|
|
Rank: Member
Iscritto dal : 9/11/2014
Posts: 16
|
Il pc di un amico con windows 7 x64 è stato infettato da alcuni virus che con diversi software ho eliminato (malware byte, combofix, adwcleaner ecc ecc). Ora l'avvio come utente con permessi da amministratore è pulito e addirittura il registro eventi di windows non segnala errori particolari. C'è tuttavia un problema. Avviando il sistema in modalità provvisoria il sistema sia avvia caricando tutti i drivers ma dopo averli caricati tutti alla schermata azzura di avvio di windows, (utente impostato con avvio automatico senza digitare la password) il pc si riavvia senza alcun segnale. Ho provato anche a disattivare l'avvio automatico senza password, ma al login automaticamente si riavvia. Non mi da il tempo di inserire neanche la password Ho utilizzato anche i vari boot save fixer in rete che riscrivono nella cartella Safeboot del registro di windows le chiavi base, ma nulla. Non ho immagini ne ripristino del sistema ad uno stato precedente perchè cancellati e non so da quanto tempo non funziona più la modalità provvisoria. La cosa è veramente strana. Se fosse un problema di drivers, dovrebbe segnalarlo anche in modalità provvisoria con schermate blu o quant'altro. Ma visto che l'uso dei drivers in modalità provvisoria è ristretto al minimo indispensabile non riesco a capire cosa possa funzionare senza errori in modalità normale. Ho un file hiijackthis del PC ripulito se qualcuno può darci un'occhiata. Ve lo incollo di seguito sperando in altri suggerimenti. Grazie hijackthis.zip
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao. Per favore non aprire altri topic. Scrivi e rispondi s empre qui. Prova eliminare da hiijackthis questa voce: Commenta:O4 - HKLM\..\Run: [bit4id store register] RUNDLL32.EXE "C:\Windows\system32\bit4cnsp.dll",RegisterMyPhysicalStore Se hai ancora il log di Combofix postalo qui. Per postare i log:Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/ Clicca sul bottone " Sfoglia" Seleziona il file appena salvato Clicca su Upload file Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati: Download Link / Forum Link Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
|
|
Rank: Member
Iscritto dal : 9/11/2014
Posts: 16
|
Aggiungo che ho già tentato il controllo del disco chkdsk /r e sfc /scannow senza problemi particolari. l'ultimo log Combofix é il seguente: provo ad eliminare la chiave suggerita e riavvio in safe mode anche se mi sembra che quella chiave, a memoria, sia legata ad un software di gestione smart card regione lombardia. Combofix.zip
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao. Ti avevo indicato come postare i log.....  Da programmi e funzionalità disinstalla HitmanPro. (interferisce con le chiavi della modalità provvisoria) Fai una pulizia con CCleaner ( registro compreso) In alcuni casi, è capitato che AVG (l'antivirus) era il colpevole di problemi ad entrare in modalità provvisoria. Consiglio di disinstallarlo. (poi vedi tu) Poi proviamo a riparare la modalità provvisoria con questo software: Leggi attentamente queste istruzioni: Scarica ripristino di Windows da Tweaking.com sul desktop. http://www.majorgeeks.com/mg/getmirror/tweaking_com_windows_repair,1.htmlDoppio click su " Repair_Windows" Eseguilo, e installalo. Clicca sulla scheda " Start Repairs". Clicca su " Start". Metti la spunta a: (se trovi le caselline tutte spuntate clicca su : " Unselect All") Reset Registry Permissions
Reset File Permissions
Reset Service Permissions
Register System Files
Repair WMI
Remove Policies Set By Infections
Remove Temp Files
Repair Windows Safe Mode
Restore Important Windows Services
Set Windows Services To default startup
Ora, nella parte in basso a destra, seleziona la casella " Restart / Shutdown System When Finished" Quindi assicurarsi che il pulsante di opzione " Restart System" sia abilitato. ( se manca la spunta, la metti) Clicca " Start Repairs". Aspetta pazientemente che le eventuali riparazioni siano effettuate. Il pc si riavvierà automaticamente . Importante:Assicurati di non avere programmi in esecuzione, durante le riparazioni, disattiva temporaneamente anche gli antivirus.
|
|
Rank: Member
Iscritto dal : 9/11/2014
Posts: 16
|
Commenta:Ti avevo indicato come postare i log.....Think Chiedo venia mi ero concentrato sulla chiave da eliminare. Mi sa che ho bisogno di occhiali :-) Commenta:Da programmi e funzionalità disinstalla HitmanPro.
