Ciao a tutti,

come da normale procedura ho effettuato varie scansioni anche in modalità provvisoria, con i software consigliati in rete, ma il risultato è sempre lo stesso:

lanciando un controllo con AVG Free Edition ottengo più di 1000 file infetti da Win32/Virut.A....

qualcuno ha avuto la sfortuna di "incontrare" questo trojan?

1000 grazie in anticipo, ciao,
Francis

hai già provato con hijackthis?

ho già provato...cmq appena arrivo a casa posto il log.

grazie1000, ciao,
Francis25

hai provato a fare la sansione dalla modalità provvisoria anche con ewido?

ho provato, ma purtroppo non ho risolto...

facendo una ricerca ho trovato questa procedura per la rimozione manuale:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FVIRUT%2EA&VSect=Sn

ma è in inglese... :cry: qualcuno me la può tradurre?


grazie!

ecco il log di HijackThis...aiutatemi !!!

ciao


Logfile of HijackThis v1.99.1
Scan saved at 20.06.17, on 13/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Logitech\Video\LogiTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programmi\Spyware Doctor\swdoctor.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Logitech\Video\FxSvr2.exe
C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160421166125
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe

ho provato, ma purtroppo non ho risolto...

facendo una ricerca ho trovato questa procedura per la rimozione manuale:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE%5FVIRUT%2EA&VSect=Sn

ma è in inglese... :cry: qualcuno me la può tradurre?


grazie!

allora riguardo al log fixerei questa:
-> C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

per la procedura di rimozione dice di fare questo:

1) identificare i percorsi e nomi dei file (o del file) infetti
2) aprire il task manager (CTRL+ALT+CANC e se hai xp scegli la scheda processi)
3) da qui terminare i processi facenti riferimento ai file identificati prima
4) se hai XP o ME disabilita il ripristino di sistema
5) fatto ciò eseguire una scasnione completa del sistema con l'antivirus eliminando i file infetti

:D

-> C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe -----> FIXATO

per il resto: come faccio a sapere i processi creati dal virus? :muro:

:help:

...pare che le persone infette da questo virus abbiamo risolto solo con una FORMATTAZIONE A BASSO LIVELLO....voi che dite??

...pare che le persone infette da questo virus abbiamo risolto solo con una FORMATTAZIONE A BASSO LIVELLO....voi che dite??
addiritura a basso livello?mi pare un pò eccessivo...:D

per il resto: come faccio a sapere i processi creati dal virus? :muro:

:help:

per esempio se l'antivirus rileva un virus in c:\file1.exe
nel task manager dovrebbe esserci il processo file1.exe...

(non è sempre così che funziona ma dalla pagina della procedura io ho capito così...)

Basso livello? il virut.a e' un virus alla vecchia maniera... (e' dai tempi del parite che non ne vedevo piu'..)

beh, i file infetti, a che mi risulti non si ripuliscono con i soliti AVG NOD32.. etc.. e quindi di solito devono essere cancellati...

una volta cancellati tutti i file infetti, il sistema e' pulito.. il modo piu' veloce per liberarsi dall'infezione e' quello di installare un'altra copia del sistema operativo sull'harddisk .. su questa installare un antivirus aggiornato , e fare una bella scansione della cartella WINDOWS e PROGRAMMI, cancellare tutti i file infetti.. (e pazienza se si dovra' reinstallare WOrd o NERO...)

dopodiche ' ripartire con il vecchio windows, installare l'antivirus aggiornato, e controllare tutto il resto del pc.,..

se qualcuno hai idea di una cleaning-utility per il Virut sarebbe carino lo scrivesse :) (un mio cliente ha un software di gestione contabile infettato... e no ha voglia di sborsare 200 euro per la reinstallazione a domicilio...)

