Condividi:        

Virus nella chiave Lsa al valore Authentication Packages

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Virus nella chiave Lsa al valore Authentication Packages

Postdi Dylan666 » 11/05/08 13:03

Ho sotto mano un PC con Vista che si è infettato con un virus che si era andava a far avviare con una della chiavi del caricamento del menù contestuale di base del mouse. Era per poterlo togliere ho dovuto usare Unlocker da modalità provvisoria... andando a pure il registro dai rimasugli ho visto che si era messo anche nella chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa nel valore "Authentication Packages" dove ha scritto così:

msv1_0
setuid
C:\Windows\system32\pMdaYrQI

Come è il valore originario? Non vorrei fare casino dato che so che la chiave gestisce l'autenticazione degli utenti di windows all'avvio del sistema...

Sapete che virus è? Come posso essere sicuro di aver tolto tutto? Hijack mi dice che non c'è nulla di anomalo ma avete tool più accurati o specifici per quuesto virus?
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Sponsor
 

Re: Virus nella chiave Lsa al valore Authentication Packages

Postdi Dylan666 » 11/05/08 15:25

Ho usato il ComboFix che avevo salvato sul Desktop. Alla fine ha aperto un file di testo (che poi magari vi allego) che verso l'inizio dice:
Codice: Seleziona tutto
(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\System32\IQrYadMp.ini
C:\Windows\System32\IQrYadMp.ini2
C:\Windows\system32\qaegdemx.dll
C:\Windows\system32\x64


Il software crea un backup di tali file? Se sì, dove?
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Re: Virus nella chiave Lsa al valore Authentication Packages

Postdi Luke57 » 11/05/08 15:42

Ciao, in C:\QooBox.
Comunque, posta tutto il report, in diverse occasioni si deve intervenire manualmente per completare l'opera di eliminazione delle infezioni i presenti.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Virus nella chiave Lsa al valore Authentication Packages

Postdi Dylan666 » 13/05/08 22:52

Eccolo allegato.
Allegati

[L’estensione txt è stata disattivata e non puó essere visualizzata.]

Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Re: Virus nella chiave Lsa al valore Authentication Packages

Postdi Luke57 » 14/05/08 10:45

Ciao, mi sembra sospetto questo file:
C:\Windows\System32\tnichhrw.exe
magari controlla anche queste cartelle:
C:\Users\All Users\{0BC8968B-5A12-4C72-ACF4-4CC9A9A6F102}
C:\ProgramData\{0BC8968B-5A12-4C72-ACF4-4CC9A9A6F102}
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Virus nella chiave Lsa al valore Authentication Packages

Postdi Dylan666 » 14/05/08 11:13

il file dovrebbe averlo tolto il nod32. Ora mi gurado le cartelle. Ti faccio sapere, grazie molte
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Re: Virus nella chiave Lsa al valore Authentication Packages

Postdi Dylan666 » 14/05/08 23:52

Le due cartelle da te indicate sono di TweakVista.
Tutto ok quindi?
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Re: Virus nella chiave Lsa al valore Authentication Packages

Postdi Luke57 » 16/05/08 11:52

Ciao, nel report di combofix non trovo altro.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Virus nella chiave Lsa al valore Authentication Packages

Postdi Dylan666 » 16/05/08 15:41

Grazie. Hai altri tool da consigliarmi per sicrezza, se è il caso?

Altra cosa: ho visto che il combofix ha "pulito" le chiavi di registro modificate. Ma dove trovo traccia di tale pulizia e/o backup delle chiavi modificate? Ha fatto prtaticamente tutto in automatico senza chiedermi nulla...
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46


Torna a Sicurezza e Privacy


Topic correlati a "Virus nella chiave Lsa al valore Authentication Packages":

BTp Valore
Autore: MarioLombardi
Forum: Forum off-topic
Risposte: 2

Chi c’è in linea

Visitano il forum: Nessuno e 22 ospiti