Fai una pulizia con CCleaner (registro compreso) Avevo già provato CCleaner. CCleaner è un amico fidato da anni. HitmanPro era per me già disinstallato. Adesso provo comunque a vedere se nel registro di windows è rimasta traccia. Commenta:
In alcuni casi, è capitato che AVG (l'antivirus) era il colpevole di problemi ad entrare in modalità provvisoria.
Consiglio di disinstallarlo. (poi vedi tu)
Avevo avuto anch'io questo sospetto, ed avevo già disinstallato AVG ... purtroppo senza successo Commenta:
Poi proviamo a riparare la modalità provvisoria con questo software:
Scarica ripristino di Windows da Tweaking.com sul desktop.
Avevo già trovato anch'io questa guida, ho selezionato gran parte delle opzioni di riparazione ma non è successo nulla. Mi piacerebbe tanto poter provare un avvio in modalità provvisoria con creazione del registro di avvio per vedere dove si blocca e cominciare a focalizzare il problema ma non ho trovato nulla a tale riguardo
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Dal log di Combofix: Commenta:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys] Vorrei avere un po più chiara la situazione del pc: Scarica FRST sul desktop: ( è obligatorio) Installa la versione adatta al tuo Sistema Operativo ( 32 bit oppure 64 bit ) http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/Avvialo e clicca Esegui. Sulla finestra che ti compare clicca SI. Clicca Scan. Aspetta pazientemente la fine della scansione. Posta i 2 log log che rilascia sul desktop ( FRST.txt e Addition.txt)
|
|
Rank: Member
Iscritto dal : 9/11/2014
Posts: 16
|
Ecco il link al file zip che ho creato con FRS FRST.zipTieni presente che nel frattempo le chiavi hitmanpro37 e 37.sys le ho rimosse dal registro dopo che mi hai segnalato l'interferenza di hitmanpro con il safe boot. Ho provato anche a disinstallare i drivers della scheda video, ma anche dopo questa operazione il safe boot da sempre lo stesso problema. Grazie per il tempo che mi stai dedicando.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao. I log specificatamente alla modalità provvisoria non mi dicono niente. Se non l'hai già fatta farei una scansione con TDSSKiller per vedere se c'è qualche rootkit installato: Scarica TDSSKiller sul desktop: http://www.bleepingcomputer.com/download/tdsskiller/Fai doppio clik su TDSSKiller.exe Clicca su: Change parameters. Metti la spunta su "detect tdlfs file system" e " verify file digital signature" Clicca OK. Poi clicca su " Start Scan" Se trova qualche infezione di default avrai l'opzione " Cure" per cui, clicca su " Continue". Se un file sospetto viene trovato,l'azione di default sarà " skip",clicca su " Continue". Se è richiesto il riavvio,( Reboot) acconsenti. ( per eliminare l'infezione è necessario riavviare il pc) Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo. Il log lo trovi in C:\ Postalo qui. Se và buca, si potrebbe provare un ripristino dell'avvio di Windows in modalità "opzione avanzate". Vediamo intanto se trova qualcosa TDSSKiller.
|
|
Rank: Member
Iscritto dal : 9/11/2014
Posts: 16
|
Anche Tdsskiller l'avevo già fatto girare come ho già fatto girare anche Avira Rescue disk da CD.
Tdsskiller l'ho fatto girare comunque ancora una volta con l'opzione che mi hai suggerito che di default non è spuntata.
Purtroppo ancora nulla.
Ho già provato anche ad avviare il cd di windows con la modalità console di ripristino e selezionando la prima opzione di riparazione dei files di avvio. Ma quelli riguardano il bootstrap del disco. Io non dovrei avere problemi di quel tipo altrimenti non partirebbe il sistema.
Un dubbio che mi è venuto invece, riguarda il fatto che il sistema operativo è installato in C su un disco SATA e poi ci sono altri due dischi in raid1 configurati da bios della scheda madre Ga-M55-USB3 sui quali adesso sto facendo una scansione con scandisk perchè con chkdsk lanciato velocemente sul RAID G: mi aveva rilevato errori nel file system, proprio come indicato nei files di FRST che ho inviato.
