[?Virus?] Win XP si avvia e subito esce

[ToO_SeXy]

ciao a tutti

oggi a mezzogiorno il mio PC si é inspiegabilmente bloccato. Quando lo ho riavviato mi sono visto windows partire, accedere all'utente e subito uscire.
Ciò mi capita anche in modalità provvisoria

secondo me é finito un virus nel PC che esegue il comando di logoff all'avvio di win... come posso fare a disabilitare l'esecuzione automatica?

HELP!!!

[monkey island]

Scusa ma non hai un AV aggiornato?

Per vedere i programmi in esecuzione automatica senza programmi esterni apri Start - Esegui - msconfig e vai nella scheda Avvio.

[ToO_SeXy]

ehm... nn riesco ad entrare i windows...

l'AV lo avevo... NIS 2004 con autoupdate ma a quanto pare ha toppato

[Maxcorrads]

Win è "regolare"?

[Halloween72]

Hai settato la memoria virtuale su un altro hard disk o partizione?

[GiacoXp]

dalla modalità provvisoria tutti i programmi di avvio automatico vengono esclusi quindi ritengo un po improbabile la cosa ... a mio avviso si è rovinato l'account

[Halloween72]

Quote:

Originariamente inviato da GiacoXp

dalla modalità provvisoria tutti i programmi di avvio automatico vengono esclusi quindi ritengo un po improbabile la cosa ... a mio avviso si è rovinato l'account

Ma se ha detto ke non riesce ad entrare in windows neanke in provvisoria!?!?!?!?!

[Halloween72]

Quote:

Originariamente inviato da Halloween72

Ma se ha detto ke non riesce ad entrare in windows neanke in provvisoria!?!?!?!?!

si è sputtanata la partizione dove sta la memoria virtuale..dammi retta

[ToO_SeXy]

Nn fatemi pensare male...

dite che si é sputtanato davvero l'HD?

a me in provvisoria entra... solo che quando accedo a win automaticamente si chiude e torna alla schermata di login, sia che io tenti di entrare come Administrator sia con il mio solito acc...

In modalità provvisoria con stringa di comando reisco ad entrare tranquillamente nell'HD e girarlo... ma nn nella cartella "Documents and Settings" che, seppure sia loggato come administrator, mi nega l'accesso.

che posso fare? é recuperabile? un virus no eh?

Proverò ad attaccare l'HD in slave su 1 altro PC...

PS: si, win é regolare, é una vecchia copia che era assieme al mio vecchio PC precedente a questo

PPS: l'HD nn é partizionato

[UPDATE]
Ho fatto 1 pò di prove per verificare se il guasto nn fosse di natura HW... ho staccato e riattaccato 3/4 del PC senza nessun miglioramento

HELP!!!

[Halloween72]

Quote:

Originariamente inviato da ToO_SeXy

Nn fatemi pensare male...

dite che si é sputtanato davvero l'HD?

a me in provvisoria entra... solo che quando accedo a win automaticamente si chiude e torna alla schermata di login, sia che io tenti di entrare come Administrator sia con il mio solito acc...

In modalità provvisoria con stringa di comando reisco ad entrare tranquillamente nell'HD e girarlo... ma nn nella cartella "Documents and Settings" che, seppure sia loggato come administrator, mi nega l'accesso.

che posso fare? é recuperabile? un virus no eh?

Proverò ad attaccare l'HD in slave su 1 altro PC...

PS: si, win é regolare, é una vecchia copia che era assieme al mio vecchio PC precedente a questo

PPS: l'HD nn é partizionato

[UPDATE]
Ho fatto 1 pò di prove per verificare se il guasto nn fosse di natura HW... ho staccato e riattaccato 3/4 del PC senza nessun miglioramento

HELP!!!

Fatti un backup e reinstalla il s.o.

[ToO_SeXy]

il backup nn é un problema dal momento che lo faccio tutte le sere... (uso il pc per lavoro). Perderei però giorni a reinstallare tutto... senza contare le tonnellate di Collegamenti/Files...

Prima di passare al Backup/Format vorrei tentare altre vie

Proverò a vedere cosa mi racconta l'utility della Maxtor...

ecco forse ho trovato la soluzione

[ToO_SeXy]

Tutto a posto!!!

