[Vista] Il portatile non parte più....forse un rootkit

[gtv]

Allora accendo il pc, carica tutto regolarmente, arriva alla fase con la barretta-termometro e ci mette una marea di tempo, quindi è qualcosa che carica in quella fase che non va... Cmq si riavvia ed esce in DOS

"Avvia strumento di ripristino all'avvio (scelta consigliata)
Avvia Windows normalmente"

Se si sceglie la seconda rifà il giro di prima, si blocca e si riavvia, tornando a questo punto.

Scegliendo la prima opzione, invece, accade qualcosa di simile a quando carica la Modalità Provvisoria:
si vede "Caricamento dei file in corso..." in DOS e poi compare la barretta-termometro di Windows che carica, ma stavolta per un tempo ragionevole.
Poi compare in stile Windows una finestra con titolo "Ripristino all'avvio" che tenta di ripristinare automaticamente il pc.

Il risultato è puntualmente:
"Impossibile ripristinare automaticamente il computer
Se di recente è stato collegato un dispositivo al computer, come una fotocamera o un lettore musicale portatile, rimuoverlo e riavviare il computer. Se questo messaggio viene nuovamente visualizzato, contattare l'amministratore del sistema o il produttore del computer."
Ovviamente io non ho niente collegato al portatile.

Inoltre compaiono dei link:
"Visualizza dettagli diagnostica e ripristino
Visualizza opzioni avanzate per il ripristino del sistema e per il supporto"

[gtv]

Se clicco sul primo link viene fuori:

"Dettagli diagnosi e ripristino:
Diagnosi e registro di ripristino per Ripristino all'avvio
----------------------
Ora ultimo avvio riuscito: 06/08/2008 13.21.48 (GMT)
Numero di tentativi di ripristino: 18

Dettagli sessione:
----------------------
Disco di sistema = \Device\Harddisk0
Directory Windows = C:\Windows
Controllo automatico = 0
Numero cause principali = 1

Test eseguito:
----------------------
Nome: Controlla aggiornamenti
Risultato: Completato. Codice di errore = 0x0
Tempo impiegato = 0 ms

Test eseguito:
----------------------
Nome: Test disco di sistema
Risultato: Completato. Codice di errore = 0x0
Tempo impiegato = 0 ms

Test eseguito:
----------------------
Nome: Diagnosi di errore disco
Risultato: Completato. Codice di errore = 0x0
Tempo impiegato = 359 ms

Test eseguito:
----------------------
Nome: Test metadati disco
Risultato: Completato. Codice di errore = 0x0
Tempo impiegato = 78 ms

Test eseguito:
----------------------
Nome: Test sistema operativo di destinazione
Risultato: Completato. Codice di errore = 0x0
Tempo impiegato = 172 ms

Test eseguito:
----------------------
Nome: Controllo contenuto volume
Risultato: Completato. Codice di errore = 0x0
Tempo impiegato = 327 ms

Test eseguito:
----------------------
Nome: Diagnosi Boot Manager
Risultato: Completato. Codice di errore = 0x0
Tempo impiegato = 0 ms

Test eseguito:
----------------------
Nome: Diagnosi registro di avvio sistema
Risultato: Completato. Codice di errore = 0x0
Tempo impiegato = 0 ms

Test eseguito:
----------------------
Nome: Diagnosi registro eventi
Risultato: Completato. Codice di errore = 0x0
Tempo impiegato = 765 ms

Test eseguito:
----------------------
Nome: Controllo stato interno
Risultato: Completato. Codice di errore = 0x0
Tempo impiegato = 93 ms

Causa principale rilevata:
----------------------
Strumento di ripristino all'avvio: impossibile determinare la causa del problema nonostante i numerosi tentativi.


----------------------
----------------------
Dettagli sessione
----------------------
Disco di sistema = \Device\Harddisk0
Directory di Windows = C:\Windows
...................e ricomincia con gli stessi dati di prima in cui cambiano solo i millisecondi poiché si riferisce al tentativo di ripristino precedente"

Mi sono informato e ho trovato che il codice di errore 0x0 indica che il test non ha trovato errori, quindi proprio perché non trova errori non riesce a risolvere il problema in automatico.

