PDA

Visualizza versione completa : Problemi con la modalità provvisoria e worm


Nuvola2009
17-10-2009, 21.26.59
Ciao a tutti, :mm:
ho vari problemi con il mio pc e sono disperata!!!
Cercherò di essere breve:
a causa di un file infetto, scaricato da emule (premetto che avevo scansionato l'eseguibile in questione con avast e non aveva rilevato minacce), ho contratto il "Bagle worm" che ha disattivato il mio antivirus Avast, rendendomi impossibile istallare qualunque altra applicazione per tentarne la rimozione (es. combofix, virit, ecc). Quando provo infatti a far partire qualunque file eseguibile (.exe) il pc mi dà il seguente errore: “nomefile.exe non è un applicazione di Win32 valida”.
Per poter effettuare una scansione del sistema, al fine di rimuovere questo worm, ho tentato di riavviare in modalità provvisoria il mio pc. Come sempre sono andata alla voce “Utilità configurazione di sistema” e dal boot.ini ho spuntato safeboot e network, visto che una volta riavviato il pc in modalità provvisoria avrei potuto avere l’esigenza di collegarmi a internet x scaricare eventuali programmi x la rimozione del Bagle. Ho quindi riavviato il pc, ma niente! Non riesco ad entrare in modalità provvisoria, né in modalità provvisoria con rete né tanto meno a far riavviare il pc normalmente!!! Ho provato a selezionare ciascun comando, ma dopo qualche secondo di caricamento dei files in basso, mi compare una schermata nera con scritto in basso “Press esc to cancel loading SPTD.sys” e indipendentemente dal fatto che io prema ESC o no, il pc si riavvia e torna alla schermata iniziale in cui mi chiede di scegliere se voglio avviare in modalità provvisoria, in modalità provvisoria con rete o tramite il pc normalmente.
C’è qualcuno che mi saprebbe dire innanzitutto come fare per poter entrare in modalità provvisoria? E magari, una volta entrata in modalità provvisoria, quale è il programma ed il procedimento consigliato per individuare se è davvero questo Bagle Worm che mi ha infettato il pc o un altro worm e poi rimuoverlo?
Aiutatemi!!!!!

desmo_77
17-10-2009, 23.29.58
Ciao Nuvola2009,
stai veramente nei casini...purtroppo!
L'unica cosa che posso dirti è di provare a far partire windows con l'ultima configurazione funzionante e vedi che accade; altrimenti devi lavorare con qualche cd di boot live per poter effettuare scansioni e sperare che questo ti faccia ripartire il pc.
Se tante volte riuscissi a partire in modalità normale, scarica combofix ma nel momento di salvarlo rinominalo tipo 12345 e soprattutto una volta salvato cambia l'estensione da .exe a .com e vedrai che partirà ;)
Fallo girare una volta, poi una volta ancora; disattiva il ripristino configurazione di sistema (ogni tanto controlla questa voce che si riabilita da sola con i virus) e se combofix avra' effetto riuscirai da utilizzare anche altri software antivirus/antispam ma dovrai scaricarli exnovo. E' un lavorone, forse fai prima a formattare pero' è una bella soddisfazione se riesci a sistemare tutto. Cerca in rete il cd di boot di bit defender: è un antivirus live che parte da cd e che si aggiorna anche online; ti sara' utile forse se proprio non riesci a far ripartire il pc in nessun modo.
Ora vado, buonanotte

Nuvola2009
18-10-2009, 10.11.34
Ciao Nuvola2009,
stai veramente nei casini...purtroppo!
L'unica cosa che posso dirti è di provare a far partire windows con l'ultima configurazione funzionante e vedi che accade; altrimenti devi lavorare con qualche cd di boot live per poter effettuare scansioni e sperare che questo ti faccia ripartire il pc...


Grazie 1000!!! Sei stato gentilissimo!!! Ora proverò a seguire i tuoi suggerimenti e ti farò sapere! ;-)

Nuvola2009
18-10-2009, 16.10.53
Ciao Nuvola2009,
stai veramente nei casini...purtroppo!
L'unica cosa che posso dirti è di provare a far partire windows con l'ultima configurazione funzionante...

