Il pc non mi si avvia più...

[Allanon The Druid]

Ciao a tutti, chiedo scusa se sono ot ma ho urgente bisogno di un aiuto e non saprei a chi chiedere!
Da ieri il pc dell'ufficio non mi si avvia più sicuramente a causa di qualche virus/trojan o affini.
Il s.o. è win2000 e dopo la schermata iniziale in cui inserisco nome utente e password pare procedere regolarmente caricando le impostazioni, alla fine anzichè comparire il classico desktop appare una schermata con una specie di filastrocca in inglese (giusto per qualche secondo) poi esce la dicitura "salvataggio impostazioni in corso" come se avessi scelto di arrestare il sistema e torna alla schermata di inserimento nome utente e password di avvio senza che io possa fare assolutamente niente. Ho provato a staccare l'hd e collegarlo a questo pc come secondary per fare una scansione e ha trovato una cinquantina di files infetti da "dollar revenue" "look2me" "WebHancer" "Stub_113_4_0_4_0.exe" che apparentemente sono stati rimossi. Però rimettendo l'hd al suo posto per farlo partire con il suo sistema operativo il problema si ripresenta. Ho provato ad entrare in mod provvisoria ma niente da fare. Anche il ripristino di windows non ha sortito effetti.
Avete qualche suggerimento da darmi per evitare la formattazione? Ci sono files e programmi di lavoro e vorrei assolutamente evitare di perdere tutto!
Grazie a tutti e scusate ancora se ot

[matteo1]

se le moetti come secondario e risce ad accederci,ci puoi anche recuperare i file.
Ad ogni modo prova questo:
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

[Allanon The Druid]

Quote:

se le moetti come secondario e risce ad accederci,ci puoi anche recuperare i file

il problema è che molti di molti programmi installati non ho i cd e quindi sarebbe anche questo problematico.
Adesso provo con il programma che mi hai consigliato.
Grazie mille e ti farò sapere com'è andata!
Max

[wgator]

Ciao,

hai provato ad avviarlo in modalità provvisoria?

EDIT: ho letto ora che hai provato
Forse con Bart PE si può fare qualcosa...

[Allanon The Druid]

Quote:

Forse con Bart PE si può fare qualcosa...

Al momento sto ancora facendo la scansione con cureit.exe vediamo come va a finire... magari domani ci provo! hai per caso un link per scaricare bart Pe?
Comunque in tanti anni che uso il pc non avevo mai visto niente del genere
Ma se io provassi ad entrare nel regedit e cercare delle voci strane che potrebbero collegare alle voci che ho trovato ieri nelle varie scansioni potrebbe funzionare la cosa?

[manganese]

Visto che hai la possibilità fai tutte le operazioni con l'HD come slave su un altro comp.

Per prima cosa salva tutti i dati, così se è un problema di HD almeno quelli sono salvi.
Per recuperare i programmi, se non hai l'installer su hd o il cd puoi fare poco.

Scansiona con vari antivirus l'HD; se ti segnala sono il virus, ma non lo toglie (cosa strana se l'HD è slave) segnati il percorso e cancella il file "a mano",
...puoi anche provare una scansione on line...

Cè una "extrema ratio"
nella cartella:
root\winnt\system32\config\
ci sono 5 file che fanno caricare il sistema
\winnt\system32\config\system
\winnt\system32\config\software
\winnt\system32\config\Sam
\winnt\system32\config\security
\winnt\system32\config\default
rinominali in .old e spostali in un'altra cartella.

nella cartella
root\winnt\repair\regback\
ci sono gli stessi 5 file "di scorta" con una configurazione funzionante
copiali in
root\winnt\system32\config\
Mi raccomando NON sostituire gli esistenti, ma, come ti ho detto rinomina e sposta quelli in uso e copia quelli "di scorta".
Prova a rimontare l'HD come master sul comp originale e guarda cosa succede.
In teoria è reversibile (tornando a spostare e rinominare quelli in uso), ma lo proverei SOLO se hai già deciso di formattare.

