[WinXP] Restrizioni amministrazione non volute

cagnaluia · 14-01-2009, 12:54

Ciao,

ho un problema su un PC di un amico con Windows XP PRO.

Da qualche giorno, quando vado per esempio su Strumenti --> Opzioni Internet, un messaggio mi avvisa che ci sono delle restrizioni sul sistema.
Sembrerebbe come se fossi un utente normale, invece uso windows XP come utente del gruppo administrators.

Io penso si tratti di un virus, qualcosa che ha modificato delle impostazioni sul sistema.

Cosa ne pensate?

wjmat · 14-01-2009, 13:13

Ciao
carica un log classico di HiJackThis che cominciamo a recuperare qualche informazione sul tuo pc
Per mostrarci il log lo rinomini in .txt e lo carichi con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccandio sull'icona del fermaglio (

)

cagnaluia · 14-01-2009, 13:50

ok, appena ho il pc sottomano, farò una passata con HijackThis.

PS: ultimamente avevo sistemato parecchi problemi al browser (pagine che si aprivano da sole) con combofix.

wjmat · 14-01-2009, 14:08

allora dovresti avere qualche residuo dell'infezione passata
dovresti trovare delle voci 06 relative alle restrizioni, carica il log che poi vediamo

cagnaluia · 16-01-2009, 14:32

ecco

Quote:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.30.20, on 16/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\rnamfler\naofsvc.exe
C:\Programmi\SPAMfighter\sfus.exe
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programmi\SPAMfighter\SFAgent.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\documents and settings\mario\impostazioni locali\dati applicazioni\gcqqcaa.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programmi\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [gcqqcaa] "c:\documents and settings\mario\impostazioni locali\dati applicazioni\gcqqcaa.exe" gcqqcaa
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4D054067-DE3A-48F9-B19B-BCD229B9AE8D} (PrinterHelpEtcActiveX Control) - http://www.samsungdp.com/printerhelp.../DrPrinter.cab
O16 - DPF: {6145E87A-F80E-4D0E-A13B-A494F58D686D} (FTInstaller Control) - http://88.55.178.43:80/ftinstall/win/FTInstaller.ocx
O16 - DPF: {829FD93E-03AB-4AEB-8773-3CE510CB62C4} (LiveLetActivex Control) - http://88.55.178.43/LiveLetActivex.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DD2DBA6-3365-437E-834A-76EE77AE9E88}: NameServer = 195.103.177.61,212.216.112.112
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: RdnaoFlSvc - Unknown owner - C:\Programmi\rnamfler\naofsvc.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Programmi\SPAMfighter\sfus.exe

--
End of file - 5396 bytes

cagnaluia · 16-01-2009, 15:22

ho fixato la
O4 - HKCU\..\Run: [gcqqcaa] "c:\documents and settings\mario\impostazioni locali\dati applicazioni\gcqqcaa.exe" gcqqcaa

riavviato. cambiato niente

wjmat · 16-01-2009, 16:56

carica un log di Combofix (leggi bene le info)

verrà eliminato
C:\documents and settings\mario\impostazioni locali\dati applicazioni\gcqqcaa.exe

più i sui soci
.dat
.exe
_nav.dat
_navps.dat

14-01-2009, 12:54	#1
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10903	[WinXP] Restrizioni amministrazione non volute Ciao, ho un problema su un PC di un amico con Windows XP PRO. Da qualche giorno, quando vado per esempio su Strumenti --> Opzioni Internet, un messaggio mi avvisa che ci sono delle restrizioni sul sistema. Sembrerebbe come se fossi un utente normale, invece uso windows XP come utente del gruppo administrators. Io penso si tratti di un virus, qualcosa che ha modificato delle impostazioni sul sistema. Cosa ne pensate? __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

14-01-2009, 13:13	#2
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Ciao carica un log classico di HiJackThis che cominciamo a recuperare qualche informazione sul tuo pc Per mostrarci il log lo rinomini in .txt e lo carichi con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccandio sull'icona del fermaglio () __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • Ultima modifica di wjmat : 14-01-2009 alle 13:15.

14-01-2009, 13:50	#3
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10903	ok, appena ho il pc sottomano, farò una passata con HijackThis. PS: ultimamente avevo sistemato parecchi problemi al browser (pagine che si aprivano da sole) con combofix. __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

14-01-2009, 14:08	#4
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	allora dovresti avere qualche residuo dell'infezione passata dovresti trovare delle voci 06 relative alle restrizioni, carica il log che poi vediamo __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

16-01-2009, 15:22	#6
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10903	ho fixato la O4 - HKCU\..\Run: [gcqqcaa] "c:\documents and settings\mario\impostazioni locali\dati applicazioni\gcqqcaa.exe" gcqqcaa riavviato. cambiato niente __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

16-01-2009, 16:56	#7
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	carica un log di Combofix (leggi bene le info) verrà eliminato C:\documents and settings\mario\impostazioni locali\dati applicazioni\gcqqcaa.exe più i sui soci .dat .exe _nav.dat _navps.dat __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

Strumenti
Mostra una versione stampabile Invia questa pagina per email