Purtroppo il mio vecchio notebook è stato ackerato da un falso Centro di Supporto Microsoft. Avendo aperto un problema ho ricevuto una chiamata da questioo pseudo centro che chiedeva di attivare la consolle remota. Dopo pochi istanti ho capito che non era Microsoft, ma prima che potessi staccare Internet questi strxxxi hanno impostato dal terminale DOS una password.

Così adesso quando cerco di aprire Windows mi chiede la password. Ho provato con Ophcrack e con altri tre programmi appositi a rivelare o a cancellare la password, ma nessuno ha funzionato.

Inoltre avevo un vecchio disco di installazione di Ubuntu 11.10 ma stranamente, dopo aver caricato il programma e prima di apparire il desktop, anche qui mi chiede la password, cosa che non ricordo che accadesse quando a suo tempo installai Ubuntu su altro PC. Sembra trattarsi di una password di accesso al SO qualunque esso sia, e non di una password solo di Windows. E' possibile?

Chiedo cortesemente il vostro aiuto per uscire da questa situazione, perchè vorrei salvare dei dati importanti da quel PC. Avrei due possibili soluzioni:
1. crackare o cancellare la password, oppure
2. siccome Ophcrack riesce a mostrarmi i files del mio disco, che in genere riesco ad aprire e a portare sul desktop, esiste un modo per far conoscere a Ophcrack una chiavetta USB o un CD su cui trasferire i files?

Spero di aver scelto il forum adatto per questa strana richiesta, ed attendo fiducioso il vostro intervento che altre volte mi ha salvato "la vita". Anticipatamente ringrazio.

i dati sono accessibili da qualsiasi live Linux. quindi puoi sempre salvarli.

Puoi fare una foto alla richiesta della password?

Quoto Tecnomiky.. qualche screenshot può fare capire un po' di cose ;)

i dati sono accessibili da qualsiasi live Linux. quindi puoi sempre salvarli.

Tentando di installare live Linux mi chiede, preventivamente, la password. E non riesco ad andare avanti.

P.S.: come posso fare uno screenshot se non riesco ad aprire Windows nè Linus? Allegherò una foto. Mi scuso per il ritardo, ma non ho ricevuto la mail che mi avvertiva delle risposte, evidentemente ho il profilo sbagliato. Sorry

Tentando di installare live Linux mi chiede, preventivamente, la password. E non riesco ad andare avanti.

P.S.: come posso fare uno screenshot se non riesco ad aprire Windows nè Linus? Allegherò una foto. Mi scuso per il ritardo, ma non ho ricevuto la mail che mi avvertiva delle risposte, evidentemente ho il profilo sbagliato. Sorry

Nessun problema.. posta una foto così abbiamo un punto di partenza..

Nessun problema.. posta una foto così abbiamo un punto di partenza..

Ci provo, quella di Linus è incasinata per via dello schermo colorato.

http://imagizer.imageshack.us/v2/150x100q90/537/t1IAgZ.jpg

http://imagizer.imageshack.us/v2/150x100q90/539/EYeFPB.jpg

Forse un pò più chiare?

http://imagizer.imageshack.us/v2/280x200q90/537/t1IAgZ.jpg


http://imagizer.imageshack.us/v2/280x200q90/539/EYeFPB.jpg

Toglimi un dubbio ma perché avrebbero dovuto hackerarti il pc e sopratutto cambiarti password?

Toglimi un dubbio ma perché avrebbero dovuto hackerarti il pc e sopratutto cambiarti password?Ti riporto il primo paragrafo del post, credo che spieghi la fesseria che ho fatto. Inoltre io non avevo password prima.

Purtroppo il mio vecchio notebook è stato ackerato da un falso Centro di Supporto Microsoft. Avendo aperto un problema ho ricevuto una chiamata da questi pseudo centro che chiedeva di attivare la consolle remota. Dopo pochi istanti ho capito che non era Microsoft, ma prima che potessi staccare Internet questi strxxxi hanno impostato dal terminale DOS una password.

Così adesso quando cerco di aprire Windows mi chiede la password. Ho provato con Ophcrack e con altri tre programmi appositi a rivelare o a cancellare la password, ma nessuno ha funzionato

Si ma riflettevo sulla necessità che aveva chiunque volesse hackerare un portatile di mettere una password.. Così da non permettere l'accesso a te di conseguenza all'hacker stesso.
Credo che chiunque riesca ad hackerare un PC cerchi di passare in osservato per non essere scoperto..

