PDA

Visualizza versione completa : accesso negato a periferiche removibili


er biego
31-05-2007, 12.57.36
Buongiorno a tutti,
"L'amministratore ha proibito l'accesso alle periferiche" questo è il messaggio di errore che appare su un pc con winxp pro con sp2 dopo che si è tentato di accedere ad una qualunque delle periferiche removibili (floppy, cd, penne usb o hd esterni) che sono anche cerchiate di rosso come un segno di divieto.
Non credo che sia un problema del sistema operativo o una policy almeno per quanto riguarda quel segnale di divieto che non mi sembra proprio di windows.
Quel poco che ho trovato in giro in internet non mi ha aiutato.
C'è qualcuno al quale è gia capitato?...
Grazie a tutti.
Maurizio

jafar
31-05-2007, 13.16.52
su un pc di casa o lavoro (magari con tanto di admin che li ha esclusi lui)?

er biego
31-05-2007, 13.44.01
è un pc di lavoro, effettivamente l'utente avrebbe anche i diritti amministrativi ma credimi quel simbolo di divieto su tutte le unità non mi sembra proprio di microsoft windows...
grazie per la risposta

Tecno214
31-05-2007, 15.34.00
Non è un problema di diritti amministrativi o meno...
L'amministratore del tuo DOMINIO ha sicuramente bloccato via policy l'accesso alle periferiche USB al che non hai molte soluzioni se non

*) Rivolgerti all'admin della rete e prospettargli il problema.

*) Fare a casa quello che vorresti fare a lavoro via USB

*) :wall: :wall:

Penso di aver reso l'idea.

er biego
31-05-2007, 15.44.28
...ma non solo alle periferiche usb, anche a floppy e cd, poi non c'è nessun dominio, le macchine sono solo due e sono in rete insieme ad un router alice, dici che può essere stato solo l'intervento di un utente (amministratori non ce ne sono)?
grazie

Tecno214
31-05-2007, 19.02.14
Se non hai un dominio allora il discorso cambia ed è più serio...

Una curiosità...
E' una cosa che hai notato fin dalla prima accensione oppure te lo ha fatto da un determinato momento in poi?

Perchè se fosse la prima ti direi che il blocco in questione è stato in qualche modo voluto dal tuo titolare andando ad editare le policy locali del cmputer....
Nel secondo casp potrebbe essere opera di qualche malware...

Dimmi quale delle due e vedremo cosa si può fare!

giancarlof
01-06-2007, 04.53.33
Non è un problema di diritti amministrativi o meno...
L'amministratore del tuo DOMINIO ha sicuramente bloccato via policy l'accesso alle periferiche USB al che non hai molte soluzioni se non

*) Rivolgerti all'admin della rete e prospettargli il problema.

*) Fare a casa quello che vorresti fare a lavoro via USB

*) :wall: :wall:

Penso di aver reso l'idea.

Sono della stessa opinione. :)

er biego
01-06-2007, 12.57.31
Se non hai un dominio allora il discorso cambia ed è più serio...

Una curiosità...
E' una cosa che hai notato fin dalla prima accensione oppure te lo ha fatto da un determinato momento in poi?

Perchè se fosse la prima ti direi che il blocco in questione è stato in qualche modo voluto dal tuo titolare andando ad editare le policy locali del cmputer....
Nel secondo casp potrebbe essere opera di qualche malware...

Dimmi quale delle due e vedremo cosa si può fare!



...è successo all'improvviso, io sono convinto che sia un malware ma qualsiasi scansione con antivirus e quant'altro non ha rilevato niente...

Tecno214
01-06-2007, 16.35.33
Se prima tutto funzionava sono ancora della stessa opinione...

1) il datore di lavoro si è accorto che viene "trafficato" qualcosa di irregolare con i dispositivi removibili e ha così deciso di bloccarli/farli bloccare via policy.

2) Un malware ha disabilitato la funzionalità.

Proviamo a concentrarci sulla seconda (nel primo caso non ti aiuterei).
Posta un log di hijackthis copia-incollando il risultato che ti viene fuori!

er biego
02-06-2007, 13.22.42
lo farò al piu presto, appena sarò di nuovo davanti al pc...

Davide71
04-06-2007, 06.05.50
Ciao,

non e' che per caso hai un pc dell'Acer? Cmq e' un problema gia' visto e non ricordo come l'ho fixato sinceramente.

byezzz

nomiroba
04-06-2007, 21.57.36
...e non ho un datore di lavoro, né un dominio ;), l'unico amministratore sono io e gli altri utenti non hanno i diritti.
Il sospetto di un malware è quindi rinforzato...
Ho fatto un giro con Gmer, con HijackThis e con Spyware terminator e pare non ci sia nulla di anomalo. AVG 7.5 Free è sempre attivo e non rileva nulla.
BTW, mi ha inibito anche le USB! Ho verificato nel registry e le autorizzazioni alle USB sono settate a 4 come devono essere e non a 3 che è il valore di inibizione. (vado a memoria, potrebbero essere valori invertiti, cmq il valore è quello giusto)

Usando Security Task Manager compare un processo sconosciuto che non si lascia rimuovere né mettere in quarantena. Idem usando KillProcess.
Direi che la causa a questo punto è certa! L'unica incertezza è come identificarlo e come rimuoverlo.