[marika43]

Un'altra cosa che puoi provare e' quella di utilizzare un cd di boot in ambiente Bartpe generato con pebuilder. Devi includere (non incluso di default in pebuilder) i plugin hijackthis e runscanner per "caricare" il profilo utente appartenente al sistema "defunto". A questo punto con hijackthis puoi fare un'analisi precisa e fixare tutto quello necessario.
Ti serve un pc con XP sp2 installato + cd originale di xp sp2, da cui generare il .iso da masterizzare su un cd. A questo punto inserisci il cd cosi' creato nel pc "defunto" e riavvia per utilizzare hijackthis in bartpe.

Puoi includere anche vari antispyware e antivirus (es antivir pe, stinger, fprot, clamWin, Ad-Aware, ...)

http://www.nu2.nu/pebuilder/
per scaricare pe builder (ti consiglio la versione uninstall , cioe' il file .zip)

[Allanon The Druid]

Ringrazio tutti per i preziosi suggerimenti, al momento sto ancora lavorando a preparare le copie su un dvd quantomeno dei documenti. La scansione con cureit.exe ha scovato ed eliminato altre porcherie... mi sa che per quanto riguarda il consiglio di marika non credo di essere all'altezza di seguire le istruzioni , penso che al massimo proverò la tecnica suggerita da manganese che è più alla mia portata
Incrociamo le dita e speriamo!

p.s. proprio ora ho notato che in c:\ è comparsa una dir windows che a mio avviso nei pc con win2000 non dovrebbe esserci... (winnt) o forse sto dicendo una caxxata??? Cmq dentro c'è una dir che si chiama cm al cui interno ci sono soli 2 files yazzlebundle-1125.exe e run.bat

[manganese]

Le operazioni descritte da mariKa le puoi anche fare con l'hd "defunto ma speriamo non del tutto " settato come slave sull'altro computer.
Lo scopo di bart-pe è quello di permettere l'avviamento da cd quindi di avere la situazione dell'hd "passivo"...non tutti hanno la possibilità di estrarlo e metterlo come slave.
Non spevo ci fosse la possibilità di esaminare con hijackthis un hd "passivo" se magari mariKa (o chi lo sà) fà il favore di spiegare la metodica interesserebbe pure a mè.
P.S.
Cmq per prima cosa, ripeto, salva i dati, poi comincia a tentare il ripristino.

[Allanon The Druid]

Niente da fare ancora non ne vuole sapere di avviarsi ma esiste un modo per fare la scansione del "suo" regedit con programmi tipo spybot search&destroy o affini? Visto che come slave riesco ad accederci se riuscissi a fare una scansione del regedit potrei risolvere (forse) ma non ho proprio idea di come fare!

[manganese]

[quote=marika43] hijackthis e runscanner per "caricare" il profilo utente appartenente al sistema "defunto". A questo punto con hijackthis puoi fare un'analisi precisa e fixare tutto quello necessario.
[quote]
Marika parlava di runscanner...sono molto curioso anche io...

[marika43]

Infatti non puoi mettere un disco come slave e fare la scansione del "vecchio" registro con antispyware. Puoi solo fare "girare" gli antivirus.

Cosa che invece puoi fare in bartpe con i plugin opportuni.
Per quanto riguarda la metodica da utilizzare e' quella di generare un .iso a partire da pe builder con inclusi almeno 2 plugin (hijachthis e runscanner) che per default non sono inclusi in pe builder 3.101a.
Masterizzi e riavvi.
Quando sei in ambiente BartPe "lanci" hijachthis dal menu dei programmi (GO) e questo viene caricato nel drive b (in ram) con la possibilità di scegliere l'utente del "sistema" di cui eseguire l'analisi ed eventualmente fixzre. Per il backup delle eventuali voci fixate di hijacjthis (poiche' questo e' in ram) e' necessario salvarlo su una chiavetta usb per un loro successivo utilizzo nel caso si voglia rispristinarle.

[manganese]

Quindi NON è possibile utilizzare runscanner facendolo partire da un HD master per selezionare un registro su un hd slave e analizzarlo e fissarlo con hijackthis...peccato sarebbe stata molto interessante come cosa.

