Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 17-10-2009, 22.26.59   #1
Nuvola2009
Newbie
 
Registrato: 17-10-2009
Messaggi: 5
Nuvola2009 promette bene
Problemi con la modalità provvisoria e worm

Ciao a tutti,
ho vari problemi con il mio pc e sono disperata!!!
Cercherò di essere breve:
a causa di un file infetto, scaricato da emule (premetto che avevo scansionato l'eseguibile in questione con avast e non aveva rilevato minacce), ho contratto il "Bagle worm" che ha disattivato il mio antivirus Avast, rendendomi impossibile istallare qualunque altra applicazione per tentarne la rimozione (es. combofix, virit, ecc). Quando provo infatti a far partire qualunque file eseguibile (.exe) il pc mi dà il seguente errore: “nomefile.exe non è un applicazione di Win32 valida”.
Per poter effettuare una scansione del sistema, al fine di rimuovere questo worm, ho tentato di riavviare in modalità provvisoria il mio pc. Come sempre sono andata alla voce “Utilità configurazione di sistema” e dal boot.ini ho spuntato safeboot e network, visto che una volta riavviato il pc in modalità provvisoria avrei potuto avere l’esigenza di collegarmi a internet x scaricare eventuali programmi x la rimozione del Bagle. Ho quindi riavviato il pc, ma niente! Non riesco ad entrare in modalità provvisoria, né in modalità provvisoria con rete né tanto meno a far riavviare il pc normalmente!!! Ho provato a selezionare ciascun comando, ma dopo qualche secondo di caricamento dei files in basso, mi compare una schermata nera con scritto in basso “Press esc to cancel loading SPTD.sys” e indipendentemente dal fatto che io prema ESC o no, il pc si riavvia e torna alla schermata iniziale in cui mi chiede di scegliere se voglio avviare in modalità provvisoria, in modalità provvisoria con rete o tramite il pc normalmente.
C’è qualcuno che mi saprebbe dire innanzitutto come fare per poter entrare in modalità provvisoria? E magari, una volta entrata in modalità provvisoria, quale è il programma ed il procedimento consigliato per individuare se è davvero questo Bagle Worm che mi ha infettato il pc o un altro worm e poi rimuoverlo?
Aiutatemi!!!!!
Nuvola2009 non è collegato   Rispondi citando
Vecchio 18-10-2009, 00.29.58   #2
desmo_77
Senior Member
 
Registrato: 23-09-2009
Messaggi: 278
desmo_77 promette bene
Ciao Nuvola2009,
stai veramente nei casini...purtroppo!
L'unica cosa che posso dirti è di provare a far partire windows con l'ultima configurazione funzionante e vedi che accade; altrimenti devi lavorare con qualche cd di boot live per poter effettuare scansioni e sperare che questo ti faccia ripartire il pc.
Se tante volte riuscissi a partire in modalità normale, scarica combofix ma nel momento di salvarlo rinominalo tipo 12345 e soprattutto una volta salvato cambia l'estensione da .exe a .com e vedrai che partirà
Fallo girare una volta, poi una volta ancora; disattiva il ripristino configurazione di sistema (ogni tanto controlla questa voce che si riabilita da sola con i virus) e se combofix avra' effetto riuscirai da utilizzare anche altri software antivirus/antispam ma dovrai scaricarli exnovo. E' un lavorone, forse fai prima a formattare pero' è una bella soddisfazione se riesci a sistemare tutto. Cerca in rete il cd di boot di bit defender: è un antivirus live che parte da cd e che si aggiorna anche online; ti sara' utile forse se proprio non riesci a far ripartire il pc in nessun modo.
Ora vado, buonanotte
desmo_77 non è collegato   Rispondi citando
Vecchio 18-10-2009, 11.11.34   #3
Nuvola2009
Newbie
 
Registrato: 17-10-2009
Messaggi: 5
Nuvola2009 promette bene
Quota:
Inviato da desmo_77
Ciao Nuvola2009,
stai veramente nei casini...purtroppo!
L'unica cosa che posso dirti è di provare a far partire windows con l'ultima configurazione funzionante e vedi che accade; altrimenti devi lavorare con qualche cd di boot live per poter effettuare scansioni e sperare che questo ti faccia ripartire il pc...
Grazie 1000!!! Sei stato gentilissimo!!! Ora proverò a seguire i tuoi suggerimenti e ti farò sapere! ;-)
Nuvola2009 non è collegato   Rispondi citando
Vecchio 18-10-2009, 17.10.53   #4
Nuvola2009
Newbie
 