...secondo me è una maniera come un'altra per "fare soldi"...nel mucchio dei pc bloccati, ci sarà qualcuno che è disposto a pagare (somma irrisoria, che so 50E) per farselo sbloccare e recuperare i dati.
Se Ti hanno lasciato un "recapito", avverti la Polizia Postale...

Forse un pò più chiare?

http://imagizer.imageshack.us/v2/280x200q90/537/t1IAgZ.jpg


http://imagizer.imageshack.us/v2/280x200q90/539/EYeFPB.jpg

non mi sembrano finestre standard di windows
hai provato ad avviare in modalità provvisoria?

sarà.. ho una mia idea.. ma ad ogni modo prova così..

http://home.eunet.no/~pnordahl/ntpasswd/

Ma hai Windows 2000? O.o
Probabilmente è una password-fake. Cioè non è impostata nessuna password ma il virus ha installato un layer che ti fa comparire quella finestra all'avvio.

Prova ad accedere alla modalità provvisoria.

La cosa strana è che gli esce anche al boot di Linux, come si vede dalle foto.

.

Ma hai Windows 2000? O.o
Probabilmente è una password-fake. Cioè non è impostata nessuna password ma il virus ha installato un layer che ti fa comparire quella finestra all'avvio.

Prova ad accedere alla modalità provvisoria.

si appunto, è la stessa cosa che ho pensato io, almeno per windows. x una linux live francamente la trovo una faccenda molto strana...

...secondo me è una maniera come un'altra per "fare soldi"...nel mucchio dei pc bloccati, ci sarà qualcuno che è disposto a pagare (somma irrisoria, che so 50E) per farselo sbloccare e recuperare i dati.
Se Ti hanno lasciato un "recapito", avverti la Polizia Postale...

Esattamente, questi mascalzoni ti dicono che hai il PC pieno di virus, e si offrono di aiutarti dandogli un obolo, magari 10-20 euro, ma per fare ciò ti chiedono i dati della carta di credito. Quando li sgami e stacchi internet e telefono ti trovi che non riesci più ad aprire. Dopo poco ti richiamano e ti dicono che per cancellare la password vogliono 100-200 euro e i soliti dati della carta di credito. Altro fancool ma hai il PC bloccato. Ho ovviamente avvertito la polizia postale, questi chiamano con un numero di telefono che è 5648949265, probabilmente indiano. Se chiami ovviamente non squilla. Se fai una ricerca Google con questo numero ti spiegano come operano questi furfanti.

Adesso provo i vostri suggerimenti, quello che mi preoccupa è che mentre avevano loro la consolle, e io vedevo quello che facevano, ho visto che dal terminale DOS mettevano effettivamente una password, vera o falsa non so.

sarà.. ho una mia idea.. ma ad ogni modo prova così..

http://home.eunet.no/~pnordahl/ntpasswd/

Già provato, non ha funzionato.

P.S.: su quel vecchio notebook ho Windows XP Home SP3

Ma hai Windows 2000? O.o
Probabilmente è una password-fake. Cioè non è impostata nessuna password ma il virus ha installato un layer che ti fa comparire quella finestra all'avvio.

Prova ad accedere alla modalità provvisoria.

Anche in modalità provvisoria chiede la psw. L'unica cosa che riesco ad aprire è la consolle di emergenza, quella che mi dà il terminale DOS. Però purtroppo molte directory non sono accessibili, nè è possibile cambiare l'attributo.

Stavo cercando la directory winnt che, vecchi ricordi, dovrebbe contenere i file .SAM con le psw, ma niente da fare.

Qualcuno ha idea su che cosa altro potrei fare con il terminale DOS?

Se faccio IPL con il disco di Windows XP c'è la possibilità di cancellare la Psw senza perdere i dati?

Con Linus cambia qualcosa se anzichè provate la versione light da CD provo ad installarlo? Mi rendo conto che sono domande da un milione, che io purtroppo non ho. :D

Se usi la stessa live linux in un altro PC ti chiede la password?

Ricordi qualcosa di quello che è stato fatto da terminale?

Se usi la stessa live linux in un altro PC ti chiede la password?

Ricordi qualcosa di quello che è stato fatto da terminale?

Devo provare se il live linux su un altro PC chiede la psw, ma quando l'ho usato un paio di anni fa mi sembra che non la chiedesse. Adesso sono su un Mac, in serata provo su un desktop windows.

