PDA

Visualizza versione completa : [xp] worm rallenta tutto speranza di salvare dati?


top gun
09-08-2008, 07.10.03
una mia amica si è presa uno di quei meravigliosi worm in grado di rallentare talmente tanto il computer da renderlo inutilizzabile, il balordo gli ha disattivato l'antivirus e l'unica cosa che desidera è salvare le sue foto e qualche canzone. ha speranza di farlo? stavo pensando se c'era un antivirus che parte con il cd rom all'avvio in modo da tentare di eliminare il balordo. premetto a lei interessano solo le foto e qualche canzone, i protgrammi no. c'è qualche sistema?

Ludwig
09-08-2008, 09.13.45
entrare in modalità provvisoria?

cascavel
09-08-2008, 09.29.46
una mia amica si è presa uno di quei meravigliosi worm in grado di rallentare talmente tanto il computer da renderlo inutilizzabile, il balordo gli ha disattivato l'antivirus e l'unica cosa che desidera è salvare le sue foto e qualche canzone. ha speranza di farlo? stavo pensando se c'era un antivirus che parte con il cd rom all'avvio in modo da tentare di eliminare il balordo. premetto a lei interessano solo le foto e qualche canzone, i protgrammi no. c'è qualche sistema?
il problema della tua amica none' un semplice worm ma questo http://www.tiempolibresite.com/forum/lofiversion/index.php?t4000.html la confema dovresti averla appunto tentando di entrare in modalita' provvisoria. chiaramente si puo' risolvere:

scarica questo sul desktop http://download.bleepingcomputer.com/sUBs/Beagled.exe ora clicca su beagled.exe e segui le istruzioni, attendi che finisca la sua procedura e ti verra' richiesto di riavviare, riavvia.

al riavvio scarica Combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
salvalo sul desktop. Doppio click su combofix.exe, comparirà la seguente videata:
http://img.bleepingcomputer.com/combofix/en/disclaimer.jpg

prima di fare questa operazione esci dalla rete e spegni il tuo antivirus
premi 1, premi Invio e segui le indicazioni.
al termine, verrà creato un file log chiamato C:\ComboFix.txt.

la procedura e' molto rapida e funzionante,i dati non andranno persi e alla fine di tutto andranno reinstallati tutti i programmi di sicurezza, perche' bagle corrompe irrimediabilmente gli eseguibili di questi programmi...

AMIGA
09-08-2008, 10.44.49
Se vuoi fare una cosa veloce,ignorando Worm e compagnia bella,ritrovandoti un bel sistema pulito,come il primo giorno installato,fai così:

Usa un CD avviabile tipo UBCD4Win,vai a questo percorso :\WINDOWS\system32\config sposta il contenuto altrove.
Ripulita la cartella config ti sposti in questo percorso :\WINDOWS\repair ,prendi tutto il contenuto è lo copi nella cartella di sistema svuotata prima :\WINDOWS\system32\config.
fatto questo riavvia il PC è ti ritroverai un XP vergine come al primo avvio.
Se ti manca qualche driver,basta farli cercare,saranno trovati automaticamente senza alcun problema.

Con questo metodo tutto il registro exnovo ti permette di ripulire i virus,infatti sono vulnerabili perchè non attivi ne in uso.
Attenzione non installare driver o altro prima della pulizia.

Ricorda che i vecchi utenti e i loro dati personali,saranno sempre al solito posto C:\Documents and Settings\....

leofelix
09-08-2008, 13.48.53
ciao,
i consigli che ti hanno già dato sono tutti validi, certo il W32.Bagle è una brutta bestiaccia.
Per tornare alla tua seconda richiesta, sì, esistono dei CD avviabili con antivirus.

uno è l'Avira rescue CD

questa
http://dl.antivir.de/down/vdf/rescuecd/rescuecd.exe è la versione autoestraente (50 MB circa)
questa invece è l'immagine ISO
http://dl.antivir.de/down/vdf/rescuecd/rescuecd.iso

Nel caso anche i settori di avvio siano danneggiati puoi provare con

Avira boot-sector repair tool

http://dl.antivir.de/down/windows/bootwizard.exe ( 3,2 Kb)

pagina di riferimento:

http://www.avira.com/en/support/support_downloads.html

top gun
09-08-2008, 16.42.21
grazie mille dei consigli vedrò che posso fare. cmq mi piacerebbe provare tanto col sistema della modalità provvisoria ma penso sia impossibile farlo perchè cmq come li metto i programmi se con la modalità provvisoria mi disattiva i drive?

