WinTricks Forum

WinTricks Forum (http://forum.wintricks.it/index.php)
-   Sicurezza&Privacy (http://forum.wintricks.it/forumdisplay.php?f=32)
-   -   Impossibile accedere. Esistono restrizioni sull'account. (http://forum.wintricks.it/showthread.php?t=130538)

Davide71 09-02-2008 12.13.32
Impossibile accedere. Esistono restrizioni sull'account.
 
Ciao,

segnalo che a due miei clienti e' successo che dopo un riavvio Windows XP SP2 (uno Home l'altro Pro) chiedesse una password per entrare con i loro utente di amministrazione, PW che non avevano MAI specificato, quindi si autologgavano senza inserire nulla. Il cliente con l'XP Home era infetto da alcuni file malware:

ntspool.exe - btcpatcher.exe - ddccbyw.dll - pmnlk.dll

tutti posti in \Windows\system32\

i primi due file .exe li ho facilmente eliminati dall'esecuzione automatica, le restanti .dll invece erano piu' ostiche all'eliminazione, quindi sono riuscito ad eliminarle con questo software:

http://files3.majorgeeks.com/files/6...e/VundoFix.exe

Logicamente non e' stato cosė semplice, infatti dopo aver rimosso prima i file .exe (putroppo non ricordo quando e' successo il fatto della modifica della password di TUTTI gli administrator) e' appunto successo che al riavvio del sistema Windows XP chiedeva la password di accesso all'account utente, pw che nessuno aveva mai specificato; inserendo una possibile password il sistema diceva:

Impossibile accedere. Esistono restrizioni sull'account.

Quindi non era possibile entrare nel sistema, perche' la password era stata inserita anche all'account administrator di Windows XP (quello nascosto che il sistema mette di default ad ogni installazione). Cosicche' ho dovuto usare un software commerciale il bootcd "Erd Commander 2005" che permette di accedere a Windows XP e indi di modificare il registro di XP del sistema infetto e/o danneggiato senza che alcun malware sia attivo, quindi in liberta' e sicurezza.
Bisogna controllare con "regedit" se nel registro di sistema ci sia la chiave "AutoAdminLogon" nel percorso:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon

Se c'č, impostatene il valore numerico a 0 (se non c'e' la chiave va ricreata come DWORD), uscite e riavviare il PC. Se c'č anche la chiave DefaultPassword, segnarsi il valore.
Dopo questo passaggio e' possibile riaccedere a Windows XP tranquillamente ed usare i tool di rimozione (magari dalla "provvisoria" con ripristino configurazione "disabled") citati in precedenza, per segare le .dll maledette.

Il mio consiglio e' di specificare sempre le password di accesso in ogni account administrator, a scanso di equivoci ;) futuri. Non so da dove i miei clienti hanno beccato tale infezione, ma era tosta, l'Avast rilevava le .dll come trojan nella temp dell'account administrator in esecuzione, ma non riusciva a debellare il malware, si poteva navigare e fare ogni cosa, pero' l'antivirus spesso visualizzava l'Alert, insomma una gran rottura di scatole.

Per ora e' tutto, sinceramente devo ancora debellare tale malware sul pc del cliente con l'XP Pro, xche' mi ha avvertito solo ieri sera di tale problema (dell'admin passwordato ;) ), vedremo se le forme virali sono le solite dell'altro pc con l'XP Home.

byezzz


Orario GMT +2. Ora sono le: 04.15.46.

vBulletin 3.8.6 - Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.