disconnessione automatica

[red_ka.it]

Ciao raga sto sistemando il pc di mia sorella, che ha avuto la capacità di farsi mangiare il sistema solo usando msn, e sto uscendo pazzo.
Praticamente non so quanti virus ho già tolto, ma la cosa + strana è successa pochi minuti fa, e a questo proprio non so ovviare; dopo aver fatto una scansione con panda antirootkit mi ha trovato un file tra i temporanei (classificato come unknow) che ovviamente ho permesso di cancellare dopo il riavvio, solo che ora mi entra in xp ma poi l'account si disconnette automaticamente e non ho alcun modo di entrare, nemmeno in mod.provv.
Il mio timore è che quel file sconosciuto era smss.exe, che kaspersky mi segnalava come rootkit.
Avete idea di come posso risolvere?

[red_ka.it]

Solo ora ricordo che il file cancellato da panda nn era smss ma il logon, quindi si spiega il problema. Ho trovato questa soluzione, spero funzioni, la posto nel caso potesse servire:

Quote:

Here is the solution to the logon - logoff issue in Windows XP.

Enter the Recovery Console

Boot the system using the Windows XP CD-ROM. In the first screen when the Setup begins, read the instructions press "R" (in the first screen) enter the Recovery Console. Type-in the built-in Administrator password to enter the Console. You'll see the prompt reading C:\Windows (Or any other drive-letter where you've installed XP)

Type the following command and press Enter.

CD SYSTEM32
(If that does not work, try CHDIR SYSTEM32)

COPY USERINIT.EXE WSAUPDATER.EXE

Quit Recovery Console by typing EXIT and restart Windows.

You'll be able to login successfully as you've created the wsaupdater.exe file (now, a copy of userinit.exe)

Now, change the USERINIT value in the registry (see Phase II in this page) and change it accordingly

questa è la phase II
Click Start, Run and type REGEDIT. Navigate to:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon

In the right-pane, change the value of Userinit to "C:\WINDOWS\system32\userinit.exe,"

Type the above value exactly as given, including the comma - exclude the quotes. Also, change the path to userinit.exe appropriately if Windows is installed in a different drive.

Close Registry Editor and restart Windows. The Quick Launch settings should be retained now

[Dangerous]

ma quando c'è scritto copy userinit.exe eccc eccc
che significa?
copy da dove a dove ?
io bo ho copiato il file userinit.exe dal cd nella cartella system32 ma non si è risolto niente

[xcdegasp]

thread spsotato in area infezioni


@ Dangerous:
leggi meglio, c'è scritto tutto e te lo riscrivo in modo più chiaro:

1. avvia il pc con il cd-rom di Windows all'interno dell'unità ottica (controlla da bios che faccia il boot venga eseguito prima da cd-rom e solo se non viene trovato il cd avvia windows dai dischi rigidi). Nella prima finestra quando il Setup inizia, leggi le istruzioni e premi "R" per entrare nella console di ripristino.
   Sarai posizionato nell'unità C:\ o comunque nell'unità nella quale è installato Windows.
   
   
2. scrivi (puoi usare il minuscolo):
   CD SYSTEM32
   e batti invio se dovesse dare errore prova a scrivere "CHDIR SYSTEM32" e batti invio (trascurando i doppi apici)
   
   
3. scrivi:
   COPY USERINIT.EXE WSAUPDATER.EXE
   batti invio
   
   
4. esci dalla Console di Ripristino e riavvia il pc questa volta facendo il boot normalmente quindi dal HardDisk

ora rimane da cambiare il valore USERINIT dal registro di windows, quindi:
start -> esegui: regedit
batti invio

posizionati in:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon

clickando su "Winlogon" (un solo click) nel pannello di destra ti mostrerà il contenuto, quindi devi trovare in quell'elenco la "Userinit" quindi facci un doppioclick e ti si aprirà un pop-up dove dovrai controllare, ed eventualmente modificare, che abbia il seguente valore:
C:\WINDOWS\system32\userinit.exe,
(mi raccomando anche la virgola finale)

in caso windows sia installato su altra unità sostituire C:\ con la lettera corretta, riavviare.