Aquax
09-08-2008, 16.47.47
Che programmi??
Se entri come amministratore in modalità provvisoria le penne usb te le riconosce, puoi salvare i tuoi documenti.

cascavel
09-08-2008, 17.21.11
grazie mille dei consigli vedrò che posso fare. cmq mi piacerebbe provare tanto col sistema della modalità provvisoria ma penso sia impossibile farlo perchè cmq come li metto i programmi se con la modalità provvisoria mi disattiva i drive?
se, come credo, c'e' un infezione da una variante di bagle accedere in modalita' provvisoria non e' possibile. il rootkit corrompe anche il safeboot... :wall:

Aquax
09-08-2008, 17.36.55
Anche secondo me.
La soluzione migliore è quella suggerita da AMIGA, utilizzare UBCD4WIN.
Puoi ripulire il sistema utilizzando gli antivirus di ubcd4win (aggiornali prima) ;)
Oppure lo puoi usare per salvare i tuoi dati, e poi formatti tutto per pulire completamente. ;)

AMIGA
10-08-2008, 01.30.11
Quanto suggerito da me è ottimo,perchè ti ritrovi un sistema leggerissimo,con molti programmi che continuano a funzionare,senza essere riinstallati,nessuna corruzione nel registro e negli utenti,perchè tutto ex-novo,con la possibilità di cancellare tutti i file infetti ormai non più offensivi,se non eseguiti da te cliccandoci sopra

Angels@reInHR
10-08-2008, 02.19.07
Se vuoi fare una cosa veloce,ignorando Worm e compagnia bella,ritrovandoti un bel sistema pulito,come il primo giorno installato,fai così:

Usa un CD avviabile tipo UBCD4Win,vai a questo percorso :\WINDOWS\system32\config sposta il contenuto altrove.
Ripulita la cartella config ti sposti in questo percorso :\WINDOWS\repair ,prendi tutto il contenuto è lo copi nella cartella di sistema svuotata prima :\WINDOWS\system32\config.
fatto questo riavvia il PC è ti ritroverai un XP vergine come al primo avvio.
Se ti manca qualche driver,basta farli cercare,saranno trovati automaticamente senza alcun problema.

Con questo metodo tutto il registro exnovo ti permette di ripulire i virus,infatti sono vulnerabili perchè non attivi ne in uso.
Attenzione non installare driver o altro prima della pulizia.

Ricorda che i vecchi utenti e i loro dati personali,saranno sempre al solito posto C:\Documents and Settings\....


Scusate l'intromissione. Questa procedura la posso usare anche per il mioCASO (http://forum.wintricks.it/showthread.php?t=136159) ?
Nel senso i dati e le impostazioni rimangono o si perdono ?
E una volta ripulito, posso tornare al vecchio windows o no ?
Grazie.

cascavel
10-08-2008, 02.38.54
Scusate l'intromissione. Questa procedura la posso usare anche per il mioCASO (http://forum.wintricks.it/showthread.php?t=136159) ?
Nel senso i dati e le impostazioni rimangono o si perdono ?
E una volta ripulito, posso tornare al vecchio windows o no ?
Grazie.
se una procedura di questo tipo puo' eliminare bagle, o una sua variante, da un sistema operativo allora puo' fare tutto.

p.s. lo scrivo senza ironia ma con molta curiosita'...

AMIGA
10-08-2008, 03.05.25
Scusate l'intromissione. Questa procedura la posso usare anche per il mioCASO (http://forum.wintricks.it/showthread.php?t=136159) ?
Nel senso i dati e le impostazioni rimangono o si perdono ?
E una volta ripulito, posso tornare al vecchio windows o no ?
Grazie.

