Account misterioso

[davide.pro]

io, quando ho problemi nella gestione degli account, di solito li risolvo con il comando

Codice: Seleziona tutto

rundll32 netplwiz.dll,UsersRunDll

[Al3x]

Gli account si possono eliminare anche da riga di comando con net user
Il flag dovrebbe essere /delete

[kap]

Ma voi sempre strade semplici neh?

[Al3x]

Non è una questione di complicare, è che a volte la riga di comando riesce dove i tool grafici falliscono

[kap]

Non è una questione di complicare, è che a volte la riga di comando riesce dove i tool grafici falliscono

In linea di massima hai ragione, però da qualche tempo a questa parte (da 7 in poi) quando vanno lanciati comandi di un certo peso, con il uac attivo bisogna avviare cmd con quel palloso clic col destro-> esegui come amministratore

[gianpietro]

Ciao kap

Ho eseguito il tuo consiglio, il primo tentativo sembrava riuscito, ma al riavvio l'account Gianpietro Belleri non era più presente nella schermata di accesso,
ma verificando in apri gestione del computer -> utenti e gruppi locali -> utenti -> Clic col destro su quello col tuo nome e cognome ed eliminalo è di nuovo presente,
mentre la cartella relativa all'utente in c:\utenti, dopo averla eliminata non è più presente.

Ma ad un secondo riavvio, è di nuovo comparso l'account.

È normale questo comportamento.

[gianpietro]

Ciao davide.pro

Ho eseguito anche il tuo consiglio, al riavvio nella schermata principale non è più presente l'account Gianpietro Belleri, ma verificando in Account utente è di nuovo presente.





È normale questo comportamento.

[kap]

Ma ad un secondo riavvio, è di nuovo comparso l'account.

É ricomparso nella schermata di logon o solamente nell'elenco degli utenti?

È normale questo comportamento.

No, affatto... O almeno non mi é mai capitato di vedere un simile comportamento.. Io non so dove tu abbia memorizzato nome e cognome (probabilmente nel campo della licenza di windows) ma non mi capacito sul perché venga creata un'utenza con nome e cognome. Pensando ad un virus dovrebbe avere privilegi amministrativi ma così non é..

Non capisco neanche come mai l'account abbia cambiato nome mentre affrontavamo il problema. Mi viene da pensare che sia stato TweakNow Power Pack a creare un utente; per caso il programma l'hai installato? In caso di risposta affermativa prova a disinstallarlo, riavviare, eliminare l'utente dalla lista e riavviare.

Tienici aggiornati che mi sto appassionando al caso.


P.s: per me il maggiordomo resta comunque tra i principali sospettati..

[gianpietro]

Ciao Al3x

Ho provato anche il tuo suggerimento, ma purtroppo non essendo un esperto credo che il comando non sia stato recepito correttamente, non comprendo la seconda parte, Il flag dovrebbe essere /delete





Cortesemente mi puoi fare un screenshot con l'eventuale comando giusto?

Tengo a precisare che tutti i tentativi da riga di comando, sono stati eseguiti con diritto aministratore.

[gianpietro]

Ciao kap

Ho disinstallato TweakNow PowerPack, erano rimaste tre cartelle eliminate manualmente, ho eseguito una pulizia con: CCleaner+CCenhancer / Wintools.net / Privazer / Wise Care 365 / Pulizia disco di Windows,
eseguendo una ricerca con Wintools.net erano rimaste due chiavi eliminate.



Ho riavviato il computer, e l'account era sparito, ma spegnendo il computer e riaccendendolo l'account è ricomparso, sia nella schermata di logon, nell'elenco degli utenti è sempre stato presente







Mentre in Account utente, era scoparso, ma ora è ritornato.





Sinceramente non ci capisco più nulla, anche come Amministratore non si riesce a eliminare questo account.

