Via Gromozon, passata d RSeekr e..nn ho + barra start/icone, NIENTE!

[buttasang]

Ciao a tutti, sono costretto a questo mio primo post su HU da un caso che per le mie inesistenti competenze è puro horrore e che mi vede costretto a chiedere disperatamente aiuto:

WinXp si avvia senza barra Start, senza icone, senza alcuna traccia di processi utente, solo il desktop e niente più! Con Task Manager l'unico processo Utente risulta essere proprio Task Manger. Stessa identica cosa in mod provv e con ultima configurazione sicuraemnte funzionante, loggandomi come Utente o come Admin. Insomma, non riesco a fare NIENTE DI NIENTE.

Il problema parte dalla rimozione di Gromozon ma ha a che fare con la cancellazione di chiavi di registro.

I fatti:

Riesco ad eliminare Gromozon da un pc con WinXp (profilo e servizio random, 2 .exe in WindowsNT, un Lexmark-Tool.exe in task manager collegato, invece del più comune www . google . com).
Tutto ok, i problemi sono spariti, navigazione internet perfetta, i prog che prima non si aprivano vanno: HiJackThis, Gmer, Avenger, ecc.

Ecco il Log di HJT alla fine della pulizia:

Logfile of HijackThis v1.99.1
Scan saved at 14.31.13, on 28/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\WinPortrait\wpctrl.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\WinPortrait\floater.exe
C:\Programmi\StopDialers\StopDialer.exe
C:\PROGRA~1\Nokia\NOKIAP~1\VFSWRA~1.EXE
C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\#g\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unina.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programmi\WinPortrait\wpctrl.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [BHR4.1] C:\Programmi\Zamaan's Software\Browser Hijack Retaliator 4.1\BHR4.1.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialer.exe
O4 - Global Startup: HELPExpress.lnk = C:\Programmi\HELPExpress\bin\matcli.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Download All by Gigaget - C:\Programmi\Giganology\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - C:\Programmi\Giganology\Gigaget\geturl.htm
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Scaricare usando &BitSpirit
- C:\Programmi\BitSpirit\bsurl.htm
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JA...loadManager.ocx
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: CPPI - Unknown owner - C:\DOCUME~1\utente\IMPOST~1\Temp\CPPI.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: SFPWQ - Unknown owner - C:\DOCUME~1\utente\IMPOST~1\Temp\SFPWQ.exe (file missing)

Dopo aver fixato con HJT le due voci
O23 - Service: SFPWQ
O23 - Service: CPPI

lascio il pc nelle mani del proprietario, dicendogli di fare un'ultima passata con RegSeeker.
Lui con RegSeeker ha la bella idea di fare una ricerca per voci inutili impostando come chiave di ricerca i nomi dei due file eliminati con HJT, SFPWQ e CPPI, e cancella tutto.
Poi fa una pulizia del registro: ha detto che gli sono uscite più di 1000 voci, che lui ha cancellato in due battute, prima circa 900 poi circa 100. E qui cominciano i casini.
MI ha chiamato dicendo di avere problemi, con icone del menù start sparite e impossibilità di riavviare/chiudere sessione.
Gli ho detto di provare a ripristinare i backup. E' riuscito a ripristinare solo il backup delle 100 voci, ma non gli altri.
Spaventato ha spento il pc dal tasto d'accensione ... e boom!

Gli è comparso solo il desktop, senza alcuna icona, senza processi Utente avviati, senza niente di niente.
Stessa cosa in Mod Provv, stessa cosa facendo riprostino dell'ultima configurazione sicuramente funzionante.
Le mie competenze si fermano qua.
Sono in alto mare, il pc è un computer di lavoro.



Qualche anima caritatevole mi dica la sua.
Qualcuno ha idea di cosa è successo???
Si potrà almeno recuperare il contenuto dell'HD?

Grazie fin da ora.

[II ARROWS]

Aia, bel macello... credo che non ti resta che formattarlo.

Per tenere i dati, installi il SO su un altro disco, e quello lo colleghi come secondario in modo che all'avvio del SO possa accederci per recuperare i dati.

Male che vada ha un HDD in più...

[Cionno]

ripristino configurazione di sistema ?

... regseeker è un programma ottimo ma bisogna avere esperienza e un po di senso pratico.... per esempio creando un punto di ripristino prima di fare inguacchi con le chiavi cancellate manualmente

[buttasang]

Wow ragazzi, che velocità! Grazie mille davvero.

RegSeeker: verissimo, bisogna sapere cosa si fa. infatti, che non lo so, lo uso sempre con una paura dannata e chiedendo conferma a chi ne sa, ma finora non mi era mai capitato di vedere niente di simile.
Insomma, stando a come mi ha detto il tipo, lui ha solo cancellato le chiavi inutili associate ai nomi dei due file e fatto una pulizia del registro generale. Però 1000 voci da pulire!!! Io ci avrei pensato un mese, prima!

Avevo pensato a fare ripristino configurazione di sistema da prompt.
Perdonate l'ingenuità delle domande (mi ci vorrebbe una guida illustrata idiot proof, con qualcuno che mi fa i gesti tipo il tg per non udenti per capire qualcosa...) ma data la situazione, ci sono probabilità che il ripristino non riesca e/o che i dati vadano persi?
La stessa domanda vare per la soluzione con un secondo HD: possibile che non riesca? Il pc era in perfetta salute prima del "blackout", l'unico intervento nefasto è stata la cancellazione con regseeker.