Una volta ripulito il sistema si può rimettere il vecchio sistema,ricopiandio i file spostati da :\WINDOWS\system32\config,però bisogna ripulire il registro e gli utenti,pena la possibilità di riprendersi l'infezione.
In ogni caso conviene tenersi il nuovo,per ovvi motivi,tanto i prog che non fungono tipo Office li puoi installarli di sopra,i vari settaggi tipo salvataggi della cartella documenti,preferiti ed altri dati,basta andarli a prendere dai vecchi utenti,prima di cancellarli manualmente.

@cascavel
La procedura di questo tipo non elimina i bagle,forse non hai letto bene quello che ho scritto,serve ad entrare nei sistemi morti,o per velocizzare la manovra di pulitura,considerato che con questo sistema i virus non possono nascondersi,quindi basta una scopa ed una cariola.
Il sistema non funge se è un problema MBR,quando la partizione è inaccessibile,in quel caso bisogna prima sistemare la cosa con programmi specifici tipo quelli citati sopra.

@Angels
Questo sistema non è nocivo,non ha effetti collaterali,se non hai problemi Hardware,risolvi tranquillamente con questa procedura.

Per concludere posso dire,che con questo metodo si è sicuri al 200%100 che non ci siano chiavi nascoste nei registri o settaggi strani nel proprio utente,nessun antivirus ti può garantire tanto,sono 20 anni che mastico files.

cascavel
10-08-2008, 05.50.50
@AMIGA

ti assicuro che ho letto bene e ti confermo che nel mio post non facevo alcuna ironia. sono solo curioso di capire se puo' funzionare. a questo proposito ti allego un file di testo con le "aggiunte" che bagle fa al sistema operativo

AMIGA
10-08-2008, 09.14.51
@AMIGA

ti assicuro che ho letto bene e ti confermo che nel mio post non facevo alcuna ironia. sono solo curioso di capire se puo' funzionare. a questo proposito ti allego un file di testo con le "aggiunte" che bagle fa al sistema operativo

Una volta partito il neo sistema chiaramente qualche periferica non sarà vista ma non ci sono problemi tanto molti driver non sono ancora installati,fatta la pulizia con l'antivirus (io uso NOD32) aggiornato manualmente senza mai collegarsi ed annullando qualsiasi tentativo di installazione driver.
Quei file che dici tu sono inerti,li individui subito li puoi anche cancellare manualmente senza problemi perchè nel nuovo registro non esistono,non sono richiamati da nessuno.
Fatta la pulizia si installano i driver,senza metterli realmente,questi saranno ritrovati con la procedura di ricerca di windows.
Ho ripulito con questo sistema una bizzeffa di PC in pochi minuti,quel file di testo che mi hai elencato lo rinomini .bat aggiungendo qualche del e li metti tutti in una volta in cariola,i Registry values,Registry keys, UserProfile\Impostazioni locali\... UserProfile\Dati applicazion.. non ci sono più nel registro ex-novo e nel nuovo utente creato.

lellojo
25-08-2008, 09.44.24
Salve a tutti. Prima di tutto complimenti a tutti per il forum aggiornatissimi e sicuramente di un certo livello.

Sono Raffaele e piu o meno in questi giorni sto avendo lo stesso problema, nel senso che il pc da i numeri:

1. antivirus nn eseguibile e nn reinstallabile, come nn eseguibili sono i programmini tipo ccleaner ecc ecc.

2. non esiste piu la connessione di rete nel senso che, il segnale wireless e' ottimo, ma nel pannello connessioni di rete, nn c'e`piu niente.....tutto sparito, ne un'incona appunto nella cartella Connessioni di Rete, ne un'icona delle reti in basso a destra!!

3.Dopo qualche minuto mi si disattiva la scheda audio: innfatti il sonoro c'e' all'avvio di windows ma dopo alcuni minuti si disattiva la scheda audio e dice che e' impossibile riprodurre i suoni, canzoni ecc.