Da terminale hanno installato un piccolo file, poi hanno girato un test su tutti i file del PC (che non conoscevo) e molti applicativi, tipo Bonjour, scorrevano flaggati in errore. Non hanno aperto browser, nè hanno aperto altri file personali, per quello che sono riuscito a vedere, perchè come puoi ben immaginare erano velocissimi. Ma il tutto è durato 10-15 secondi poi hanno chiesto l'obolo e lì ho staccato internet e l'ho mandati a quel paese.

Hanno sostituito i files di sistema con versioni infette modificate. Quindi il sistema è irrecuperabile.
Suggerisco di salvare i dati con una live Linux e formattare.
Fai la prova su un altro PC per la password e fai sapere.

Hanno sostituito i files di sistema con versioni infette modificate. Quindi il sistema è irrecuperabile.
Suggerisco di salvare i dati con una live Linux e formattare.
Fai la prova su un altro PC per la password e fai sapere.

Su un altro PC live Linux si carica completamente fino al desktop senza richiedere psw.

Ergo non posso usare live Linux sul PC infetto.

però c'è qualcosa che torna...com'è possibile che ti trovi l'infezione anche su Linux.
Nel BIOS è tutto ok? o noti anomalie?

Scollega l'hard disk e vedi se Linux chiede ancora la password.

però c'è qualcosa che torna...com'è possibile che ti trovi l'infezione anche su Linux.
Nel BIOS è tutto ok? o noti anomalie?

Scollega l'hard disk e vedi se Linux chiede ancora la password.Secondo me l'infezione è PRECEDENTE all'ambiente windows e linux. Anch'io ho pensato subito al BIOS, ma non ho notato nulla di strano. Ho anche messo in disable tutto il possibile. A parte che non potevano modificare il BIOS senza fare un restart del sistema, credo.

E' un notebook, come posso scollegare l'hard disk?

Comunque, incrociando le dita, potrei aver risolto il problema. Ho trovato in internet un programmino di 170M che si chiama Puppy Linus che si carica in RAM e che ti mette a disposizione un desktop praticamente completo. Ho provato a trascinare un mio file in una chiavetta USB e ha funzionato. Si carica senza usare l'hard disk e se ne fotte delle psw.

Mi ha incuriosito il tuo problema e con il test che hai fatto con puppy ho intuito che la psw che si carica dev'essere una qualche distro preparata ad hoc, ecco perché facendo partire le normali distribuzioni live non si avviano correttamente.
cmq con puppy hai fatto bingo, recupera quello che ti serve e formatta il disco.

Oggi mi frullava in testa un'altra idea: Windows 7 se viene installato sopra Windows Xp o come aggiornamento di Vista, credo che non cancelli i documenti, ma dovrebbe essere possibile cancellare le psw. L'unico dubbio è se il virus interviene PRIMA che Windows 7 cominci a caricarsi.

Ne avete idea?

Mi ha incuriosito il tuo problema e con il test che hai fatto con puppy ho intuito che la psw che si carica dev'essere una qualche distro preparata ad hoc, ecco perché facendo partire le normali distribuzioni live non si avviano correttamente.
cmq con puppy hai fatto bingo, recupera quello che ti serve e formatta il disco.

Credo (anzi spero) che tu abbia ragione. Adesso comunque vorrei cercare di scoprire la distro usata, potrebbe essere un grande aiuto per quegli ingenui come me che cascano in questi trucchetti.

Oggi mi frullava in testa un'altra idea: Windows 7 se viene installato sopra Windows Xp o come aggiornamento di Vista, credo che non cancelli i documenti, ma dovrebbe essere possibile cancellare le psw. L'unico dubbio è se il virus interviene PRIMA che Windows 7 cominci a caricarsi.

Ne avete idea?

Se non si carica una distro live figurati windows, il problema sta nel mbr, credo che solo così si possa fregare l'avvio della live, anche se non capisco come la priorità del cd venga bypassata.
In ogni caso vista la situazione ti conviene formattare totalmente il disco.

Hai ragione, ovviamente.

Se non si carica una distro live figurati windows, il problema sta nel mbr, credo che solo così si possa fregare l'avvio della live, anche se non capisco come la priorità del cd venga bypassata.
In ogni caso vista la situazione ti conviene formattare totalmente il disco.

Con l'mbr mi hai fatto venire in mente che una volta il comando Fdisk /mbr riscriveva proprio questo record. E' molto probabile che abbiano trovato il sistema per corrompere questo record, altrimenti non si spiega la richiesta di psw con linus. Forse anche da CD viene letto mbr, se non altro per riconoscere le partizioni? La mia esperienza non arriva a questo punto.

avviando una live vengono messi in gioco cd e ram. l'hard disk non c'entra nulla. quindi non è li il problema.