Registrato: 17-10-2009
Messaggi: 5
Nuvola2009 promette bene
Quota:
Inviato da desmo_77
Ciao Nuvola2009,
stai veramente nei casini...purtroppo!
L'unica cosa che posso dirti è di provare a far partire windows con l'ultima configurazione funzionante...
Prima di tentare seguendo i tuoi consigli, mi sono dimenticata di dirti che nel pc ho 2 sistemi operativi (XP PRO) entrambi funzionanti, quindi anche se non riesco più ad accedere al mio principale (dove avevo istallato tutti i programmi e dove ho contratto il Bagle Worm) riesco comunque ad accedere nel mio pc tramite l'altra partizione dove avevo istallato sempre XP PRO e qualche altro programma. Pensi che posso agire tramite questa partizione funzionante e tentare di sistemare le opzioni relative all'avvio della parzione di XP PRO che non si avvia più?
Nuvola2009 non è collegato   Rispondi citando
Vecchio 18-10-2009, 18.32.25   #5
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
La fortuna che hai è che puoi andare su Internet con l'altra partizione e ricercare informazioni sul virus Bagle per capire i metodi d'infezione (Sei sicura che sia proprio Bagle ? Chi te lo ha segnalato ?) e porvi rimedio manualmente se possibile. Io ti do lo stesso consiglio che ti ha dato desmo_77 per quanto riguarda il cd di boot live. Ricorda che se devi operare alla rimozione di virus è sempre consigliabile farlo da un supporto non scrivibile che sia stato verificato e non sia infetto.

SPTD.Sys cos'è ?
A cosa serve ?
Dove si trova ?
quale data di creazione ha ?

Probabilmente una o più voci di registro mancano, oppure sono da eliminare. Cerca info ...

Ultima modifica di LoryOne : 18-10-2009 alle ore 18.48.50
LoryOne non è collegato   Rispondi citando
Vecchio 18-10-2009, 18.51.05   #6
Nuvola2009
Newbie
 
Registrato: 17-10-2009
Messaggi: 5
Nuvola2009 promette bene
Quota:
Inviato da LoryOne
La fortuna che hai è che puoi andare su Internet con l'altra partizione e ricercare informazioni sul virus Bagle per capire i metodi d'infezione (Sei sicura che sia proprio Bagle ? Chi te lo ha segnalato ?) e porvi rimedio manualmente se possibile. Io ti do lo stesso consiglio che ti ha dato desmo_77 per quanto riguarda il cd di boot live. Ricorda che se devi operare alla rimozione di virus è sempre consigliabile farlo da un supporto non scrivibile che sia stato verificato e non sia infetto.
Grazie, x avermi risposto.
In merito alla sicurezza che sia un Bagle Worm ho fatto fare, dalla partizione con sistema operativo funzionante, la scansione con AVG sulla partizione con il sistema operativo infetto ed ha rilevato tutte voci che contenevano questo BAGLE.
Prutroppo solo dopo aver riavviato in modalità provvisoria ed aver visto che non riusciva più a caricare windows in nessun modo, ho scoperto che il Bagle Worm non agisce solo sui programmi di sicurezza rendendone impossibile l’utilizzo, ma elimina proprio la chiave SafeBoot, ragione per cui non mi è più possibile far avviare il pc! Scusa la mia ignoranza, ma purtroppo non ho mai utilizzato un cd di boot live. Quale è la procedure corretta? Dove lo trovo? Come funziona? Non è che rischio di andare a compromettere anche la partizione dove ho il sistema operativo funzionante? Non è proprio possibile agire direttamente da questo sistema operativo funzionante per tentare di effettuare tutte le procedure volte alla rimozione del Bagle (tipo far partire qualche tool di rimozione) oltre al ripristino del boot di avvio? Sono disperata!!!
Nuvola2009 non è collegato   Rispondi citando
Vecchio 18-10-2009, 19.02.45   #7
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Il CD di boot, ha un suo boot loader. Devi andare nel BIOS del tuo PC e verificare nella sezione relativa al boot che il tuo PC possa eseguire boot da CD. Solitamente, così come capita per le distro live di Linux, tutto cio che devi fare è scaricare il file .iso e masterizzarlo su CD.
Una volta avviato, ti verrà richiesto su quale partizione effettuare la scansione antivirus ...
LoryOne non è collegato   Rispondi citando
Vecchio 18-10-2009, 20.45.13   #8
desmo_77
Senior Member
 
Registrato: 23-09-2009
Messaggi: 278
desmo_77 promette bene
...guarda, se hai una partizione funzionante non ha quasi senso utilizzare un cd di boot perchè hai modo di operare con l'altro windows funzionante! Certo, potresti editare il registro di windows da remoto con un cd live, per poter sistemare qualcosina... vabbè
Con windows funzionante potresti far girare NormanMalware, MalwareBytes e tanti altri sulla partizione "virusata"; potresti installarti virit, aggiornarlo e fargli fare una bella scansione sempre su quella partizione fallata; prova così al momento e facci sapere
desmo_77 non è collegato   Rispondi citando
Vecchio 18-10-2009, 21.28.58   #9
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Certo, hai ragione anche tu, però adesso a pensarci bene la maggior parte dei software antivirus verifica le signatures dei virus direttamente sui files ritenuti infetti e nelle chiavi di registro ... Già il registro ... I files possono essere memorizzati dovunque, ma le chiavi di registro sono nella partizione in cui risiede Windows.
Dov'è che si trova la chiamata al file di sistema SPTD.Sys ?
E' possibile farne a meno ?
Come si fa a verificare cosa viene lanciato in fase di caricamento di Windows per vedere a che punto si ferma la procedura di caricamento del S.O. ?
domande alle quali è necessario trovare risposta ...
LoryOne non è collegato   Rispondi citando
Vecchio 18-10-2009, 21.32.33   #10
desmo_77
Senior Member
 