4. ho provato da subito rescuecd.exe facendo il boot da Cd, ma dopo la prima schermata, quando in pratica fa una prima analisi del sistema, lo schermo diventa nero ed in alto a sinistra mi esce il simbolo del pinguino linux.....dopodiche....niente rimane cosi in eterno.

5. oggi pomeriggio vorrei procedere con la soluzione di AMIGA, :\WINDOWS\system32\config. Ripulita la cartella config ti sposti in questo percorso :\WINDOWS\repair ,prendi tutto il contenuto è lo copi nella cartella di sistema svuotata prima :\WINDOWS\system32\config., la quale ad occhio mi sembra la piu facile (con tre passaggi), ma nella mia cartella WINDOWS, ho solo la cartella RESTORE e non REPAIR: e' la stessa cosa?¿?

6. Quando apro il mio Task Manager la CPU schizza al 100% senza avere programmi aperti e non utilizzando il mouse. Ho installato Securit Task Manager che dicono essere piu performante, ed in effetti risulta tutto com il Task Manager di Windows (ram, ecc ecc) tranne la CPU che quando sto fermo e non ho programmi aperti e' quasi allo 0% (come dovrebbe essere)....

7. sperando che il problema si possa risolvere senza formattare tutto.....perche' mi rimangono solo due settimane di lavoro per consegnare un progetto e soprattutto non ho tutti i setup dei programmi di grafica per lavorare Vi invio i miei piu cordiali saluti....esperando en vosotros!!!!

Hasta luego a todos.
Rafael

PS: Da 4 mesi sono in Spagna e aime', ho lasciato in Italia il CD originale di win XP pro: e' possibile riavere una connessione di rete ed il sound non avendo con me il mio CD di XPpro??

AMIGA
25-08-2008, 10.56.44
Probabilmente la cartella è stata rimossa o spostata,prova a fare una ricerca in C: digitando REPAIR,deve contenere questi files:

autoexec.nt
config.nt
default
DS_SAM
DS_SECURITY
DS_SOFTWARE
ntuser.dat
sam
secsetup.inf
security
setup.log
software
system.bak


Ricordo che devono rimpiazzare quelli in WINDOWS\system32\config
tutti i file vecchi della dir config devono essere spostati o eliminati.

lellojo
28-08-2008, 15.00.16
Probabilmente la cartella è stata rimossa o spostata,prova a fare una ricerca in C: digitando REPAIR,deve contenere questi files:

autoexec.nt
config.nt
default
DS_SAM
DS_SECURITY
DS_SOFTWARE
ntuser.dat
sam
secsetup.inf
security
setup.log
software
system.bak


Ricordo che devono rimpiazzare quelli in WINDOWS\system32\config
tutti i file vecchi della dir config devono essere spostati o eliminati.

il problema e' grave: nella cartella repair non c'e' il file system.....


si puo risolvere il probl diversamente???

ciao

roby89
28-08-2008, 20.11.32
Che sistema operativo hai?? al massimo te lo invio io...

AMIGA
28-08-2008, 21.36.46
il problema e' grave: nella cartella repair non c'e' il file system.....


si puo risolvere il probl diversamente???

ciao

Se hai il system.bak,basta rinominarlo,togliendo l'estensione .bak.
Comunque nella cartella Repair ci deve essere pure il file chiamato solo system,metti quello se presente.


@roby89
Non credo funzioni il file system di altri sistemi,il file potrebbe avere dati in comune con gli altri file che risiedono nella cartella Reapir.

lellojo
30-08-2008, 14.01.02
Se hai il system.bak,basta rinominarlo,togliendo l'estensione .bak.
Comunque nella cartella Repair ci deve essere pure il file chiamato solo system,metti quello se presente.