E ancora, il ripristino quale configurazione...ripristina?

Il problema sono i dati: è un pc di lavoro, di uno dei miei capi, con diversi GB di documenti il cui recupero è la priorità, anche a costo di buttare l'HD e metterne uno nuovo.

[II ARROWS]

Ma il ripristino non avevi detto che non funzionava?


Bhe, la mia proposta funziona nel 99,999999999999% dei casi... Se non ci riesci è perchè sei sfigato in una maniera assurda e ti si è rotto l'HDD mentre monti l'HDD nuovo su cui installare il SO... Del tipo brucia l'ufficio, vi cade un meteorite sul computer, cose del genere insomma.

Vi cade un meteorite sul computer mentre brucia l'ufficio... ma sono cose che se avvenissero sarebbe un problema ben più grande.

[buttasang]

II ARROWS: Hai ragione, l'ho detto. Ho provato il "ripristino dell'ultima configurazione sicuramente funzionante" (e non va) ma non il ripristino da prompt perchè nella mia testa niubba è un'operazione da premio nobel, quel "prompt" mi incute terrore :-)
Ma se non funziona l'"ultima funzionante", nel menù della modalità provvisoria, vuol dire non funzionerà nemmeno quella da prompt???

Mi rincuori davvero con quel 99,99999999999% - ho stappato una bottiglia alla tua salute :-)
Anche se, vista la mala sorte delle ultime operazioni, darò un'occhiatina alle previsioni del tempo e agli estintori dell'ufficio prima di fare qualsiasi cosa...

[Cionno]

Quote:

Originariamente inviato da buttasang

Wow ragazzi, che velocità! Grazie mille davvero.

RegSeeker: verissimo, bisogna sapere cosa si fa. infatti, che non lo so, lo uso sempre con una paura dannata e chiedendo conferma a chi ne sa, ma finora non mi era mai capitato di vedere niente di simile.
Insomma, stando a come mi ha detto il tipo, lui ha solo cancellato le chiavi inutili associate ai nomi dei due file e fatto una pulizia del registro generale. Però 1000 voci da pulire!!! Io ci avrei pensato un mese, prima!

Avevo pensato a fare ripristino configurazione di sistema da prompt.
Perdonate l'ingenuità delle domande (mi ci vorrebbe una guida illustrata idiot proof, con qualcuno che mi fa i gesti tipo il tg per non udenti per capire qualcosa...) ma data la situazione, ci sono probabilità che il ripristino non riesca e/o che i dati vadano persi?
La stessa domanda vare per la soluzione con un secondo HD: possibile che non riesca? Il pc era in perfetta salute prima del "blackout", l'unico intervento nefasto è stata la cancellazione con regseeker.

E ancora, il ripristino quale configurazione...ripristina?

Il problema sono i dati: è un pc di lavoro, di uno dei miei capi, con diversi GB di documenti il cui recupero è la priorità, anche a costo di buttare l'HD e metterne uno nuovo.

regseeker è abbastanza tranquillo se si usa il pulitore automatico (green items)
x i red items 99% va tutto bene
ma quando si tratta della cancellazione manuale delle chiavi... azz... basta poco per cancellare un servizio con un nome simile che contiene la chiave di ricerca....

cmq il ripristino funziona bene sopratutto sul registro al limite ti trovi qualche programma disinstallato ma i file utente restano li (esiste sempre il modo per annullare il ripsistino)

l'ultima configurazione nn sempre va bene qualche volta bisogna andare un po indietro nel tempo...

diversa la situazione se sono stati cancellati/danneggiati file di sistema

[buttasang]

Quote:

Originariamente inviato da Cionno

regseeker è abbastanza tranquillo se si usa il pulitore automatico (green items)
x i red items 99% va tutto bene
ma quando si tratta della cancellazione manuale delle chiavi... azz... basta poco per cancellare un servizio con un nome simile o che contiene la chiave di ricerca....

cmq il ripristino funziona bene sopratutto sul registro al limite ti trovi qualche programma disinstallato ma i file utente restano li (esiste sempre il modo per annullare il ripsistino)

l'ultima configurazione nn sempre va bene qualche volta bisogna andare un po indietro nel tempo...

diversa la situazione se sono stati cancellati/danneggiati file di sistema

Quante cose si imparano impallando un pc!!! Grazie.
Per quanto possa contare, le schermate di avvio di Windows sono "regolari", con la barra di avanzamento ecc e i processi System nel Task Manager c'erano, così come quelli Servizio. Erano quelli Utente a mancare del tutto...


PS
Io continuo a scrivere perchè non mi sembra vero di aver trovato delle persone così disponibili. E poi prima di martedì non posso tentare nulla e oggi al lavoro (il mio secondo ) è una giornata tranquilla...

[Cionno]

è un piacere figurati quante volte questo forum mi ha levato dai casini


un consiglio rapido?
una distro live di linux (partono da cd) che supporta l'ntfs può aiutarti x fare il backup dei dati su cd/dvd e/o unità esterne
oppure stacchi l'hd e monti nel pc di un'amico per fare il backup dei dati
o ancora (provi) a reinstallare windows come aggiornamanto (non perdi i programmi) o in una directory diversa da quella originale (installazione pulita, e poi cancelli la vecchia cartella di win...)

hai molte opzioni da cui scegliere ovviamente inclusa quella di II ARROWS