...pare che le persone infette da questo virus abbiamo risolto solo con una FORMATTAZIONE A BASSO LIVELLO....voi che dite??
In effetti, è un brutto virus, salvati subito tutti i dati importanti perché si può passare in poco tempo da 1000 a 10.000-20.000 file infetti!!!
;)
Cmq, basta anche la formattazione veloce!!!
:D

In effetti, è un brutto virus, salvati subito tutti i dati importanti perché si può passare in poco tempo da 1000 a 10.000-20.000 file infetti!!!
;)
Cmq, basta anche la formattazione veloce!!!
:D

io sono un sostenitore del tenere sempre due windows; possibilmente con antivirus molto potenti; ad esempio io in uno uso f-secure 2007; nell'altro kav6

lanciando un controllo con AVG Free Edition ottengo più di 1000 file infetti da Win32/Virut.A....

:sbavvv: Più di 1000 Virus??? Ti consiglio di formattare il computer secondo me fai prima oppure se vuoi tentare di riparare windows scaricati questi programmi indispensabili:

Ad-aware se personal
Spybot search&destroy
CCleaner
Un firewall (ti consigliato Zone Alarm)
Un antivirus (ti consiglio a pagamento Nod32 o Kaspersky mentre se lo vuoi gratuito ti consiglio Active virus shield)

:sbavvv: Più di 1000 Virus???
E' tipico del Virut, mi è capitato un caso in cui dopo 3-4 giorni dall'infezione era arrivato a 40.000 file infetti!!!
Probabilmente più si usa il pc e più si propaga...
:rolleyes:

Basso livello? il virut.a e' un virus alla vecchia maniera... (e' dai tempi del parite che non ne vedevo piu'..)

beh, i file infetti, a che mi risulti non si ripuliscono con i soliti AVG NOD32.. etc.. e quindi di solito devono essere cancellati...

una volta cancellati tutti i file infetti, il sistema e' pulito.. il modo piu' veloce per liberarsi dall'infezione e' quello di installare un'altra copia del sistema operativo sull'harddisk .. su questa installare un antivirus aggiornato , e fare una bella scansione della cartella WINDOWS e PROGRAMMI, cancellare tutti i file infetti.. (e pazienza se si dovra' reinstallare WOrd o NERO...)

dopodiche ' ripartire con il vecchio windows, installare l'antivirus aggiornato, e controllare tutto il resto del pc.,..

se qualcuno hai idea di una cleaning-utility per il Virut sarebbe carino lo scrivesse :) (un mio cliente ha un software di gestione contabile infettato... e no ha voglia di sborsare 200 euro per la reinstallazione a domicilio...)

esatto.
smettiamola di dire fesserie il virus in questione infetta file eseguibili in esecuzione sul pc (qundi niente infezioni a macchia d'olio) e apre una backdoor sulla porta 65520 tentando di connettersi a proxima.ircgalaxy.(dominio nazione)
il grado di pericolo è basso e la rimozione facile.

Questo sendo symantec, mcafee, sophos....basta ? ;)

esatto.
smettiamola di dire fesserie il virus in questione infetta file eseguibili in esecuzione sul pc (qundi niente infezioni a macchia d'olio)...
Appunto, ciò conferma quello che dicevo, ossia "più si usa il pc e più si propaga...", dato che "usare" il PC vuol dire aprire applicazioni e lanciare file eseguibili!!!
Per esperienza ti posso dire che se non lo rimuovi in tempo, ti ritrovi con un PC in cui non ti funziona più alcuna applicazione (neanche il blocco note)!!!
:rolleyes:

Appunto, ciò conferma quello che dicevo, ossia "più si usa il pc e più si propaga...", dato che "usare" il PC vuol dire aprire applicazioni e lanciare file eseguibili!!!
Per esperienza ti posso dire che se non lo rimuovi in tempo, ti ritrovi con un PC in cui non ti funziona più alcuna applicazione (neanche il blocco note)!!!
:rolleyes:

guarda i processi di solito sono tra 30 e 60 (mi sono tenuto largo) dunque nn ha senso parlare di 1000 file.
Poi vabbè se solo una questione di voler avere ragione, te la do tranquillamente. :O