@roby89
Non credo funzioni il file system di altri sistemi,il file potrebbe avere dati in comune con gli altri file che risiedono nella cartella Reapir.

scusate se Vi rispondo sempre in ritardo, ma purtroppo il virus mi ha cancellato tutte le connessioni anche se ho sempre il segnale wireless al massimo.
Neppure UBCD4Win trova le connessioni. Avviando quest'ultimo e facendo una prima scansione con Avira (nn aggiornata) mi sono stati rilevati 45 trojan (tutti eliminati tranne uno che si ripresenta sempre).

Per AMIGA:
Nella cartella Repair purtroppo il file system non e' presente in nessuna forma...mi sembra incredibile ma non c'e'. Ed io non ho fatto nulla prima di leggere questa discussione.

Per @roby89:

Io ho un win XP pro SP2. Ho provato a reinstallare SP2 e Sp3...ma non mi fa eseguire niente, nessun programma.
Ho provato a farmi mandare i file mancanti (system di repair) da un mio amico dall'italia, perche ovviamente qui in spagna, o ci sono turchi o spagnoli...... :anger: ma nada....il sistema all'avvio non riconosce il file system (penso sia normale) e fa sempre il riavvio. Non funziona neppure in modalita provvisoria.
Adesso ho rimesso i file che avevo tagliato nella cartella Config ed il PC va come prima.

Secondo me il sistema di AMIGA e' il migliore, solo che.....mi trovo in una situazione disperata. Qui nessuno ha windows XP ITA!!!!!!!!
Non esistono altre soluzioni, a parte chiamare la Microsoft o la DELL e dirgli che il mio e' un SO originale, e magari che mi mandino loro dei file per ripristinare senza concellare tutto??

Cmq grazie a tutti per i consigli
Hasta luego

AMIGA
30-08-2008, 15.53.37
Potresti provare ad installare XP (uguale a quello del vecchio hd)su un'altro HD,prelevare i file della cartella repair o config,e trapiantarli nel vecchio HD.
I file dovrebbero essere uguali visto che l'harware è lo stesso,l'unica cosa differente è l'hd che non crea problemi.
Conviene staccare provvisoriamente il vecchio HD,ed al suo posto mettere un'altro HD di qualsiasi capacità.

_luciano_
04-09-2008, 13.52.18
scusatemi se mi intrometto...avrei un problemino con la procedura suggerita da amiga ... premetto che ho un portatile in prestito con windows xp ma che non posso assolutamente formattare perchè non è mio.
Detto questo, ho scaricato UBCD4WIN sono riuscito ad accedere a windows "virtualizzandolo" ... ho spostato tutti i file dalla cartella Windows\system32\config e li ho sostituiti con i file contenuti nella cartella Windows\repair .... questi sono i files che attualmente ho nella cartella ..\system32\config:
autoexec.nt
config.nt
default
DEFAULT.LOG
DS_SAM
DS_SECURITY
DS_SOFTWARE
ntuser.dat
sam
SAM.LOG
secsetup.inf
security
SECURITY.LOG
setup.log
software
SOFTWARE.LOG
system
SYSTEM.LOG

... il problema è che quando riavvio windows normalmente mi compare "lsass.exe errore, ecc." e poi il sistema si riavvia .... ho provato ad entrare in modalità provvisoria ma l'errore persiste.

in precedenza esistevano quattro account utente ma non so come risolvere questo problema ... qual'è il file che devo ripristinare?

grazie a tutti.
ciao

080907k
09-09-2008, 13.44.52
公司主要从事水景喷泉的研制开发喷泉 (http://www.ssyz.com)、设计生产、安装调试,城市景观规划、设计和建设,以及室内外环境绿化音乐喷泉 (http://www.ssyz.com)、美化、装饰等一体化服务。公司系飞利普照明特约OEM客户,音乐喷泉 (http://www.ssyz.com/pq/index.htm)与总装设计院、清华工美等多家企业建立了代理合作协议,音乐喷泉 (http://www.ssyz.com/pq/index.htm)拥有管道、铸造、精加工、电控柜制作、新产品试制车间、检测中心,在黑龙江、河北、音 乐喷泉 (http://www.ssyz.com/pq/index.htm)山西、陕西、江苏、甘肃等地设立了10个办事处