Registrato: 23-09-2009
Messaggi: 278
desmo_77 promette bene
Si, infatti è per questo che ti dicevo della possibilità di editare il registro da remoto con qualche software live; è pur vero che se il tuo problema di avvio è dovuto a qualche servizio o qualche file in esecuzione automatica, scansionando dovresti almeno trovare questi file infetti; poi se la partizione "zoppa" dovesse a questo punto ripartire, probabilmente dara' degli errori di avvio con messaggi del tipo "impossibile caricare...file..." perchè magari li hai cancellati; l'importante è entrare in windows, poi con combofix e antivir sistemi tutto al 90%
Poi resta sempre una mia opinione ovvio
desmo_77 non è collegato   Rispondi citando
Vecchio 18-10-2009, 21.44.44   #11
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Se non sbaglio, la modalità provvisoria deve andare a buon fine affinchè si possa far ripartire Windows normalmente ...
La domanda che pongo è nuovamante questa:
Come si fa a verificare cosa viene lanciato in fase di caricamento di Windows per vedere a che punto si ferma la procedura di caricamento del S.O. ?
LoryOne non è collegato   Rispondi citando
Vecchio 18-10-2009, 21.49.19   #12
desmo_77
Senior Member
 
Registrato: 23-09-2009
Messaggi: 278
desmo_77 promette bene
...non è esattamente vero: ci sono dei virus che bloccano la modalità provvisoria semplicemente modificando una chiave di registro, ma permettono l'avvio in modalità normale; questo perchè la modalità provvisoria li rende più vulnerabili e il virus stesso non ha a disposizione "tutti gli strumenti" per fare danni
Se vuoi conoscere per filo e per segno cosa accade all'avvio del tuo pc, devi (secondo me) provare con un editor di registro remoto utilizzando un cd live di bartPe o HyrensBoot. Ti spulci tutto l'autorun del registro ed i servizi disabilitando quello che non ti serve. Altro purtroppo non so dirti, se non di provare con le scansioni dalla partizione buona che mi sembra al momento l'unica cosa fattibile e semplice
desmo_77 non è collegato   Rispondi citando
Vecchio 18-10-2009, 21.54.17   #13
desmo_77
Senior Member
 
Registrato: 23-09-2009
Messaggi: 278
desmo_77 promette bene
http://blog.didierstevens.com/2007/0...th-a-reg-file/

http://www.uiciechi.it/osi/03Helpexp.../UHE00629.html


qui trovi una semplice spiegazione di come agire sul registro per abilitare la modalita' provvisoria e c'e' anche un file .reg per farlo in automatico; tante volte ti ripartisse windows potresti utilizzarlo per abilitare il safeboot
desmo_77 non è collegato   Rispondi citando
Vecchio 18-10-2009, 22.06.12   #14
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Bene Nuvola2009, hai parecchie frecce nella tua faretra da scoccare.
Sono state fornite info su software antivirus, chiavi di registro, operazioni manuali da portare a termine ed un pizzico di conoscenza in più.
Come ben saprai, ci sono valori che corrispondono alla tipologia di avvio di un servizio in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es (automatico, manuale, disabilitato) e di drivers che ne gestiscono l'utilizzo. Let's go baby
LoryOne non è collegato   Rispondi citando
Vecchio 18-10-2009, 23.01.35   #15
Nuvola2009
Newbie
 
Registrato: 17-10-2009
Messaggi: 5
Nuvola2009 promette bene
Ragazzi siete stati davvero gentili!!! Sono senza parole!!! Proverò a seguire i vostri consigli e vi faccio sapere!!! Grazie ancora!!!!
Nuvola2009 non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Problemi al rientro da modalità provvisoria. Franco R.C. Windows 7/Vista/XP/ 2003 2 15-04-2009 23.34.51
problemi avvio modalità provvisoria altredbeast22 Windows 7/Vista/XP/ 2003 7 04-11-2008 00.07.05
xp - differenza sostanziale tra modalita' provvisoria e normale dannik Windows 7/Vista/XP/ 2003 3 28-10-2006 18.59.44
All'avvio ricompare sempre la schermata x avvio in modalità provvisoria zerone Windows 7/Vista/XP/ 2003 2 07-09-2006 15.32.26
modalità provvisoria easyright Windows 9x/Me/NT4/2000 4 21-11-2003 20.18.14

Orario GMT +2. Ora sono le: 00.24.35.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.