guarda i processi di solito sono tra 30 e 60 (mi sono tenuto largo) dunque nn ha senso parlare di 1000 file.
Poi vabbè se solo una questione di voler avere ragione, te la do tranquillamente. :OVeramente sembri tu a voler aver ragione a tutti i costi, la frase: "lanciando un controllo con AVG Free Edition ottengo più di 1000 file infetti da Win32/Virut.A...." è di Francis25 e non vedo perché dovrebbe mentire, tanto più che a me è capito un caso simile e il numero di file infetti si è moltiplicato rapidamente!!!
Come poi, funzioni, il virus non lo so... io so solo che piano piano rovina tutte le applicazioni e su qualsiasi applicazioni si clicchi ti dà errore!!!
:O

Come poi, funzioni, il virus non lo so...
:O

funziona così:
http://vil.nai.com/vil/content/v_139473.htm

Purtroppo mi sono preso anche io questo virus.
Il problema è che il virus si è diffuso su tutti e due i dischi fissi, e non mi ha infettato solo file .exe ma anche file .htm che tengo per il mio sito.
Come avete fatto e eliminarlo? Ho già formattato due volte. Adesso come ultimo tentativo ho cancellato le partizioni di tutti i dischi, formattato tutto e reinstallato windows.
In quesot modo, avendo pulito tutto, dovrei avere tolto quei maledetti file infetti da cui si propagava il virus...

Purtroppo mi sono preso anche io questo virus.
Il problema è che il virus si è diffuso su tutti e due i dischi fissi, e non mi ha infettato solo file .exe ma anche file .htm che tengo per il mio sito.
Come avete fatto e eliminarlo? Ho già formattato due volte. Adesso come ultimo tentativo ho cancellato le partizioni di tutti i dischi, formattato tutto e reinstallato windows.
In quesot modo, avendo pulito tutto, dovrei avere tolto quei maledetti file infetti da cui si propagava il virus...

sysclean se non erro lo seccava http://it.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com...questo è il pattern per le definizioni http://it.trendmicro-europe.com/enterprise/support/pattern.php

Saluti :cool:

Ho formattato eliminando tutti i file e partizioni, poi ho fatto un'ulteriore scansione sia con NOD32 sia con AVG sull'hard disk esterno che ho usato per il backup dei file indispensabili e ho eliminato tutti i file infetti dal trojan. Credo di essere salvo adesso no? :confused:

Non credo, ma possiamo verificare.
Disabilita il Ripristino configurazione di sistema poi, segui il consiglio di Lancetta in primis e, dopo:

ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

● pubblica un nuovo log di HijackThis (lo alleghi alla discussione utilizzando la funzione Gestisci Allegati) sul Forum per farlo controllare e, attendi una risposta.

Non credo, ma possiamo verificare.
Disabilita il Ripristino configurazione di sistema poi, segui il consiglio di Lancetta in primis e, dopo:

ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

● pubblica un nuovo log di HijackThis (lo alleghi alla discussione utilizzando la funzione Gestisci Allegati) sul Forum per farlo controllare e, attendi una risposta.

Non credi cosa? che sia salvo? ma se ho eliminato tutte le infezioni dopo aver formattato...

Non credi cosa? che sia salvo? ma se ho eliminato tutte le infezioni dopo aver formattato...
Se ne sei certo ..... :D

Se ne sei certo ..... :D

adesso faccio la scansione e posto il log

Se ne sei certo ..... :D

Ecco il log. A parte due warning dovuti al fatot che il pc è fresco di formattazione e non ho ancora installato tutti gli update microsoft sembrerebbe tutto ok no?

assolutamente illibato :D

Adesso con Partition Magic sto facendo la cancellazione sicura della partizione dell hda da 320 giga, che è quello più infetto. Dopola formatto così estirpo proprio tutti i file. Dopo dovrei finalmente essere al sicuro...

