo Senior Member Iscritto dal: Mar 2005 Città: Roma Messaggi: 5940	un consiglio: installati un buon firewall, un buon antivirus, e soprattutto un buon antispyware, tipo avg antispyware, spyware terminator ecc... guarda nel topic ufficiale __________________ Stanchi di usare Nero? Qui trovate l'alternativa gratuita che fa per voi HP ProBook 4530s i5 2410M / 4GB / 640GB / Intel HD3000+Radeon HD6490M / 15.6" @1366x768 ASUS F3E T7100 / 3GB / 120GB / X3100 / 15.4" @1280x800 / Intel 3945ABG

22-12-2006, 13:41	#4
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	fai una scansione on line col kasper __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

22-12-2006, 14:04	#5
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Controlla se ci sono servizi associati all'utente nascosto. Per controllare: Start > digita services.msc > invio, e noterai che nella lista, i servizi sono associati, nella colonna Connessione, a tipologie quali Servizio Locale, Servizio di Rete ecc., verifica in quella stessa colonna che non ci siano servizi associati a ZCvaJIsKXO. Fai anche una scansione con i software antirootkit che trovi in questa pagina http://www.pcalsicuro.com/main/48/ al punto terzo. P.S. In caso di infezione o sospetta infezione i topic vanno aperti qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125 __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

22-12-2006, 14:13	#6
s1m0n3 Senior Member Iscritto dal: Aug 2006 Città: Pozzallo (RG) Messaggi: 692	anch'io ho avuto questo problema. ho risolto con hijackthis. è un programmino gratuito e lo puoi scaricare qui: http://www.hijackthis.de/it poi lanci il programma che crea nella stessa directory in cui lo hai lanciato un file txt. sempre dal sito che ti ho segnalato alleghi il file txt creato, fai analizza e ti dice cosa è sicuro e cosa no. le cose non sicure cancellale direttamente col programmino. se ci sono problemi, chiedimi pure. ciao __________________ Desktop = C2D e6600@3Ghz with Freezer7Pro - ASUS P5B - Maxtor s-ata 160gb & s-ata2 250gb - Twinmos Twister DDR2 800 2x1gb- Sapphire Ati Radeon x1800gto with Zalman VF900-CU - SB Audigy 2 zs - LG 2094D-PZ Laptop = MacBook 2,2 Ghz Affari fatti con PaioX - Pandino_84 - marcuspe@ - DJnat - masci81- dj_andrea - fuckaldo - skywalker71 - BlackRider.

08-01-2007, 10:49	#8
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Prova a disabilitare quel servizio e poi ad eliminare l'account utente. Posta anche un log di hijackthis nell'apposito thread http://www.hwupgrade.it/forum/showthread.php?t=937676 Scarichi il programmino, lo estrai in una cartella creata appositamente per lui, lanci l'eseguibile hijackthis e clicchi su "do a system scan and save log file. Copia ed incolla il testo del log sul forum nel topic che ti ho indicato. __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

Strumenti
Mostra una versione stampabile Invia questa pagina per email