Con l'mbr mi hai fatto venire in mente che una volta il comando Fdisk /mbr riscriveva proprio questo record. E' molto probabile che abbiano trovato il sistema per corrompere questo record, altrimenti non si spiega la richiesta di psw con linus. Forse anche da CD viene letto mbr, se non altro per riconoscere le partizioni? La mia esperienza non arriva a questo punto.

avviando una live vengono messi in gioco cd e ram. l'hard disk non c'entra nulla. quindi non è li il problema.

L'avvio da cd, di qualunque cosa, non coinvolge un eventuale mbr che io sappia, e neanche il disco, di fatto una live parte bellamente anche senza hdd. Non capisco come faccia a interferire con l'avvio di una live. Tra l'altro se cerchi di avviare xp salta fuori una finestra fasulla di win 2000, mentre se provi a far partire la live compare un'altra finestra che mima in qualche modo gli stili personalizzabili di gnome/ubuntu... boh, mi piacerebbe capire come funziona questa cosa.
PS: a questo punto per curiosità staccherei il disco e proverei a far partire la distro live.

Poi potrebbe ritrovarsi con stesso password anche dopo il format...

mmmm... credo che si tratti di un bootkit (http://it.wikipedia.org/wiki/Bootkit), ma non pensavo che potesse avere priorità anche sull'ordine di boot stabilito dal bios (do per scontato che Dariosr abbia dato la priorità all'avvio da cd considerata la circostanza).

all'avvio viene fatto il boot da cd, si carica Linux in ram. l'hard disk non viene toccato. il mbr dell'hard disk non viene toccato.
avevo suggerito di staccare l hard disk e provare Linux.. proprio per toglierci questa curiosità.

avviando una live vengono messi in gioco cd e ram. l'hard disk non c'entra nulla. quindi non è li il problema.
beh, anche una live se trova una partizione di swap la usa, che io sappia...

cmq condivido che il tutto è molto strano. imho trattasi di rootkit. certo che dovrebbe risiedere nell'hd perchè a parte la flash della MB dovrebbe essere l'unica memoria non volatile su cui possano aver scritto... e che abbiano sostituito il bios in 15 secondi mi sembra una roba da spionaggio e da soggetto attenzionato per qualche motivo (quindi firmware del bios preparato ad hoc per la macchina bersaglio)... insomma sarebbe stranissimo.

all'avvio viene fatto il boot da cd, si carica Linux in ram. l'hard disk non viene toccato. il mbr dell'hard disk non viene toccato.
avevo suggerito di staccare l hard disk e provare Linux.. proprio per toglierci questa curiosità.
condivido che l'avvio senza hd sia assolutamente da provare. Sviti due viti e stacchi il cavetto, poi puoi anche lasciarlo nel suo buco senza tirarlo fuori.

cmq l'hd in questione penso sia da formattare a basso livello con appositi tool, di certo non mi fiderei ad eliminare solo le partizioni.

... il mbr dell'hard disk non viene toccato.


no, l'hd se c'è, viene inizializzato e il mbr letto. per forza.
altrimenti come faresti a vedere le partizioni che ci sono sopra, anche se smontate? e una live le partizioni smontate te le fa vedere, QUINDI, l'mbr viene letto e gestito eccome.

Secondo me l'infezione è PRECEDENTE all'ambiente windows e linux. Anch'io ho pensato subito al BIOS, ma non ho notato nulla di strano. Ho anche messo in disable tutto il possibile. A parte che non potevano modificare il BIOS senza fare un restart del sistema, credo.

ormai sono anni che i bios si aggiornano anche da dentro windows.
comunque non fare confusione: quello che tu chiami "bios" è il "programma di configurazione del bios". Di per sè il bios è il firmware della MB :)

È molto interessante un programma del genere, mi viene da chiederti di fare un backup preferibilmente raw dei primi settori dell'hard disk per analizzarlo :D prova anche l'hiren's boot CD.

no, l'hd se c'è, viene inizializzato e il mbr letto. per forza.
altrimenti come faresti a vedere le partizioni che ci sono sopra, anche se smontate? e una live le partizioni smontate te le fa vedere, QUINDI, l'mbr viene letto e gestito eccome.

Io non ho le vostre conoscenze tecniche, ma suppongo anch'io che anche il live deve andare a vedere come stanno le partizioni.