Rieccomi su questa discussione...

qualche mese fa, una scansione automatica dell AVG mi ha ranzato via quasi tutti gli esempi di virus che avevo archiviato nel tempo (per sviluppo)

e vista proprio la diffusione che ha il virut.a e la voglia di dimenticarsi che esiste, mi ha portato a NON TROVARE UN SOLO ESEMPLARE IN RETE (rar+zip+lha+arj nullaaaaa)

se qualche anima buona ne avesse uno, me lo puo' invare per mail??? thelab@3nt.net (mi raccomando fateci una doppia compattazione, senno lo ferma il provider...)

ringrazio tutti anticipatamente, anche chi leggera' in futuro questo post, cercando una soluzione per l'infezione..

p.s. (mi serve per motivi di sviluppo... sto scrivendo un programma per la retroingegneria automatizzata... e volevo dare un occhiata anche dentro al virut.a... il prog? siid-see , si trova in rete in versione Beta.. oppure su www.wcn.it/soft.html )

ancora THX!

Ragazzi scusate, ho un problema con questo virut, non riesco ad avviare Windows, mi ha cancellato un utente e nell'altro utente, l'amministratore, oltre ad aver cambiato il nome, quando metto la pw di accesso torna sempre indietro in un loop e mi riporta al punto in cui ridigito la pw, parte win con "caricamento impostazioni personali....." e torna immediatamente a "salvataggio delle impostazioni personali...". Il bello è che ora anche in modalità provvisoria ora mi chiede la pw come amministratore, per cui non so proprio come fare, ho provato a fare una pulizia con avast poi col sysclean con un altro pc ma non è cambiato nulla.
Inoltre, essendo un HP ed avendo la partizione di recovery già di fabbrica, ho provato a fare ripristino configurazione di sistema (Ho win xp home) ma non mi permette nemmeno di avviare l'istallazione dei Win all'avvio. se qualcuno potesse darmi una mano gliene sarei veramente grato, vorrei evitarmi di fare una formattata globale, con conseguente perdita di dati e di una giornata per il ripristino totale.
Grazie
Antonio

prova ad avvairla dal cd di ripristino che avrai fatto appena comprato il notebook :)
il rirpistino del notebook da harddisk va fatto premendo F10 all'avvio :)

ciao, non è un notebook, e si, la partizione di recovery mi ripristina il sistema con F10, ma il problema è che anche questa non parte, mi da fatal error, stop c000021a e 0x000034, schermata blu e nient'altro, come ne esco?
Grazie
Antonio

Ti consiglio di crearti un cd bootabile:

www.ubcd4win.com

Con questo potrai accedere ai tuoi dati, eliminare le password degli utenti, effettuare una scansione antivirus e anche provare a caricare un punto di Ripristino di configurazione di sistema.
Per la sola scansione antivirus in alternativa c'è:

http://www.hwupgrade.it/forum/showthread.php?t=1689812

ciao, intanto grazie, ma l'ubcd che mi scarice è un exe, non un iso, ora provo a cercarlo di nuovo, comunque cvome dovrei fare? visto che non mi fa accedere alla modalità provvisoria, provo con ubcd bootable e poi con l'antivir? ubcd non l'ho mai usato, come funziona? riesco a sistemare il tutto com'era prima o solo a recuperare dei dati e poi comunque devo formattare?
Grazie
Antonio

ciao, intanto grazie, ma l'ubcd che mi scarice è un exe, non un iso, ora provo a cercarlo di nuovo, comunque cvome dovrei fare? visto che non mi fa accedere alla modalità provvisoria, provo con ubcd bootable e poi con l'antivir? ubcd non l'ho mai usato, come funziona? riesco a sistemare il tutto com'era prima o solo a recuperare dei dati e poi comunque devo formattare?
Grazie
Antonio

E' normale che sia un exe, il file iso lo dovrai creare tu. Ti serve un cd di windows xp. Se non lo hai dovrai fartelo prestare.
Aggiungo una breve guida con i passi essenziali per creare la iso:

