PDA

Visualizza versione completa : Avvio irregolare Windows Vista (Whistler Bootkit)



eMuleXtreme
20-07-10, 19: 02
Da come riportato nel titolo ho questo problema mi si è verificato ieri..Praticamente quando accendo windows vista non mi fà vedere la schermata di caricamento e il pc non carica più niente..Strano cosa può essere??? Però se faccio il boot dal disco recovery mi parte la schermata di caricamento e tutto quanto, Non è normale che un pc si comporti così, può essere che mi si entrato qualche virus???Ve lo chiedo perchè la seconda volta che sono entrato non mi caricava neache avast,allora cosa ho fatto sono entrato in modalità provvisoria e ho disinstallato avast e installato al avira..Bhò adesso non sò che fare cosa mi consigliate di fare...Ahn cmq il pc c'è l'ho da 2\3 mesi quindi devo ancora ripristinarlo.
Grz per le risposte..

Andy86
21-07-10, 16: 56
Innanzitutto prima di trarre conclusioni bisogna avere qualcosa di più concreto tra le mani.

In sostanza è il sistema che non parte, dopo i messaggi del bios: buio totale. Giusto?

Hai detto però che dal cd puoi fare il boot, hai fatto / puoi fare anche il ripristino dell'installazione?

Hai detto che puoi entrare in modalità provvisoria, potresti anche guardare negli eventi di sistema "strumenti amministrazione -> registro eventi" se è segnalato qualche errore particolare.

Poi potresti guardare in "C:\Windows\Minidump" se è presente qualche file nominato con la data e l'ora del blocco.

Infine potresti fare un controllo del disco "Proprietà -> manutenzione -> scandisk", e magari una scansione antivirus, avast o avira che sia, non è quello il problema, basta che fai una scansione, in modalità provvisoria va benissimo, magari a rete staccata.

:bai

eMuleXtreme
21-07-10, 19: 40
Ok adesso provo e ti farò sapere :bai
Senti ma a te è già successo????

Andy86
21-07-10, 19: 55
Che c'è, non ti fidi e vuoi le referenze? :ghgh

Problemi simili ne ho avuti e risolti (materialmente) più d'uno, e non solo su pc miei, ma finché non capiamo esattamente cos'ha il tuo... posso dire se ne ho avuto uno identico? :nono :hap

Il resto dell'esperienza l'ho maturata tutta su internet, cominciando dal farmi aiutare come te, poi leggendo pagine e pagine di problemi risolti e infine applicandomi e ingenerandomi per capire perché il mio pc non funzionava (quando non funzionava :hap).

Certo, ci vuole anche un po' di passione e curiosità... ma non serve l'ombrello, il cappottino rosso o la cartella bella... :lol:

:bai

eMuleXtreme
21-07-10, 23: 17
Ahn cmq mi fido tranquillo :)....bhè cmq ho provato come hai fatto te modalità prov. scandisk e registro eventi e praticamente c'erano degli eventi col punnto interrogativo all'interno di un cerchietto rosso li ho eliminati..Poi ho fatto una scansione con l'antivirus avira però c'è una minaccia che non me la fà togliere è quello di malware shareazaAKlite, allora ho provato ad andare nella cartella ad eliminarlo manualmente ma ninete da fare un file fantasma????Poi ho fatto una scansione spyware e mi ha beccato una decina di malware e trojan,li ho eliminati...Poi ho riavviato il pc a vedere se si era risolto ed invece niente...Ripeto col cd boot mi funziona e subito dopo una volta quando ho avuto accesso al desktop mi ha fatto 2 crash schermo blu...Bhò che fare...Se faccio il ripristino mio papà mi sgrida.Quindi bhò non sò più che fare.Ho sbagliato eliminando gli eventi??risp.