Prima di tentare seguendo i tuoi consigli, mi sono dimenticata di dirti che nel pc ho 2 sistemi operativi (XP PRO) entrambi funzionanti, quindi anche se non riesco più ad accedere al mio principale (dove avevo istallato tutti i programmi e dove ho contratto il Bagle Worm) riesco comunque ad accedere nel mio pc tramite l'altra partizione dove avevo istallato sempre XP PRO e qualche altro programma. Pensi che posso agire tramite questa partizione funzionante e tentare di sistemare le opzioni relative all'avvio della parzione di XP PRO che non si avvia più?

LoryOne
18-10-2009, 17.32.25
La fortuna che hai è che puoi andare su Internet con l'altra partizione e ricercare informazioni sul virus Bagle per capire i metodi d'infezione (Sei sicura che sia proprio Bagle ? Chi te lo ha segnalato ?) e porvi rimedio manualmente se possibile. Io ti do lo stesso consiglio che ti ha dato desmo_77 per quanto riguarda il cd di boot live. Ricorda che se devi operare alla rimozione di virus è sempre consigliabile farlo da un supporto non scrivibile che sia stato verificato e non sia infetto.

SPTD.Sys cos'è ?
A cosa serve ?
Dove si trova ?
quale data di creazione ha ?

Probabilmente una o più voci di registro mancano, oppure sono da eliminare. Cerca info ...

Nuvola2009
18-10-2009, 17.51.05
La fortuna che hai è che puoi andare su Internet con l'altra partizione e ricercare informazioni sul virus Bagle per capire i metodi d'infezione (Sei sicura che sia proprio Bagle ? Chi te lo ha segnalato ?) e porvi rimedio manualmente se possibile. Io ti do lo stesso consiglio che ti ha dato desmo_77 per quanto riguarda il cd di boot live. Ricorda che se devi operare alla rimozione di virus è sempre consigliabile farlo da un supporto non scrivibile che sia stato verificato e non sia infetto.

Grazie, x avermi risposto.
In merito alla sicurezza che sia un Bagle Worm ho fatto fare, dalla partizione con sistema operativo funzionante, la scansione con AVG sulla partizione con il sistema operativo infetto ed ha rilevato tutte voci che contenevano questo BAGLE.
Prutroppo solo dopo aver riavviato in modalità provvisoria ed aver visto che non riusciva più a caricare windows in nessun modo, ho scoperto che il Bagle Worm non agisce solo sui programmi di sicurezza rendendone impossibile l’utilizzo, ma elimina proprio la chiave SafeBoot, ragione per cui non mi è più possibile far avviare il pc! Scusa la mia ignoranza, ma purtroppo non ho mai utilizzato un cd di boot live. Quale è la procedure corretta? Dove lo trovo? Come funziona? Non è che rischio di andare a compromettere anche la partizione dove ho il sistema operativo funzionante? Non è proprio possibile agire direttamente da questo sistema operativo funzionante per tentare di effettuare tutte le procedure volte alla rimozione del Bagle (tipo far partire qualche tool di rimozione) oltre al ripristino del boot di avvio? Sono disperata!!!

LoryOne
18-10-2009, 18.02.45
Il CD di boot, ha un suo boot loader. Devi andare nel BIOS del tuo PC e verificare nella sezione relativa al boot che il tuo PC possa eseguire boot da CD. Solitamente, così come capita per le distro live di Linux, tutto cio che devi fare è scaricare il file .iso e masterizzarlo su CD.
Una volta avviato, ti verrà richiesto su quale partizione effettuare la scansione antivirus ...

desmo_77
18-10-2009, 19.45.13
...guarda, se hai una partizione funzionante non ha quasi senso utilizzare un cd di boot perchè hai modo di operare con l'altro windows funzionante! Certo, potresti editare il registro di windows da remoto con un cd live, per poter sistemare qualcosina... vabbè
Con windows funzionante potresti far girare NormanMalware, MalwareBytes e tanti altri sulla partizione "virusata"; potresti installarti virit, aggiornarlo e fargli fare una bella scansione sempre su quella partizione fallata; prova così al momento e facci sapere