1. Installare UBCD4Win
2. Avviare Ubcd4win
3. Accettare la licenza
4. Quando chiede se cercare i file su disco cliccare su no
5. Inserire il cd di Windosw Xp
6. Dove c'è scritto origine cliccare sul tasto ... e scegliere il lettore che contiene il disco di XP
7. Clicca su Plugins
8. Nella nuova finestra scorri fino ai plugin Antispyware
9. Clicca sulla prima voce contenente <Config-to update> e poi sul tasto configura per aggiornare
10. Ripeti l'operazione per gli anti-spyware e gli anti-virus dove c'è <Config-to update>
11. Una volta finito clicca su Chiudi
12. Clicca su crea
13. Attendi che il processo finisca
14. Apri il tuo software di masterizzazione e masterizza su un cd-rw la iso contenuta in C:\UBCD4Win\

P.S. Alcuni antivirus possono considerare alcuni file di UBCD4WIN come potenzialmente pericolosi. Se ciò avviene bisogna inserirli tra le applicazioni sicure.

P.P.S. Che versione di windows xp hai? Si potrebbe provare con il Repair dell'installazione di Windows, però devi avere il disco con la stessa versione di quella installata. Vedi punto 4 qui:

http://www.pcalmeglio.net/news.asp?id=188

ariciao, non ci sono stato per un pò di giorni, ma ubcd devo quindi installarlo su un pc funzionante? ho xp pro, ma sul pc guasto c'è xp home, va bene lo stesso? il pc guasto non riesco a farlo partire nemmeno in provvisoria, quindi per quello non riesco a installare ubcd, se lo installo su quello funzionante e poi collego l'hd di quello guasto come devo fare in quel caso? il cd di win che inserisco viene a richiamare su quello che sta funzionando, mentre a me serve farlo sull'altro
Grazie
Antonio

Devi per forza usare un Windows funzionante per creare la iso che poi dovrai masterizzare su un cd, meglio se riscrivibile.
Non è importante la versione di Xp per creare la iso di Ubcd4win.

Inoltre se hai o riesci a procurarti un cd di windows Xp Home identico a quello installato sul pc non funzionante, cioè che abbia lo stesso Service Pack (Sp2 o SP1?), puoi tentare l'altra soluzione che ti avevo scritto:

P.P.S. Che versione di windows xp hai? Si potrebbe provare con il Repair dell'installazione di Windows, però devi avere il disco con la stessa versione di quella installata. Vedi punto 4 qui:

http://www.pcalmeglio.net/news.asp?id=188

Comunque se hai deciso di usare ubcd4win allora procedi prima col creare la iso e poi ti scrivo come usarla.

we, dell'ucd solo i config to update o anche i config to enable per gli antivirus?

mmmmmmmmmmm, problemino, io ho la service pack 2installata, ma il cd è solo xp pro, quindi quando vado su crea mi dice che c'è un errore sulla fonte dei files....come procedo?

Scarica questa: http://home.eunet.no/~pnordahl/ntpasswd/cd070927.zip estraila e masterizzala in un cd riscrivibile.

Per avviare l'utility è necessario innanzitutto impostare nel BIOS il lettore CD o DVD come first boot nella sezione boot (qui si possono trovare vari esempi (http://www.hiren.info/pages/bios-boot-cdrom)).

Dopo aver fatto ciò inserisci il cd subito dopo l'accensione.
Alla prima schermata premi su invio.

Ora viene il bello, perchè questa utility non è semplice da usare per un utente medio. Vedrai una serie di scritte sullo schermo. Poi quando tutto si ferma nell'ultima riga che vedi ti viene chiesta qual'è la partizione dove è Windows.

http://www.passwordone.com/components/com_remository/images/ontpassword2.jpg

In precedenza il programma effettua la rilevazione. Quindi ora se avevi un solo Windows installato dovrai scrivere 1 dopo la scritta Select e dare invio.

