:confused:
Ciao ragazzi ho un grosso problema...
Il mio Pc è infetto dal Th dropper.eesibin... ho tovato con hijack la stringa da fixare per eliminare il virus , ma per farlo ho dovuto ovviamente mandare il pc in modalita' provvisoria , modalita' ke a me nn parte normalmente all'avvio premendo F8 e quindi ho scaricato Bootsafe per avviarlo in modalita' forzata... All'avvio normale di windows si blocca tutto sulla schermata di Xp , le altre modalità si bloccano pure con quell'odioso under score lampeggiante senza dare segni di vita... eppure è un dropper e nn un beagle, ma purtroppo mi sa ke la modalità provvisoria è andata...
ora il problema e' ke il pc nn si avvia piu'...nessuna modalità e avviabile ne con il prompt ne in provvisoria normale ne in provvisoria con rete e nemmeno con la voce riprendi dall'ultima sessione (sicuramente funzionante "c'è scritto" ) e niente...
di seguito vi inserisco cmq il log di hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.16.38, on 09/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)
--
End of file - 5983 bytes


la stinga da fixare dovrebbe essere :
O4 - HKCU\..\Run: [aogeiks] "c:\documents and settings\utente\impostazioni locali\dati applicazioni\aogeiks.exe" aogeiks
Giusto?
vorrei sapere ora come poer riuscire a riavviare il pc ...:muro: :mc:
questo anke al costo di tenermi quel throian malefico (ke di sicuro mi ha sfondato la modalita' provvisoria)
Vi ringrazio anticipatamente per il vostro aiuto e spero in una vostra risposta !
:confused:

http://www.hwupgrade.it/forum/showthread.php?t=1689812

Ciao segui la suddetta guida per creare Avira Rescue System naturalmente il cd dovrà essere creato su un Pc sano, l'opzione per disinfettare è la 2

nell'eventulità la procedura di cui sopra non dovesse sortire risultati, optiamo per una soluzione diversa, ti anticipo che servirà il CD di installazione di WIN

Ti suggerisco inoltre di leggere *** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598) dove sono indicate le modalità per allegare i log.

grazie, provero a fare come dici...
scusa ma : " avira antivir rescue system e' un cd bootable linux based " , nn significa ke e' un programma per linux?
io ho WIN xp...
spero di riuscire nell'operazione, nn sembre difficilissimo ma nn e' ke io sia un esperto... ti ringrazio ancora e poi ti faro' sapere...
:D

grazie, provero a fare come dici...
scusa ma : " avira antivir rescue system e' un cd bootable linux based " , nn significa ke e' un programma per linux?
io ho WIN xp...
spero di riuscire nell'operazione, nn sembre difficilissimo ma nn e' ke io sia un esperto... ti ringrazio ancora e poi ti faro' sapere...
:D
è basato su linux in quanto open source e gli serve per funzionare, che tu abbia win importa

Raga qui il problema persiste, vi spiego:
ho usato avira rescue cd , ho seguito la procedura della guida e purtroppo continua a bloccarsi, sia se provo a scansionare sia se provo a riavviarlo con avira.
A questo punto ho provato ad usare kaspersky , ho effettuato la scansione (ke ci ha messo un botto di tempo ) ma nn ha trovato niente....
C'è un altro metodo?anche a volerlo formattare come faccio?
ho provato ad avviarlo anche da un cd di windows xp professional originale e ancora vergine ma si blocca...
:mc:
si puo fare qualke cosa??
GRAZIE!:muro:

http://support.microsoft.com/kb/315341/it
metodo2 per reinstallare winxp

così vediamo se sovrascrivendo i file di sistema riparte

grazie wjmat ci provo e poi ti dico.. thanks a lot
:D

P.S.
la copia precedente nn era origimale... questo puo influenzare in qualke modo?

grazie wjmat ci provo e poi ti dico.. thanks a lot
:D

P.S.
la copia precedente nn era origimale... questo puo influenzare in qualke modo?

no

grazie wjmat ci provo e poi ti dico.. thanks a lot
:D

P.S.
la copia precedente nn era origimale... questo puo influenzare in qualke modo?

Mi sembra di aver capito che in Cd di installazione di Win ce l'hai, giusto?