Inoltre anche puppy mi fa vedere entrambi i dischi C e D, come fa?

condivido che l'avvio senza hd sia assolutamente da provare. Sviti due viti e stacchi il cavetto, poi puoi anche lasciarlo nel suo buco senza tirarlo fuori.

cmq l'hd in questione penso sia da formattare a basso livello con appositi tool, di certo non mi fiderei ad eliminare solo le partizioni.

Parlo di un Thinkpad T42, non mi sembra così semplice staccare il disco. Darò un'occhiata al manuale di manutenzione. Comunque prima datemi il tempo di salvare un pò di dati.

Certo, quando parlo di bios parlo del programma di configurazione, non saprei come fare a leggere il firmware.

Parlo di un Thinkpad T42, non mi sembra così semplice staccare il disco. Darò un'occhiata al manuale di manutenzione. Comunque prima datemi il tempo di salvare un pò di dati.

Certo, quando parlo di bios parlo del programma di configurazione, non saprei come fare a leggere il firmware.

è più che semplice: http://support.lenovo.com/us/en/documents/pd009674

è più che semplice: http://support.lenovo.com/us/en/documents/pd009674

Grazie, lo farò presto. Ma scommetto che rimuovendo il disco non chiederà la psw.

Infatti rimuovendo il disco il live Linux non chiede la psw e completa l'operazione aprendo il desktop.

Inoltre dando il comando FIXMBR dalla console di emergenza, il DOS risponde che il file è invalido o corrotto, chiedendo la riscrittura dice di averlo riscritto, ma in effetti il comando funziona solo su architettura x86, e non credo proprio che sia la mia. Infatti il problema persiste.

Se qualcuno scopre come riscrivere MBR possiamo riprovare.

Combofix e adwcleaner immagino che non rilevino nulla, vero? Hai provato ad utilizzare qualche utility specifica di backup e scrittura MBR? Prova a fare il backup da un altro hard disk ed a "trapiantarlo" nel tuo.

Combofix e adwcleaner immagino che non rilevino nulla, vero? Hai provato ad utilizzare qualche utility specifica di backup e scrittura MBR? Prova a fare il backup da un altro hard disk ed a "trapiantarlo" nel tuo.
Non riesco ad entrare in Windows, e non credo che esista la versione live di combofix e adwcleaner. Non ho ancora cercato utility per riscrivere MBR, probabile causa del problema. Ne hai una? Anche oggi sono al mare, ci lavorerò stasera. Grazie.

Dell'hiren's boot CD non si può parlare? Perché ha su una distro live di XP dalla quale puoi far partire sia l'uno che l'altro

Dell'hiren's boot CD non si può parlare? Perché ha su una distro live di XP dalla quale puoi far partire sia l'uno che l'altro
Proverò ma già mi aspetto il risultato

Io non ho le vostre conoscenze tecniche, ma suppongo anch'io che anche il live deve andare a vedere come stanno le partizioni.
Inoltre anche puppy mi fa vedere entrambi i dischi C e D, come fa?
per carità, nessuna superconoscenza tecnica, ma semplice osservazione logica. Se la live vede le partizioni, per forza deve averle lette dal mbr ;)
quel che è strano è che puppy si comporti diversamente dalle altre live. :confused:

Infatti rimuovendo il disco il live Linux non chiede la psw e completa l'operazione aprendo il desktop.

Inoltre dando il comando FIXMBR dalla console di emergenza, il DOS risponde che il file è invalido o corrotto, chiedendo la riscrittura dice di averlo riscritto, ma in effetti il comando funziona solo su architettura x86, e non credo proprio che sia la mia. Infatti il problema persiste.

Se qualcuno scopre come riscrivere MBR possiamo riprovare.
perchè il tuo non dovrebbe essere un x86? se ci gira winxp l'architettura è x86 ;)
cmq, la console d'emergenza l'hai avviata come?
l'mbr conviene ripristinarlo da linux, vedi http://www.lffl.org/2013/05/ripristinare-il-master-boot-record-di.html
oppure una volta recuperati i dati eliminare tutte le partizioni e reinizializzare il disco, sempre da linux, e poi procedere ad una installazione ex novo.

perchè il tuo non dovrebbe essere un x86? se ci gira winxp l'architettura è x86 ;)
cmq, la console d'emergenza l'hai avviata come?
l'mbr conviene ripristinarlo da linux, vedi http://www.lffl.org/2013/05/ripristinare-il-master-boot-record-di.html
oppure una volta recuperati i dati eliminare tutte le partizioni e reinizializzare il disco, sempre da linux, e poi procedere ad una installazione ex novo.