Successivamente devi dare semplicemente invio:

http://www.passwordone.com/components/com_remository/images/ontpassword3.jpg

Ora inserisci 1 e dai invio:

http://www.passwordone.com/components/com_remository/images/ontpassword4.jpg

Di nuovo 1 e poi invio:

http://www.passwordone.com/components/com_remository/images/ontpassword5.jpg

Ora nelle ultime righe potrai leggere il nome degli utenti nel pc. Scrivi administrator e dai invio.

http://www.passwordone.com/components/com_remository/images/ontpassword6.jpg

Ora seleziona 1 per cancellare la password.

http://www.passwordone.com/components/com_remository/images/ontpassword7.jpg

Ora puoi ripetere l'operazione per l'altro utente inserendone prima il nome e premendo invio e poi selezionando 1. Quando hai fatto anche questo inserisci il punto esclamativo ! e dai invio:

http://www.passwordone.com/components/com_remository/images/ontpassword8.jpg

Scrivi q e dai invio:

http://www.passwordone.com/components/com_remository/images/ontpassword9.jpg

Poi y per applicare i cambiamenti:

http://www.passwordone.com/components/com_remository/images/ontpassword10.jpg

Infine scrivi n e dai invio. Estrai il cd riavvia e verifica se riesci ad accedere a windows in modalità normale o provvisoria.

Se ciò non fosse possibile allora ti scriverò poi i successivi tentativi da fare.

ok, ci provo, ma credo non otterrò niente, perchè il problema non è la pw, ma il fatto che va direttamente dall'acesso alla disconnessione, comunque provo, ti ricontatto prossimamente su questi schermi

UN CASINO!
allora rimetto l'hd sul pc e non si avvia, parte la schermata HP INVENT e rimane lì, boh
poi metto l'hd sul mio pc, funziona, ovviamente però non riesco ad avviare, sempre la stessa solfa, la pw è giusta (ho provato a metterne una sbagliata e mi dice che non è corretta, quindi la pw non è stata cambiata), ma sul mio mi dice che la copia di win deve essere autenticata (sull'hp credo i codici siano nel bios o non so, comunque la licenza di win era compresa nel pc), però quando chiedo che venga autenticata mi da errore 0x80004005, altro boh
comunque faccio partire il software che mi hai dato, e mi dice che il disco potrebbe essere sporco o avere delle flag bloccate, e altre cose, e che io posso continuare ma che i cambiamenti non verranno apportati, io continuo, faccio tutto quello che mi hai detto, e alla fine sono punto e a capo, ennesimo boh mastodontico
a forse non ti ho detto che quando andava avevo provato ad avviare in provvisoria e a fare una scansione antivirus, che si bloccava, poi ho provato dal mio pc a fare la scansione dell'hd e trovava i virus, ma pulendoli o mettendoli i quarantena alla fine sono sempre lì
Sul mio pc però l'hd lo vede normalmente, leggo tutto, e per accedere ai dati non mi dice accesso negato, come di solito dice se l'utente è protetto da pw
Riusciremo a venirne a capo?
Ti ringrazio del tuo tempo
Antonio

Sinceramente non ho capito molto. Ma hai attaccato l'hard disk del pc che non parte al pc buono? Se è così potresti fare da lì la scansione del disco con i software consigliati nella guida alla disinfezione e anche salvare i dati importanti.
Se il problema non è la password allora serve il cd di ubcd4win per tentare il ripristino ad una data in cui tutto funzionava o un cd di Xp Home per tentare di riparare l'installazione di windows.
Per fare la iso di ubcd4win devi prima crearti il cd di Xp Pro SP3.
Per integrare il sp3 puoi seguire questa guida:

http://www.megalab.it/articoli.php?id=92&pagina=3

si, ho attaccato l'hd di quello che non parte a quello buono, ho fatto le disinfezioni e niente, ho seguito un paio di percorsi consigliati nei forum e nulla, ora ho scaricato la sp3 di xp pro, quindi devo prima installarla nel mio pc, rifare tutti gli upgrade ecc ecc? ho in due cd separati xp pro e la sp3, per ubcd da quale dei due devo prendere i dati?