Io ho sempre "litigato" con il bart cd e uso spesso la tecnica dell'HD slave.
Però ti posso assicurare che ewido e spysweeper funzionano ottimamente...

[marika43]

xAllanon The Druid
L'unico modo di fare la scansione per analizzare il "suo" registro e' quello che ti ho descritto.


XManganese
Non ho provato l'analisi con hijackthis di un registro relativo ad un sistema residente su HD slave. Ma solo l'analisi di hijackthis in ambiente bartpe.

una curiosità: la scansione fatta con Ewido e Spysweeper con HD slave a quale registro di sistema fa riferimento ? Cioe' eventuali modifiche al registro per la correzione di voci identificate come "malware/spyware" a valle della scansione su quale registro vengono fatte?

[Allanon The Druid]

Caro manganese non so come ringraziarti! Seguendo il tuo consiglio di sostituire quei 4 files sono riuscito a farlo ripartire! Adesso devo solo ripristinare alcuni aggiornamenti di windows e di office, il resto pare funzionare.
Grazie anche a marika per i consigli e alla prox

[manganese]

Quote:

Originariamente inviato da marika43

XManganese
Non ho provato l'analisi con hijackthis di un registro relativo ad un sistema residente su HD slave. Ma solo l'analisi di hijackthis in ambiente bartpe.

una curiosità: la scansione fatta con Ewido e Spysweeper con HD slave a quale registro di sistema fa riferimento ? Cioe' eventuali modifiche al registro per la correzione di voci identificate come "malware/spyware" a valle della scansione su quale registro vengono fatte?

Io la vedo così, ma accetto osservazioni e correzioni.
-Ewido e spysweeper eliminano i file riconosciuti come malware, ma non alterano le chiavi di registro.
+HJT sistema il registro ma non rimuove i file.
Entrambe le tecniche hanno dei limiti:
-La prima: file non riconosciuti o che non è possibile rimuovere perchè in uso (nel caso slave però questo rischio non si corre.)
+La seconda non elimina i "veri responsabili" dell'infezione e le chiavi si rigenerano al successivo riavvio.

Sul disco slave io lancio ewido, spysweeper e antivir (o nod) tolgono i malware riconosciuti, ma il registro non viene modificato...semplicemente le chiavi fanno riferimento a file che non esistono più.
Per esperienza (parere personale) questa tecnica è più efficace e veloce di HJT che con i "nuovi virus" mostra qualche limite (cfr tutti i 3d con "non si toglie" o "si rigenera")
..............................................
Ultimamente stò anche soffrendo di una sindrome nota come "computer con il log di HJT pulito che però fanno cose strane"...spero non sia contagiosa

[manganese]

Quote:

Originariamente inviato da Allanon The Druid

Caro manganese non so come ringraziarti! Seguendo il tuo consiglio di sostituire quei 4 files sono riuscito a farlo ripartire! Adesso devo solo ripristinare alcuni aggiornamenti di windows e di office, il resto pare funzionare.
Grazie anche a marika per i consigli e alla prox

Sono contento e spero che tù abbia sostituito 5 hive di sistema
P.S.
Non fare molto affidamento su un SO recuperato così "brutalmente".

[Stev-O]

ewido scansiona anche il registro
cosi' a-squared e spysweeper

cmq l'osservazione è corretta
la procedura prevederebbe PRIMA la scansione con almeno un prodotto antimailwarespyware e volendo anche antivirus
l'accoppiata tipica che suggerisco (perchè free) è ewido + bitdefenderfree (se poi uno ha di meglio come av tanto meglio)
poi post del log e analisi e rimozione delle voci eliminabili

infine scansione di controllo ulteriore

tutte le operazioni andrebbero fatte con il ripristino di conf disattivato e da modalità provvisoria

nei casi di files non rimovibili si procede o con killbox o con cd bart-pe

[manganese]

Quote:

Originariamente inviato da Stev-O

ewido scansiona anche il registro
cosi' a-squared e spysweeper
cut

Sei sicuro che questo valga anche se il disco scansionato è slave?

[Stev-O]

ergo?
slave nel senso NON sul suo sistema operativo caricato?

beh ovviamente no
scansiona il registro del sistema operativo in uso