[gtv]

Cliccando invece sul link
"Visualizza opzioni avanzate per il ripristino del sistema e per il supporto"
compare una finestra che mi fa selezionare la lingua. Io seleziono l'italiano e clicco su "Avanti".
Poi compare il messaggio
"Per accedere alle opzioni di ripristino, accedere come utente locale.
Per accedere anche al prompt dei comandi, accedere utilizzando un account amministratore."
E poi ho:
Nome utente: 3 possibilità -> Administrator, mioNomeUtente, Guest
Password:

Da precisare che io non avevo password sul portatile.

Cmq se metto Administrator senza inserire pw non mi fa procedere.
Se invece inserisco il mioNomeUtente senza pw procede e compare una finestra in cui ci sono 6 strumenti di ripristino.

"Scegliere uno strumento di ripristino
Sistema operativo: Microsoft Windows Vista su ( C: ) Vista

Ripristino all'avvio
Risolve automaticamente i problemi che impediscono l'avvio di Windows

Ripristino configurazione di sistema
Ripristina lo stato di Windows relativo a un momento precedente

Ripristino Windows Complete PC
Ripristino completo del computer da un backup

Strumento di diagnostica memoria Windows
Controlla il computer per individuare eventuali errori hardware relativi alla memoria

Prompt dei comandi
Apri una finestra del prompt dei comandi

Ripristino del sistema operativo Windows
Ripristino del sistema operativo Windows"

Se si clicca sul primo ricompare la finestra "Impossibile ripristinare automaticamente il computer" da cui siamo passati per arrivare qua.

Se si clicca sul secondo compare il messaggio con la X su fondo rosso:
"Nessun punto di ripristino creato nel disco di sistema del computer. Per creare un punto di ripristino, aprire Protezione Sistema."

Se si clicca sul terzo viene fuori una "Ricerca dischi di backup in corso..."
"Impossibile trovare un percorso di backup valido.
Impossibile trovare un backup nei dischi rigidi o nei DVD disponibili nel computer. Collegare il disco rigido corretto o inserire l'ultimo DVD di backup, quindi avviare di nuovo il processo di ripristino."

Se si clicca sulla Diagnostica dei problemi di memoria:
"Individuare eventuali problemi di memoria del computer
I problemi di memoria possono provocare perdite di informazioni o il blocco del computer.

-> Riavvia ora e individua eventuali problemi (scelta consigliata)
-> Individua eventuali problemi al prossimo riavvio del computer"

Effettuando la scelta consigliata il pc si riavvia e parte una scansione della memoria in stile DOS ma su fondo blu

"Strumento di diagnostica memoria Windows
Analisi della memoria in corso..."
Esegue 2 test.
Risultato: nessune errore fino alla fine dei 2 test.

Il Prompt dei comandi apre la classica finestra del DOS ed è da lì che ho cancellato una cartella di 40 GB presente sull'HD dov'è messo il sistema operativo.

Infine il Ripristino del sistema operativo Windows equivale a inserire il DVD di ripristino fornito dalla Toshiba e cioè formatta il portatile e reinstalla Vista ex-novo.

[gtv]

Sono riuscito a impedire il riavvio dopo la schermata blu e mi sono segnato quale errore dà.

STOP: c000021a {Fatal System Error}
The initial session process or system process terminated unexpectedly with a status of 0x00000000 (0xc0000001 0x001004c0).
The system has been shut down.

[wjmat]

ciao
facciamo un controllo del disco
start -> esegui -> digita cmd (invio)
nella finestra dos digita

Codice:

chkdsk x: /f/r

dove x è l'indirizzo della partizione su cui gira win
Ti chiederà di forzare lo smontaggio del disco in quanto è in uso da win, premi S
Riavvia il pc e lasciagli fare il controllo del disco

[gtv]

Sono riuscito a ottenere una lista dei driver caricati e non con "Abilita registrazione all'avvio" e sono postati nel file seguente:

http://wikisend.com/download/485760/ntbtlog.txt
ntbtlog.txt

da cui però non si capisce un fico secco...credo

per tale motivo posto anche il log che sono riuscito a ottenere da Gmer eseguito in DOS, che però fa un'analisi su X: (che è il disco di boot) e non su C:, che è il disco su cui è messo il sistema operativo....non capisco bene cos'è quell'X:....credo una specie di SO che parte quando non si avvia il principale...

http://wikisend.com/download/709658/gmer.log
gmer.log

Cmq il log è il suddetto: vi sarei molto grato se poteste interpretarmelo....inoltre volevo sapere se è necessario ricavare anche un log di HiJackThis....grazie!
Ah, dimenticavo: ovviamente Gmer dice che rileva l'attività di un rootkit

[gtv]

Ciao allora il SO nn parte, né normalmente, né in modalità provvisoria, quindi chkdsk lo eseguo dal prompt dei comandi degli strumenti di ripristino.
Inoltre ti posso dire che chkdsk l'ho già eseguito senza gli slash, senza alcun risultato.
Adesso lo rieseguo con gli slash...