Ragazzi scusate, ho un problema con questo virut, non riesco ad avviare Windows, mi ha cancellato un utente e nell'altro utente, l'amministratore, oltre ad aver cambiato il nome, quando metto la pw di accesso torna sempre indietro in un loop e mi riporta al punto in cui ridigito la pw, parte win con "caricamento impostazioni personali....." e torna immediatamente a "salvataggio delle impostazioni personali...". Il bello è che ora anche in modalità provvisoria ora mi chiede la pw come amministratore, per cui non so proprio come fare, ho provato a fare una pulizia con avast poi col sysclean con un altro pc ma non è cambiato nulla.
........

Prima però vorrei capire se è possibile entrare in modalità provvisoria. Da quello che leggo in modalità provvisoria non riesci ad entrare per colpa della password. Giusto?

Allora riattacca l'hd al pc, imposta nel bios il lettore CD o DVD come first boot nella sezione boot e prova a resettare la password con Offline NT Password....

:)

Nuz a me era capitato qualcosa di simile, si era disabilitata la stringa userinit,
In remoto con cd avviante o hd montato altrove,avevo rinominato dalla cartella config i files SOFTWARE, SYSTEM, SAM, SECURITY, DEFAULT
e ripristinato gli originali della cartella repair, con questi il cd parte e a pc avviato, tramite regedit ho caricato l'hive del file SOFTWARE precedentemente rinominato, e corretto la stringa C:\WINDOWS\system32\userinit.exe,
all'indirizzo HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Poi ho scaricato l'hive
Ricaricato l'hive per verificare che abbia preso la modifica
Di nuovo in remoto con cd avviante o hd montato altrove ho eliminato SOFTWARE, SYSTEM, SAM, SECURITY, DEFAULT e ripristinato quelli precedentemente rinominati ( con il file SOFTWARE corretto).
Dici che può fungere, io verificherei almeno la presenza di quella stringa...

Si è una buona soluzione. Visto che lui ha un altro pc potrebbe provare.

proverò stasera, ma ora succede che l'hd infetto sul pc da cui è stato smontato non va proprio, mi rimane la pagina hp invent che fa all'avvio e non va avanti, rimane così, pagina bianca col simbolo hp e bon, quindi come faccio? col programma che mi hai dato ho rimosso le pw, ma mi diceva che l'hd potrebbe essere sporco, e alla fine della fiera la pww era anora lì, altre idee oltre la formattazione? cosa che comunque dovrei fare col mio visto che l'altro ora ha qualcosa che non va, potrebbe essere il bios o qualcos'altro? col mio hd non posso provare che ho un sata e quello è ide
Grazie
Antonio

Wjmat intanto grzie anche a te, comunque la cartella repair dove si trova? cos'è l'hive? potresti essere più dettagliato? visto che fortunatamente non becco virus tutti i giorni, e non sono un appassionato di software alcune procedure non le conosco
Grazie

proverò stasera, ma ora succede che l'hd infetto sul pc da cui è stato smontato non va proprio, mi rimane la pagina hp invent che fa all'avvio e non va avanti, rimane così, pagina bianca col simbolo hp e bon, quindi come faccio? col programma che mi hai dato ho rimosso le pw, ma mi diceva che l'hd potrebbe essere sporco, e alla fine della fiera la pww era anora lì, altre idee oltre la formattazione? cosa che comunque dovrei fare col mio visto che l'altro ora ha qualcosa che non va, potrebbe essere il bios o qualcos'altro? col mio hd non posso provare che ho un sata e quello è ide
Grazie
Antonio

Nel bios hai messo l'hard disk nella sequenza di boot? Ad es.