Scusa se ci ho messo molto per rispondere ma ero fuori per lavoro...
Si c'è l'ho, e' il cd di microsoft windows XP professional...oggi provero' a seguire il secondo metodo per avviare il pc tramite disco di windows..ti faro' sapere al + presto chill out
GRAZIE ;)

:cry:
purtroppo nn sono riuscito a ripararlo.....
l'ho portato da un tecnico e nemmeno lui e' riuscito a risalire al problema.....
e come unica soluzione ho cambiato la skeda madre......
e vabbe' e andata cosi....
grazie cmq per il vostro aiuto...
:) ciao ragazz

di nulla
ciao

Peccato che non ho visto prima questa discussione perchè forse avrei potuto aiutarti.
E' un problema che ho dovuto affrontare l'anno scorso e che ho risolto col solito ideone, o se vogliamo col solito "colpo di culo" tipico di noi tecnici informatici... :D

Lascio questa piccola guida risolutiva ad uso di chi dovesse trovarsi nella stessa situazione e non sa che pesci pigliare.

Esistono dei malware che disabilitano la modalità provvisoria, cancellando alcune voci del registro di sistema di windows.
Altre volte queste voci vengono danneggiate da un cattivo uso dei tool di pulizia e gestione dei registri (cosa che piu volte in questo forum ho consigliato di fare con i piedi di piombo).
Comunque, probabilmente (uso il condizionale perchè esistono casistiche diverse) l'accesso alla modalità provvisoria si può ripristinare semplicemente recuperando da un altro sistema identico (è consigliabile usare lo stesso windows con pari sp, anche se io l'ho fatto trasferendo le chiavi di un win 2003 server ad un xp pro sp2) queste voci.

Come diagnosticare il caso di cancellazione...

1- da Start > esegui > regedit

2- vai alla voce

HKey_Local_Machine\System\Current Control Set\Control\Safeboot

questa è la chiave che windows usa per il boot in modalità provvisoria

se la chiave manca, già avete sgamato il problema.
Ma di solito non è cosi semplice...

Questa chiave ha 2 sottochiavi, Minimal e Network

Spesso i virus/worm, (o le errate manutenzioni del registro...), cancellano tutte o la maggior parte delle sottochiavi di queste due voci, ve ne accorgete facilmente se avete la possibilità di fare un confronto con un altro sistema analogo (Win XP/Vista/2003 server, hanno tutti e 3 le stesse voci in quelle sottochiavi)


3- Per ripristinare la modalità provvisoria, basta esportare le chiavi, e relative sottochiavi (Vai col procedimento del regedit sulla voce "safeboot" e fai "esporta" dal menu file), naturalmente sarebbe meglio farlo da un sistema windows XP/vista/2003 (analogo al vostro) che ha la modalità provvisoria perfettamente funzionante.
Quindi ti si crea un file xxxxx.reg che ti copi e riporti sul tuo pc.

Nel tuo PC...
Entri con un account avente i diritti di amministratore
(cosa elementare ma non sempre sottintesa).
Vai col sistema del "regedit" alle voci danneggiate, come ho indicato sopra.
Cancelli le sottochiavi di "safeboot" (è bene farlo prima di inserire i nuovi dati, in modo che se è stato un virus a fare questo, potrebbe aver inserito altri dati che non verrebbero rimossi).
Tolte le sottochiavi, vai sul tuo bel file xxxxx.reg e ci clicchi su 2 volte, dai OK quando ti chiede conferma per inserire le voci nel registro e il gioco è fatto.

Fine...

ah, prima di gridare urrah ...
se il vostro era solo un problema di cancellazione errata sul registro, passi, la prossima volta farete piu attenzione, ma se invece era un virus/worm, abbiate la saggezza di andare subito in modalità provvisoria e fare pulizia con i soliti tool (antivirus/antimalware), senno il problema lo avete risolto per il breve tempo che il virus ci impiega a rifarvi lo scherzetto!!!
Ma per quel che riguarda i mille modi per riconoscere/scovare un malware/trojan/virus....
beh, non posso sviscerare in poche righe quello che mi porto dentro dopo anni di esperienza di manutenzioni.
Aiutatevi con internet e con quello che trovate anche in questo forum.
Ce ne sono di informazioni e dritte utili.