LoryOne
18-10-2009, 20.28.58
Certo, hai ragione anche tu, però adesso a pensarci bene la maggior parte dei software antivirus verifica le signatures dei virus direttamente sui files ritenuti infetti e nelle chiavi di registro ... Già il registro ... I files possono essere memorizzati dovunque, ma le chiavi di registro sono nella partizione in cui risiede Windows.
Dov'è che si trova la chiamata al file di sistema SPTD.Sys ?
E' possibile farne a meno ?
Come si fa a verificare cosa viene lanciato in fase di caricamento di Windows per vedere a che punto si ferma la procedura di caricamento del S.O. ?
domande alle quali è necessario trovare risposta ...

desmo_77
18-10-2009, 20.32.33
Si, infatti è per questo che ti dicevo della possibilità di editare il registro da remoto con qualche software live; è pur vero che se il tuo problema di avvio è dovuto a qualche servizio o qualche file in esecuzione automatica, scansionando dovresti almeno trovare questi file infetti; poi se la partizione "zoppa" dovesse a questo punto ripartire, probabilmente dara' degli errori di avvio con messaggi del tipo "impossibile caricare...file..." perchè magari li hai cancellati; l'importante è entrare in windows, poi con combofix e antivir sistemi tutto al 90% ;)
Poi resta sempre una mia opinione ovvio :)

LoryOne
18-10-2009, 20.44.44
Se non sbaglio, la modalità provvisoria deve andare a buon fine affinchè si possa far ripartire Windows normalmente ...
La domanda che pongo è nuovamante questa:
Come si fa a verificare cosa viene lanciato in fase di caricamento di Windows per vedere a che punto si ferma la procedura di caricamento del S.O. ?

desmo_77
18-10-2009, 20.49.19
...non è esattamente vero: ci sono dei virus che bloccano la modalità provvisoria semplicemente modificando una chiave di registro, ma permettono l'avvio in modalità normale; questo perchè la modalità provvisoria li rende più vulnerabili e il virus stesso non ha a disposizione "tutti gli strumenti" per fare danni ;)
Se vuoi conoscere per filo e per segno cosa accade all'avvio del tuo pc, devi (secondo me) provare con un editor di registro remoto utilizzando un cd live di bartPe o HyrensBoot. Ti spulci tutto l'autorun del registro ed i servizi disabilitando quello che non ti serve. Altro purtroppo non so dirti, se non di provare con le scansioni dalla partizione buona che mi sembra al momento l'unica cosa fattibile e semplice ;)

desmo_77
18-10-2009, 20.54.17
http://blog.didierstevens.com/2007/02/19/restoring-safe-mode-with-a-reg-file/

http://www.uiciechi.it/osi/03Helpexpress/04F_A_Q/07SistemaOperativo/UHE00629.html


qui trovi una semplice spiegazione di come agire sul registro per abilitare la modalita' provvisoria e c'e' anche un file .reg per farlo in automatico; tante volte ti ripartisse windows potresti utilizzarlo per abilitare il safeboot ;)

LoryOne
18-10-2009, 21.06.12
Bene Nuvola2009, hai parecchie frecce nella tua faretra da scoccare.
Sono state fornite info su software antivirus, chiavi di registro, operazioni manuali da portare a termine ed un pizzico di conoscenza in più.
Come ben saprai, ci sono valori che corrispondono alla tipologia di avvio di un servizio in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es (automatico, manuale, disabilitato) e di drivers che ne gestiscono l'utilizzo. Let's go baby :)

Nuvola2009
18-10-2009, 22.01.35
Ragazzi siete stati davvero gentili!!! Sono senza parole!!! Proverò a seguire i vostri consigli e vi faccio sapere!!! Grazie ancora!!!! :)