Come pensavo era proprio un virus

Vi posto come ho fatto a Liberarmene dal momento che in rete ho trovato gente con problemi simili, che hanno utilizzato altre soluzioni, che nel mio caso non hanno funzionato.

Sto simpaticone mi aveva modificato il valore della chiave

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Currentversion\Winlogon\Userinit"

che originariamente era

"C:\Windows\System32\Userinit.exe,"

al valore

"C:\WINNT\System32\Userinit.exe, C:\WINNT\System32\iProtect.exe"

in pratica ha aggiunto un collegamento ad "iProtect.exe" che altro non é che uno spyware/troyan.
Purtroppo il programmatore di quel virus ha commesso un errore, facendo modificare la cartella di sistema da "C:\Windows\System32" (Usata da XP) a "C:\WINNT\System32" (usata da Win2000 ). In pratica il mio povero Win nn trovava il file Userinit e, non riuscendo ad inizializzare l'utente usciva.
Il problema l'ho risolto con un editor di registro basato su Linux (che se ne frega pure delle pass di windows... viva la sicurezza...) messo su un boot floppy.
Sono entrato nel reg di Windows, ho sistemato il valore e tutto é tornato "normale"
Ora mi do allo sterminio di file/chiavi/valori infetti :P

Grazie a tutti quelli che mi han risposto e che han gentilmente provato a darmi una mano. Spero di essere stato utile a qualcuno

[junkies]

Ciao a tutti,

io ho un problema praticamente identico .. ho due domande:

quote ToO_SEXY
Il problema l'ho risolto con un editor di registro basato su Linux (che se ne frega pure delle pass di windows... viva la sicurezza...) messo su un boot floppy.

prima domanda: che significa?
seconda domanda: come posso usarlo anche io?

potete aiutarmi? grazie.

[starsat]

A occhio e croce è un programma che si avvia da floppy con so linux e che riesce a lavorare sul registro di windows ignorando le protezioni legate a utenti/password.
Su internet si trovano anche rilasci linux che permettono di togliere le pass a winxp......
Ti conviene contattare to0_sexy e farti passare propio quello che ha lui in modo di ripetere per filo e per segno la sua esperienza.

Tieni comunque presente che un difetto simile potrebbe essere dovuto a cluster incrociati e simili dovuti a spegnimenti improvvisi o bloccaggi, in questo caso potrebbe bastare partire con un cd originale di windows (xp o 2000 non fa differenza), entrare in console di ripristino e lanciare il comando chkdsk /p/r

Ciao e buone feste

[junkies]

grazie starsat.
stasera provero' ad entrare nei file di registro, (credo di non avere password amministratore su windows), se non dovessi riuscirci provero' a contattare ToO_SEXY.

Grazie comunque per la risposta.

[ToO_SeXy]

Eccomi

se hai bisogno dimmi pure

[junkies]

ciao,
credo di aver sul mio pc lo stesso problema che hai avuto tu.
Non riesco ad entrare nei file per modificare lo userinit danneggiato.

Tu facevi riferimento a:
Il problema l'ho risolto con un editor di registro basato su Linux (che se ne frega pure delle pass di windows... viva la sicurezza...) messo su un boot floppy.

la mie domande sono: cos'e'? (sai sono semignorante) e come posso averlo anch'io?.

Puoi aiutarmi?
Ti ringrazio sin da adesso.

[junkies]

Ciao di nuovo,
nessuno puo aiutarmi per questo programmino che bypassa la pwd di administrator di xp. Ho ancora il pc "morto" e al momento non posso usare il mio HD come slave perche' non ho un altro pc!

Qualcuno puo' aiutarmi, grazie.

[ToO_SeXy]

sinceramente nn mi ricordo dove trovai il programmino...
prova a scrivere su google

"Win XP Starts and then immediately exit"

o robe del genere, io trovai la sol cosi...

in ogni caso tento di rintracciare la pagina dove scaricare l'editor di reg su Linux

[junkies]

grazie.
provo subito la ricerca.
Se trovassi qualcosa fammi subito sapere. Grazie ancora