Da msconfig, se dovessimo impostare l'opzione safeboot a minimal temo che possa andare in loop complicandomi la vita.
Non so poi se con msconfig si possano disattivare i servizi e/o files di avvio anche per il safeboot o se invece il safeboot ha una serie di servizi e files di default validi per un avvio minimo?
E' il colmo che un pc parta con tutti i servizi e i files di avvio mentre in modalità provvisoria no. Di solito è il contrario!!!
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:Da msconfig, se dovessimo impostare l'opzione safeboot a minimal temo che possa andare in loop complicandomi la vita. E' un rischio concreto lo sò. Ma se il pc fosse mio tenterei di "forzarlo". Volevo chiederti: la modalità provvisoria con rete funziona?
|
|
Rank: Member
Iscritto dal : 9/11/2014
Posts: 16
|
Commenta:Volevo chiederti: la modalità provvisoria con rete funziona? No, neanche quella con il prompt E' un enigma
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
La domanda è d'obbligo: Questi problemi li hai sempre avuti? In parole povere: il S.O è originale? Vorrei controllare alcuni servizi: scarica Scanner Servizio Farbar sul desktop : http://download.bleepingcomputer.com/farbar/FSS.exeMetti un segno di spunta in tutte le caselle sul lato sinistro. Clicca su "Scan". Si creerà un log (FSS.txt) nella stessa directory in cui viene eseguito lo strumento. Posta il log.
|
|
Rank: Member
Iscritto dal : 9/11/2014
Posts: 16
|
Sono entrato ancora in modalità provvisoria in passato senza problemi e il sistema è originale. Ho fatto un tentativo da msconfig ed ho selezionato sia avvio diagnostico che avvio selettivo ma quando confermo, la finestra configurazione di sistema non risponde e devo spegnere il pc. Quando riavvio, allo stesso punto, rimane una finestra nera con il cursore del mouse attivo ma si ferma. Riavviando, seleziono da modalità provvisoria l'ultio avvio funzionante e parte come prima. Rientrando però nel sistema e poi in msconfig, nella scheda generale rimane su avvio selettivo. Forse qualche virus ha rovinato questa parte del sistema. Ma sfc non ha rilevato anomalie. Ti allego comunque quanto mi hai chiesto. FSS.zip
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Il log Scanner Servizio Farbar è a posto. Commenta:Rientrando però nel sistema e poi in msconfig, nella scheda generale rimane su avvio selettivo. Non hai tentato da msconfig a selezionare "opzioni di avvio" e poi mettere la spunta su "Modalità provvisoria" vero? Comunque dal log di FRST vedo che c'è un backup del registro, in data 2013-09-02 13:12 Se vuoi si può tentare di ripristinare l'intero registro a quella data.(sempre se funziona) Però bisogna usare il Prompt dei comandi delle "opzioni avanzate" di windows 7.
|
|
Rank: Member
Iscritto dal : 9/11/2014
Posts: 16
|
Faccio ora il punto della situazione.
Sono riuscito casualmente ad entrare in modalità provvisoria nel modo seguente:
Ho modificato msconfig per avvio in modalità provvisoria (tanto avevo una immagine disco di oggi) e come temevamo è andato in loop.
Allora ho tentato il tutto per tutto e all'avvio con F8 ho provato le varie opzioni mentre nell'msconfig era ancora selezionata l'opzione di avvio in modalità provvisoria.
Ho provato le varie opzioni ed è partito senza errori in modalità provvisoria quando ho selezionato "ultima configurazione valida nota" !!!!!!! Il punto di ripristino l'ho verificato una volta entrato ed è datato oggi.
Ti confermo che era la modalità provvisoria classica con le classiche limitazioni e compreso il messaggio all'accesso.
Togliendo in modalità provvisoria la spunta in msconfig, il sistema riparte normalmente ma quando riavvio e digito F8 selezionando per testare se rientra l'apposita opzione "modalità provvisoria", ritorna a dare lo stesso errore di sempre e dopo aver caricato tutti i drivers ed apparsa la schermata azzurra di windows si riavvia.
Cosa potrei tentare ancora?