[Al3x]

Rientro a casa solo bel tardo pomeriggio, fino ad allora non ho un computer per confermarti i comandi

[gianpietro]

Alcune considerazioni, chi cavolo a creato questo account, sembra che non sia stato mai usato, esaminando alcuni programmi, CCleaner+CCenhancer è in inglese e le funzioni di pulizia devono essere tutte spuntate,
Privazer avviandolo deve essere configurato come se fosse la prima volta, Internet Explorer funziona e si collega ad Internet, mentre Firefox se cerchi di collegarti per esempio per scaricare i Componenti aggiuntivi
ti dice che la connessione non è sicura, oppure se cerchi di collegarti a Google o a un altro sito, stessa cosa e in più se esegui i certificati comunque non si collega.

È possibile che avendo disattivato molti servizi non utili e per sicurezza, uno di questi possa interferire con la cancellazione?










Una cosa che ho notato è anche che avevo cambiato l'immagine dell'account lo sfondo blu con la foglia gialla, mentre ora è ritornata quella del fiore.

Facendo memoria locale, mi è venuto in mente, che molto tempo fà, uno dei ragazzi del laboratorio, era venuto a casa per un assistenza e aveva eseguito TeamViewer, è possibile che l'account sia stato creato dal software?

Ma gli account Guest e User sono necessari?

È possibile che si debba formattare il computer?

[kap]

L'account Guest va lasciato. L'account user non é mica quello che utilizzi tu?

La disattivazione di servizi di protezione non intralcia la cancellazione di un account..

Una domanda...che antivirus utilizzi?

[gianpietro]

Ciao kap

Come protezione uso, ESET Smart Security / Emsisoft Anti-Malware / EMET di Microsoft / Malwarebytes Anti-Exploit / Sanboxie
fino ad ora non anno mai dato problemi.

[The Walking Dead]

Gian sto facendo qualche ricerca ma non sono venuto ancora a capo di nulla.
Io comunque vorrei tranquillizzarti, non è detto assolutamente sia dovuto all'azione di un malware.
Ci sono molte applicazioni che usano creare un account nel sistema (io stesso ne ho due creati da software installati).
Anche la beta di Avast ne creava uno e persino Returnil.
Per cui account misterioso non equivale a malware.

Ti consiglio una cosa semplicissima.
Se quell'account è malevolo, sul tuo pc ci deve essere malware, è una diretta conseguenza.
Per cui se provi a seguire la guida alla disinfezione e non trovi nessun problema, io escluderei problemi di virus, e penserei ad altro.

[Al3x]

Ciao Al3x

Ho provato anche il tuo suggerimento

nel tuo caso il comando è il seguente

Codice: Seleziona tutto

net user iekkifnu /delete

per informazioni più dettagliate
http://www.wikihow.com/Add-and-Delete-U ... in-Windows
http://support.microsoft.com/kb/251394/it

[gianpietro]

Ciao kap

In aggiunta al post precedente, i software di protezione sono quelli residenti sul computer, mentre esternamente la protezione è costituita, da un router bintec RS230a insiema ad un Cyberoam CR 25iNG

[gianpietro]

Ciao The Walking Dead

Ho eseguito la verifica con i seguenti software: ESET Smart Security / Emsisoft Anti-Malware / Karspersky TDSSKiller / Dr.Web CureIt! / Karspersky Virus Removal Tool, non anno trovato nulla,
mentre HitmanPro nella scansione normale nulla, mentre in quella avanzata 7 possibili falsi positivi.



Come fai presente tù, è possibile che sia un account legittimo creato da un eventuale software, ma la cosa strana è che sia cambiato il nome iekkifnu a Gianpietro Belleri,
poi non vi è l'eventuale data di creazione o nome del software che l'ha creato, ed eventualmente se io non lo volessi, non posso cancellarlo.

[gianpietro]

Ciao Al3x

Ho eseguito il comando, ma credo non vada bene, il nome dell'account non è più iekkifnu, ma dopo aver eseguito PwDump7 su consiglio di hashcat l'account è diventato Gianpietro Belleri,
ho eseguito anche questo comando, ma credo che non vada bene neanche questo.

[The Walking Dead]

Ciao The Walking Dead

Ho eseguito la verifica con i seguenti software: ESET Smart Security / Emsisoft Anti-Malware / Karspersky TDSSKiller / Dr.Web CureIt! / Karspersky Virus Removal Tool, non anno trovato nulla,
mentre HitmanPro nella scansione normale nulla, mentre in quella avanzata 7 possibili falsi positivi.



