Avendo riscontrato alcuni inconvenienti sul PC, ho rilevato dal visualizzatore di eventi un problema su un servizio di Windows. Il servizio interessato è “gestione account di protezione (SAM)” che risulta attivato ma la cui casella percorso file esegui …
Avendo riscontrato alcuni inconvenienti sul PC, ho rilevato dal visualizzatore
di eventi un problema su un servizio di Windows. Il servizio interessato è
“gestione account di protezione (SAM)” che risulta attivato ma la cui
casella percorso file eseguibile risulta grigia e vuota. La casella dovrebbe contenere
il percorso C:\Windows\System32\Isass.exe. Ho cercato di inserire la voce ma una
maschera di errore mi segnala l’impossibilità di modificare il percorso
o il nome del file. Il file Isaas.exe risulta attivo nell’elenco dei processi.
Di cosa si tratta?
Il file Isass.exe è un trojan assai pericoloso, cancella i file in cui
sono memorizzate le password e controlla quanto viene digitato sulla tastiera.
Isass carica questi tre programmi nella cartella di Windows: ISASS.EXE, MSSVCHST.DLL
e MSHLPAPI.DLL. Richiamate il task manager premendo contemporaneamente i tasti
Ctrl, Alt e Canc, selezionate il processo Isass e cliccate su Termina.
Eseguite una scansione con un antivirus on line (ad esempio Trend
Micro) prendete nota del nome e della posizione dei file trovati. Riavviate
il PC, premete il tasto F8 subito dopo la scomparsa della pagina con le informazioni
sull’hardware e selezionate il riavvio in modalità provvisoria.
Cancellate i file trovati dalla scansione precedente.
Cliccate su Start, Esegui, digitate Regedit e
premete OK, andate alle chiavi
KEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunOnce
e
HKEY_USERS>Default>Software>Microsoft>Windows>CurrentVersion>RunOnce,
cancellate nel pannello di destra qualsiasi chiave che abbia un riferimento
a Isass.exe. Chiudete il registro e riavviate il sistema, aggiornate l’antivirus
ed eseguite una scansione completa del sistema.