poi cerca eventuali cartelle BAK seguendo questa semplice guida http://www.hwupgrade.it/forum/showthread.php?t=1694322, infine procedi con le scansioni indicate nella Guida alla Disinfezione per Infetti e pubblica tutti i log così vediamo se è rimasto qualcosa e cosa

[red_ka.it]

beh la guida sembra dettagliata, peccato a me non abbia funzionato.
Ho dovuto ancora ripristinare il pc, per poi salvare tutto e formattare.

[xcdegasp]

magari nel tuo caso era un altra cosa il problema... tipo cancellazione di winlogon.exe

[red_ka.it]

eh si infatti era proprio che si era cancellato logon.
Che fai il mago?

[xcdegasp]

fatto da AVG?

[red_ka.it]

no panda antirootkit ha fatto il guaio solo che me lo dava come file unknow
sicuro che fosse il logon xkè prima kaspersky continuava a segnalarlo come rootkit.

[xcdegasp]

azz.. c'è sempre da stare attenti a cosa viene chiesto di cancellare

[red_ka.it]

Beh un pò è stato xkè me lo dava come unknow (quindi nn ho visto che era), un pò xkè stavo lavorando da vnc su 3 pc, sul mio x la tesi, e sugli altri due xkè mia sorella ha fatto come il mago Oronzo, "con la sola imposizione delle mani ti fotto due sistemi".

[xcdegasp]

magaaa

ebbrava la sorellina

scherzo, però effettivamente è stata una tragedia del tuo caso

[red_ka.it]

Vabbè ho poi risolto senza problemi, chiuso a catenaccio il firewall, e ora usano un account limitato.
A napoli si dice "dopo i ladri in casa, le sbarre alle finestre"
ciao.

[Dangerous]

ovviamente la guida neanche a me è servita a niente

[red_ka.it]

beh allora mi sa che il caso eccezionale era giusto quello del tipo che ha scritto la guida

[7D9]

Ciao.

Ho all'incirca lo stesso problema. Entro in windows XP, ma poi l'account (che è comparso magicamente, prima non avevo nessun account) si disconnette automaticamente. E lo stesso mi succede in modalità provvisoria.

Fino a stamattina il computer andava bene, poi un mio contatto su msn mi ha segnalato che gli arrivavano un sacco di messaggi dal mio account con un link che rimandava a un virus.
Allora ho fatto lo scan del computer con AVG che ha trovato 8 trojan, poi ho riavviato e adesso sono in questa situazione.

Io il CD di windows non ce l'ho (ho un portatile di tre anni fa e non mi avevano dato nessun cd di windows).

Come devo fare? Questo "Avira AntiVir Rescue System" mi può essere d'aiuto?
http://www.hwupgrade.it/forum/showthread.php?t=1689812

Grazie in anticipo per qualsiasi suggerimento.

E scusate se magari dico cavolate o chiedo banalità, ma sono veramente niubbo in fatto di computer.

[7D9]

Anche con "Avira AntiVir Rescue System" non è cambiato niente.

Purtroppo non so come fare a postarvi il log dei messaggi visto che non ho il lettore floppy sul portatile.

Sapete darmi qualche consiglio?

[Nuz]

Riesci ad accedere in modalità provvisoria?

[7D9]

No. Anche in modalità provvisoria mi si disconnette automaticamente.

[Nuz]

Dovresti procurarti il cd di Windows (Home o Professional) per poter tentare di accedere con un altro cd bbotable che ha molte più opzioni:

www.ubcd4win.com

Oppure potresti usare un cd live come quello di Ubuntu, ma non so se avresti il pieno accesso (cioè anche in scrittura) alla partizione dove è Windows.
Con quello si potrebbe controllare cosa ha eliminato Antivir.

Però io ti consiglio la prima soluzione.