1° Cd-rom
2° Hard Disk 0
3° Floppy disk

Con il disco montato su un'altro pc ► Start ► Esegui ► Regedit (invio) ► 1 Click sx su HKEY_LOCAL_MACHINE ► Selezionare File in alto ► Carica Hive.... ► Selezionare il file "software" all'indirizzo x:\WINDOWS\system32\config ► alla nuova finestra che si apre scrivere "pippo" e dare OK ► Ora sotto HKEY_LOCAL_MACHINE ci sarà una nuova cartella chiamata "pippo" ► Esplorarla fino alla stringa Microsoft\WindowsNT\CurrentVersion\Winlogon ► Nel riquadro di destra cercare sotto la colonna Nome la voce "Userinit" e verificare che sotto la colonna dati ci sia esattamente (compreso di virgola) C:\WINDOWS\system32\userinit.exe,
Se cosi non fosse editarla stando attento anche alle maiuscole ► Una volta modificata un click sulla cartella pippo ► poi in alto File ► Scarica Hive... per salvare le modifiche ► Ora la cartella pippo sparisce
Per verifica ricaricare di nuovo il file software come prima e verificare che la modifica sia stata effettuata ► scaricare di nuovo ► uscire da regedit ►
Rimontare il disco sul pc originale

x: è l'indirizzo del disco che non parte

PS Per sicurezza magari prima vai in x:\windows\system32\config e fai una copia di backup del file software

PPS aspetta un attimo anche il consenso di NUZ

x NUZ ho tralasciato la fase di ripristino dei file della cartella repair secondo te non cambia nulla?

Secondo me è corretto. Non resta che provare. :)

Edit: Il percorso per il file software è: x:\windows\system32\config

Nel bios hai messo l'hard disk nella sequenza di boot? Ad es.

1° Cd-rom
2° Hard Disk 0
3° Floppy disk

Ciao, nel bios non riesco proprio ad entrare, rimane quella schermata che ti ho descritto e basta, qualunque cosa io faccia, F2,F8,F10 non fa nulla, e il bios non l'avevo modificato perchè tanto non installavo win da cd ma da una partizione di recovery che hanno gli hp.
Proverò con la soluzione che mi avete proposto e vi farò sapere, ma la formattazione mi sembra vicina.
Grazie
Antonio

il tasto Canc??

ciao ragazzi, allora ho provato a fare come mi avete detto, l'hd ora funziona, nel senso che parte win, purtroppo sono puntoi e acapo perchè sempre quando metto la pw mi disconnette, ho rimesso l'hd e rifatto il regedit e la stringa di userinit non è stata modificata (prima ho dovuto modificarla, perchè la stringa era soltanto userinit.exe), quindi ora non so come andare avanti, ho provato ad avviare ultima configurazione funzionante e mi chiede sempre la pw, modalità provvisoria e anche lì stessa cosa, pw e poi mi disconnette, ho fatto partire la consolle di ripristino (win è su una partizione di recovery sull'hd, parte con F10 all'avvio) e mi dice che c'è un errore fatale e che il sistema è stato arrestato. come recupero sto pc??
Grazie
Antonio

Prova ad azzerare la password con la procedura che ti scritto qui:

http://www.hwupgrade.it/forum/showpost.php?p=22514086&postcount=43

ci ho già provato e non ne ho ottenuto niente

quando lo avevi comrpato al primo boot ti aveva fatto fare un dvd di ripristino uguale identico al contenuto della partizione di ripristino..
ricordi se lo hai fatto e riesci a recuperare quel dvd?

MAGARI.... purtroppo non è il mio pc, ma della mia tipa, e quando lo ha acquistato non ha fatto nulla, non ho nessun dvd, e comunque ora ho formattato perchè mi ero stufato, piuttosto all'avvio mi dà la scelta tra xp home (che era installato prima ma ora non c'è più) e xp pro, che è installato adesso, come posso togliere la scelta? il bios è molto semplice e non c'è alcun riferimento al tempo di scelta nè alla possibilità di far partire in automatico uno o l'altro SO, c'è un altro modo per bypassare questo per risparmiare tempo all'avvio?
Grazie
Antonio

Click destro sull’icona Risorse del Computer sul desktop (oppure Fare clic su Start -> Pannello di controllo -> Sistema) -> Avanzate -> Sotto avvio e ripristino clicca impostazioni -> Clicca su modifica -> Si aprirà il file boot.ini -> seleziona tutto il testo e riportacelo -> Esci dal file senza salvare nulla.

quello è il bootloader che non ha nulla a che vedere con il bios :) quindi non hai fatto una formattazione corretta ossia non hai resettato la partizione :)