Scusa, visto l'ora tarda ho confuso x86 con 64 bit. Di fatto però FIXMBR non corregge il record. L'ho girato 3 volte e mi ha sempre risposto che MBR è danneggiato, anche dopo che aveva detto di averlo aggiornato.

La console di emergenza la avvio facendo il boot da disco, mi chiede, mi sembra dopo un aggiornamento, se voglio aprire XP o la console di emergenza, che non è altro che il terminale DOS.

Vorrei anche provare ad aggiungere una partizione nei 15GB liberi, hai visto mai che mi riscrive il master boot?

Vedrò se da Puppy è possibile ripristinare MBR, perchè nessun altro Linus mi si carica.

Ho recuperato i dati, e sto andando avanti per cercare di capire cosa è successo. Recuperare il PC non è urgente. Grazie di tutto.

perchè il tuo non dovrebbe essere un x86? se ci gira winxp l'architettura è x86 ;)
cmq, la console d'emergenza l'hai avviata come?
l'mbr conviene ripristinarlo da linux, vedi http://www.lffl.org/2013/05/ripristinare-il-master-boot-record-di.html
oppure una volta recuperati i dati eliminare tutte le partizioni e reinizializzare il disco, sempre da linux, e poi procedere ad una installazione ex novo.

Ho provato con Puppy a ripristinare MBR con la procedura che suggerisci. Dava il warning che avrebbe potuto anche cancellare le partizioni, e così è stato. Adesso anziché due partizioni ho tutto lo spazio (60GB) non partizionato, per cui xp non parte proprio (ovviamente) ma in compenso parte il live di Linux, anche se poi non mi trova il disco.

Mi metterò un attimo a ristudiare Linus per capire se posso fare il mount del disco, altrimenti formatto il tutto e pace.

Sono indeciso se installare Linus o se vedere se questo Hw supporta Win 7 o 8.

Scusa, visto l'ora tarda ho confuso x86 con 64 bit. Di fatto però FIXMBR non corregge il record. L'ho girato 3 volte e mi ha sempre risposto che MBR è danneggiato, anche dopo che aveva detto di averlo aggiornato.

La console di emergenza la avvio facendo il boot da disco, mi chiede, mi sembra dopo un aggiornamento, se voglio aprire XP o la console di emergenza, che non è altro che il terminale DOS.

Vorrei anche provare ad aggiungere una partizione nei 15GB liberi, hai visto mai che mi riscrive il master boot?

Vedrò se da Puppy è possibile ripristinare MBR, perchè nessun altro Linus mi si carica.

Ho recuperato i dati, e sto andando avanti per cercare di capire cosa è successo. Recuperare il PC non è urgente. Grazie di tutto.
se avvii la console d'emergenza da hd, è infetta anche lei: appena fixmbr riscrive l'mbr giusto, il rootkit lo reinfetta... ;)
aggiungere partizioni non fa differenza, cambia la tavola delle partizioni ma non il programmino che lancia il SO (o meglio indirizza l'avvio alla partizione dove c'è il bootloader, che è infetto)

Ho provato con Puppy a ripristinare MBR con la procedura che suggerisci. Dava il warning che avrebbe potuto anche cancellare le partizioni, e così è stato. Adesso anziché due partizioni ho tutto lo spazio (60GB) non partizionato, per cui xp non parte proprio (ovviamente) ma in compenso parte il live di Linux, anche se poi non mi trova il disco.

Mi metterò un attimo a ristudiare Linus per capire se posso fare il mount del disco, altrimenti formatto il tutto e pace.

Sono indeciso se installare Linus o se vedere se questo Hw supporta Win 7 o 8.
se ha cancellato le partizioni i dati sull'hd sono virtualmente persi (a meno di procedure di recupero) ma visto che hai fatto una copia meglio così, perchè una di quelle partizioni conteneva la porzione infetta di codice di avvio che ti dava problemi (fisicamente il rootkit non sta nell'MBR).
ora devi semplicemente ripartizionare come ti aggrada e installare uno o più SO, window o linuX (non linuS! :-) ).
Se non ti servono programmi che girano solo su windows, imho linux può essere un buon sostituto di xp, a patto di usare una distribuzione non troppo pesante vista l'età del pc.

Grazie Zappy e tutti gli altri, dopo ferragosto ricomincio. Buon weekend.

P.S.: dopo mezzanotte tutti i gatti son bigi e lo sai, e un LinuS o un LinuX per me pari sono. :D