Un grazie anticipato per i suggerimenti!!
Ciao,

Nomiroba

Davide71
05-06-2007, 00.20.49
Usando Security Task Manager compare un processo sconosciuto che non si lascia rimuovere né mettere in quarantena.

Qual'e' il nome del processo?


byezzz

Davide71
05-06-2007, 00.22.12
Se avete un Acer, potrebbe dipendere da delle utility native per la protezione del pc da sconosciuti.

byezzz

giancarlof
05-06-2007, 03.12.09
Buongiorno a tutti,
"L'amministratore ha proibito l'accesso alle periferiche" questo è il messaggio di errore che appare su un pc con winxp pro con sp2 dopo che si è tentato di accedere ad una qualunque delle periferiche removibili (floppy, cd, penne usb o hd esterni) che sono anche cerchiate di rosso come un segno di divieto.
Non credo che sia un problema del sistema operativo o una policy almeno per quanto riguarda quel segnale di divieto che non mi sembra proprio di windows.
Quel poco che ho trovato in giro in internet non mi ha aiutato.
C'è qualcuno al quale è gia capitato?...
Grazie a tutti.
Maurizio

Dovresti far veder anche a noi questo segnale fai un'immagine e mettila in un post, si può già vedere se si tratta del tuo sistema operativo oppure di qualcosa d'altro.

nomiroba
05-06-2007, 09.12.30
"?" in STM e "Unknown" in KillProcess..non appare nella tasklist di Windows...a meno che sia il processo "system" ma che apparentemente è di sistema. L'unica perplessità è che su PC da cui sto scrivendo system è 40KB, su quello "incriminato" è 236KB.
Gonfiaggio sospetto?
Se vuoi stasera ti mando gli screenshots.
Grazie.

Nomiroba

Davide71
05-06-2007, 09.46.48
Mettili qui nel post le immagini.

Che antivirus/antispyware/firewall utilizzi?

byezzz

ps= non e' che per caso hai utilizzato software di terze parti per proteggere o rendere nascosto delle cartelle di Windows? (tipo magicfolder)

Tecno214
05-06-2007, 10.38.37
Come ti è stato detto procederei con il post dell'immagine dell'anomalia....

Hai detto che hijackthis non rileva nulla....
Prova a postarci un log, più pareri sono meglio di uno solo!

nomiroba
07-06-2007, 00.04.06
quello che appare al termine del caricamento di XP:

nomiroba
07-06-2007, 00.05.59
Aprendo gestione risorse ecco come visualizza le unità rimovibili (anche le USB qui non mostrate)

giancarlof
07-06-2007, 02.13.38
Usando Security Task Manager compare un processo sconosciuto che non si lascia rimuovere né mettere in quarantena. Idem usando KillProcess.
Direi che la causa a questo punto è certa! L'unica incertezza è come identificarlo e come rimuoverlo.

Hijackthis come fare per allegare il *.log:

Scarica HijackThis (http://www.wintricks.it/news2/article.php?ID=15310) lo posizioni in una cartella, lanci l'eseguibile hijackthis.exe clicchi su "Do a system scan and save a logfile", si aprirà il notepad, vai su su file/salva con nome e cambi l'estensione da hijackthis.log in hijackthis.txt, vai alla discussione sul forum clicchi su "rispondi" vai sulla modalità avanzata/gestione allegati/sfogliando sul tuo disco selezioni il log , lo carichi/chiudi questa finestra e scendendo in basso invii il messaggio.

Scrivi anche il nome di questo processo , sempre che tu lo conosca e che vedi nel task manager.

Tecno214
07-06-2007, 08.52.47
Posta anche uno screen del task-manager...

La cosa è curiosa e merita sicuramente approfondimenti!

Davide71
07-06-2007, 09.25.12
Ma siam sicuri che entri come administrator o con un account limitato, limitato perche' ti e' stato imposto da qualcuno :D !?

byezzz

Davide71
07-06-2007, 09.46.35
Cma sia:

http://support.microsoft.com/kb/823732

byezzz

er biego
08-06-2007, 11.22.44
eccomi di nuovo, sono tornato sul pc con il problema, ho fatto lascansione con hijackthis e questo che allego è il log...

giancarlof
09-06-2007, 06.41.27
O4 - HKLM\..\Run: [Alcmtr]
Questa stringa dovrebbe essere legittima ed appartenere ad una probabile scheda audio Realtek, confermalo.

http://www.liutilities.com/products/wintaskspro/processlibrary/alcmtr/
----------------------------------------------------------------

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

Anche queste sono *.dll del sistema operativo.

Non vedo malware in questo *.log.

Davide71
11-06-2007, 07.59.01
Neppure io, tra l'altro dubito che il Panda aggiornato non trovi virus se ci sono, potrebbe dipendere da software di terze parti che va in conflitto con un altro software. :(

byezzz