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:Ho provato le varie opzioni ed è partito senza errori in modalità provvisoria quando ho selezionato "ultima configurazione valida nota" !!!!!!! Finalmente un passettino avanti....  Commenta:Cosa potrei tentare ancora? Fra te e me, abbiamo provato molte strade per trovare la soluzione, e di solito le soluzioni proposte, almeno una, ha sempre funzionato. Questa volta sfotunatamente,non ha funzionato nulla. Io direi, che se il pc funziona bene potresti fermarti qui. Altri tentativi di soluzionare il problema,sono molto rischiosi sia per il pc, che per i tuoi dati. Come accennato precedentemente, potrei riportare l'intero registro al 2013, ma quanti programmi perderesti? Quanti file perderesti che hai installato recentemente? La soluzione migliore (per me) è aspettare la prossima infezione tosta che prendi, e poi formattare tutto e reistallare il S.O. Ovviamente cerca di salvare le cose importanti che hai sul pc. Non è una resa: ma ho il dovere di avvertirti che provando altre soluzioni (pur competenti) i rischi di peggiorare lo stato attuale del pc sono notevoli.
|
|
Rank: Member
Iscritto dal : 9/11/2014
Posts: 16
|
Non ho grandi problemi a continuare, giunti a questo punto e visto che mi sono fatto un paio di immagini del disco con acronis, sono abbastanza tranquillo.
Osiamo pure.
Tieni presente che nel frattempo ho gia tentato anche i seguenti suggerimenti trovati sul web:
import da un PC con la modalità provvisoria funzionante della chiave di registro e relative sottochiavi
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
e sovrascritta la cartella
C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
ed eliminato il file bootcat.cache
nella cartella C:\Windows\System32\CodeIntegrity
ma da sempre gli stessi identici problemi.
Cos'altro mi potresti suggerire?
Osiamo per conoscere e offrire anche ad altri una soluzione in più che possa funzionare.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao. Vai in C: ed elimina la cartella FRST. Elimina FRST dal desktop compresi i log che ha rilasciato. Riavvia il pc. Fai una pulizia con CCleaner del registro. Possiedi una pennetta formattata? Se sì, scarica nella pennetta questo file: Installa la versione adatta al tuo Sistema Operativo ( 32 bit oppure 64 bit ) http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/Inserisci la Pendrive nel Pc. Avvia il pc in Modalità provvisoria. (f8) ( non selezionare la Modalità provvisoria) Clicca su Ripristina il computer tra le opzioni disponibili (in alto) Seleziona la lingua Seleziona il tuo account Saranno ora disponibili le seguenti opzioni Commenta:Ripristino all'avvio / Startup Repair
Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt Seleziona Prompt Dei ComandiNel Prompt dei Comandi scrivi notepad e premi Invio. Si aprirà un file di testo Nel menu in alto clicca file e seleziona Apri. Cerca la lettera a cui è riferita la pennetta usb.Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta. Una volta identificata la lettera della pennetta:Nel Prompt dei comandi digita E:\frst64.exe dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.Clicca InvioIl tool si avvierà. Clicca Yes per accettare le condizioni di contratto. Premi su SCAN. A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXTPostalo qui. N.B: Se non trovi " Ripristina il computer" dovrai fare l'operazione con il cd d'installazione di Win 7 . Altra cosa: Visto che non voglio avere nessun tipo di problema, prima di queste indicazioni, mi faresti una grossa cortesia se disinstallassi completamente AVG.
|
|
Rank: Member
Iscritto dal : 9/11/2014
Posts: 16
|
Ho rimosso AVG ancora una volta ed ho fatto girare CCleaner. Quindi ho lanciato da F8, ripristino del computer ed ho eseguito il programma FRST.exe che mi hai indicato. Questo è il file generato su chiavetta FRST.zipTi allego anche l'immagine da registro della configurazione della chiave HKEY_LOCAL_MACHINE\SYSTEM\Select [URL=http://wikisend.com/download/504078/ dove pare che la configurazione di default è la 3 e l'ultima valida è la 4. e sono presenti nel registro oltre a currentcontrolset anche controlset001 002 003 004 Quale tra queste configurazioni viene utilizzata attualmente da SafeBoot? Forse si tratta di modificare nella chiave Select in modo che utilizzi a partire la chiave giusta e non quella ad esempio di default. E' possibile tentare visto appunto che come abbiamo avuto modo di appurare, selezionando ultima configurazione funzionante è partito in safemode?
|
|
|
Guest |