Come fai presente tù, è possibile che sia un account legittimo creato da un eventuale software, ma la cosa strana è che sia cambiato il nome iekkifnu a Gianpietro Belleri,
poi non vi è l'eventuale data di creazione o nome del software che l'ha creato, ed eventualmente se io non lo volessi, non posso cancellarlo.

Ciao gian. Quelli sono file che HP non conosce.
HP non ti sta dicendo che si tratta di malware, puoi stare tranquillo.
Ti sta solo dicendo che sono file recenti e sconosciuti, spesso sono file legati agli aggiornamenti recenti di Windows.

Se quell'account fosse opera di un malware con tutte le scansione da te eseguite sarebbe saltato fuori sicuramente qualcosa, per cui puoi tranquillizzarti dal punto di vista del malware.
Anche perché sono certo tu sia un utente attento in fatto di sicurezza, per cui non credo sia un problema riconducibile all'azione di un virus.
Sul fatto che abbia cambiato nome secondo me potrebbe dipendere dall'uso del software consigliato da Hash (vediamo che ne pensa lui).

[gianpietro]

Ciao The Walking Dead

Per quanto riguarda HitmanPro, ai ragione sono tutti falsi positivi, ho verificato in Internet.

Mi sono collegato all'account, oltre ad aver ripristinato l'immagine del fiore, questa volta a eseguito una configurazione del sistema, durata circa 30 secondi, ho notato che praticamente è tornato come la prima volta,
non sono più presenti le due icone nella barra di comando, che avevo inserito di CCleaner e Firefox, avviando CCleaner è tornato come la prima volta richiesta di mantenere i cookie e tutte le funzioni di pulizia sono di nuova da spuntare,
Firefox uguale a perso le impostazioni che avevo eseguito la prima volta.

[gianpietro]

Ragazzi finalmente ho scoperto a chi appartiene il misterioso account, è del Phantom Windows, della funzione Anti-Furto di ESET Smart Security,
verificando la posta elettronica ho trovato vari avvisi, di un accesso al Phantom Windows, e veniva richiesta l'attivazione del tracciamento, se
eventualmente il Pc in questione fosse stato rubato.

Per risolvere il problema dell'account ho disinstallato ESET Smart Security, cavolo quante cartelle sono rimaste, e chiavi di registro, ho eseguito una cancellazione manuale di tutte le cartelle con Unlocker,
perchè come al solito il servizio ekrn.exe *32 è rimasto attivo, e quindi la cartella che lo contiene non può essere cancellata normalmente, e una cancellazione delle chiavi con Wintools.net, reinstallato,
riconfigurato alla massima protezione attivando tutte le funzioni avanzate, e ricreato un nuovo Phantom Windows, in una verifica precedente in Gestione computer l'account aveva un nuovo nome, ma
avendo attivato il Phantom Windows a inserito il nome dell'account che ho impostato nuovo.



Ora nella schermata di Login appare solo la richiesta User + Password:

Un grazie a tutti voi che avete partecipato a questo post.

[hashcat]

ho scoperto a chi appartiene il misterioso account, è del Phantom Windows, della funzione Anti-Furto di ESET Smart Security

Buono a sapersi.

Grazie a te!

[kap]

Oh! Bene!

Tutto é bene ciò che finisce bene! (Cit.)

[gianpietro]

L'account è ricomparso nella schermata di Logon, quindi ho richiesto informazioni al supporto di ESET, che mi a risposto, nella persona del Signor: Francesco Pasquale
che è tutto corretto, attivando il Phantom Windows Account, ho eseguito per prova un accesso all'account, e nella posta eletronica si riceve il seguente messaggio:

Dear Gianpietro Belleri,

ESET Anti-Theft has recorded suspicious activity on your device USER-PC NOD ESS. Someone has logged on the
device using the Phantom Account. If you don't know the location of the device, sign in to your ESET Account at
https://anti-theft.eset.com and confirm it as Missing. ESET Anti-Theft will start monitoring the activity on the
device to help you find out its position.

Sincerely,
ESET Team