[gtv]

Ti posso chiedere f/ ed /r cosa fanno? Perché è partito senza chiedermi di togliermi niente il chkdsk....

edit: mi sa che non mi ha chiesto lo smontaggio perché non è in uso dal PC windows in quanto sto in una specie di Console di Ripristino

[wjmat]

Quote:

Originariamente inviato da gtv

Ti posso chiedere f/ ed /r cosa fanno? Perché è partito senza chiedermi di togliermi niente il chkdsk....

edit: mi sa che non mi ha chiesto lo smontaggio perché non è in uso dal PC windows in quanto sto in una specie di Console di Ripristino

/f/r servono per correggere gli errori

non ho capito se riesci ad avviare in modalità normale ed eseguire quanto di ho detto...

[gtv]

Non esegue la modalità normale e nemmeno la provvisoria. Eseguo il chkdsk dalla Console di Ripristino: quella specie di modalità DOS che parte col cd di ripristino, hai presente?

[gtv]

Fatto!

Risultato:
Nessun problema rilevato.
0 kb in settori danneggiati.

Impossibile trasferire i messaggi registrati al registro eventi con stato 50.

Cosa vuol dire l'ultima cosa???

ps.c'è qualche uomo di buona volontà che mi sa analizzare il log di gmer di cui sopra?

[gtv]

Allora:

per gmer i file infetti sono

disk.sys
USBSTOR.SYS
volsnap.sys

Tutti drivers che gestiscono gli HD. Inoltre ho capito che si tratta di un MBR Rootkit....lo sto scovando...

Ho sostituito i tre file suddetti prendendoli da un PC sano, ma niente

Ci deve essere qualcosa a livello di chiavi di registro o di istruzioni di altri file .dll oppure .sys che fanno annullare il lavoro di sostituzione che ho fatto....

[gtv]

nessuno mi sa analizzare il log di gmer di cui sopra??? tnx

[wjmat]

Quote:

Originariamente inviato da gtv

nessuno mi sa analizzare il log di gmer di cui sopra??? tnx

potresti rifarlo aggiornato, ormai i link portano ad altro...

[irciverson]

Quote:

Originariamente inviato da gtv

Allora:

per gmer i file infetti sono

disk.sys
USBSTOR.SYS
volsnap.sys

Tutti drivers che gestiscono gli HD. Inoltre ho capito che si tratta di un MBR Rootkit....lo sto scovando...

Ho sostituito i tre file suddetti prendendoli da un PC sano, ma niente

Ci deve essere qualcosa a livello di chiavi di registro o di istruzioni di altri file .dll oppure .sys che fanno annullare il lavoro di sostituzione che ho fatto....

sto avendo lo stesso identico problema con un vaio....
hai risolto in qualche modo?? (che nn sia la formattazione)

[wjmat]

Quote:

Originariamente inviato da irciverson

sto avendo lo stesso identico problema con un vaio....
hai risolto in qualche modo?? (che nn sia la formattazione)

ciao
il pc rimane acceso per poter produrre qualche log?

[irciverson]

Quote:

Originariamente inviato da wjmat

ciao
il pc rimane acceso per poter produrre qualche log?

si..posso usare la winRE

[wjmat]

Quote:

Originariamente inviato da irciverson

si..posso usare la winRE

il tuo problema quale sarebbe?
la causa è un infezione o un "normale" problema di win?
ha già provato con i vari ripristini di winRE?

[irciverson]

si.. il ripristino con winRE non produce nessun effetto.
mi trovo nella stessa identica situazione di gtv.
ho provato a lanciare gmer, mi trova quei tre file infetti, li elimino, riavvio ma sono ancora lì e la situazione rimane sempre la stessa...
ho provato anche a disabilitare i servizi all'avvio relativi a quei file, ma nn me lo fa fare, o comunque non serve a niente...

[wjmat]

gmer lanciato da dos o a pc avviato?

Prova con il rescue cd di avira
Tutte le info le trovi qui
http://www.hwupgrade.it/forum/showthread.php?t=1689812
Poi se la situazione migliora vediamo come procedere