Andy86
22-07-10, 20: 15
:ghgh gli eventi di sistema sono l'elenco di tutto quello che è successo nel tuo pc. Eliminarli non serve a niente, tutt'alpiù dovevi riportarli qui sul forum, per vedere se ci dicevano l'origine del tuo problema. Comunque, un po' di chiarezza: ripristino dell'installazione non significa formattazione, nel disco di installazione dovrebbe esserci un opzione per ripristinare i file di sistema senza cancellare il resto del disco. Ed ora che sappiamo che il problema è qualche ospite indesiderato che probabilmente ha fatto un pò di merenda col tuo disco...

eMuleXtreme
23-07-10, 02: 29
E già...e adesso come faccio a toglierlo???O meglio ad eliminare quell'utente che ad ogni avvio di windows mi si crasha il pc schermata blu con scritto file mancante KLD_SHELL ecc..Vuol dire se ho capito bene che il mio computer non è comandato da me ma bensì da un'altro quindi ogni volta mi mangia o toglie un file giusto???Se è così ecco perchè avevo l'unità D piena e adesso non ho più niente mi ha mangiato un casino di file:(:(..Aiuto...Quando sirisolve il problema ti offrirò una coca cola :bgg2

Andy86
23-07-10, 15: 24
Grazie, ma la coca cola non mi piace. :hap Comunque, per rimuovere i virus dai un'occhiata alle discussioni in rilievo nella sezione security. Per ripristinare i file di sistema cancellati si prendono dal cd, facendo il ripristino. :bai

eMuleXtreme
23-07-10, 22: 39
okah non lo sapevo scusa...Cmq adesso guardo grz..Ah aspè ti ricordo che adesso se ti compri un computer con S.O preinstallato non ti danno il cd di ripristino purtroppo... che faccio??Senza il cd di ripristino..

Andy86
23-07-10, 23: 27
All'inizio non avevi detto che facevi il boot dal disco? :boh comunque di solito i pc senza cd sono i net senza lettore, e di solito hanno l'immagine del disco nascosta da qualche parte e richiamabile tramite il menù boot, come per la modalita provvisoria.

eMuleXtreme
24-07-10, 01: 05
Si ho fatto il boot dal CD backup recovery ma non ha niente dentro solo i file per far partire la schermata di windows iniziale.... L'unico modo e di reinstallare formattare perchè il ripristino non me lo esegue...Strano si vede che il virus mi ha bloccato anche il ripristino :cry3:cry3..Bhò non sò...

LadyHawke
24-07-10, 02: 23
Vediamo di fare qualche verifica:

Prima di tutto comprimi la cartella \windows\Minidump e allega il file

Secondo, vorrei tu facessi una scansione online con questo (http://quickscan.bitdefender.com/): è molto veloce, lascia installare plugin se lo richiede; se trova qualcosa clicca su View log, salva il file di testo poi allegalo
Terzo, che non ci stà male, una scansione con Combofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) (avvialo con il tasto destro-->Esegui come Amministratore) e allega il log anche di questo (C:\combofix.txt)

:bai

eMuleXtreme
24-07-10, 13: 53
eccoli:hap. speriamo che si risolverà sto problema..

LadyHawke
24-07-10, 16: 04
Bingo! ... Almeno spero :ohoh

- Scarica Bootkit Remover (http://www.esagelab.com/files/bootkit_remover.rar) e BTKR_Runbox (http://jeanmimigab.perso.neuf.fr/BTKR_RunBox.exe) e decomprimili sul desktop.
- Disabilita l'UAC (per velocizzare utilizza questo (http://www.winability.com/download/TweakUAC.exe) tool per disabilitarlo temporaneamente e poi riattivarlo)
- Avvia BTKR_RunBox.exe e scegli l'opzione 3 (Fix dell'MBR con Rootkit Remover) Conferma con "1" e invio
- Il PC si riavvia, poi rilancia BTKR_Runbox.exe selezionando adesso l'opzione 1 (Scan con Bootkit Remover)
- Se tutto ha funzionato correttamente apparirà OK [DOS/Win32 Boot code found]

Non abbiamo finito: ma per adesso preoccupiamoci del virus nell'MBR.
Facci sapere i risultati

:bai

eMuleXtreme
24-07-10, 17: 04
Niente da fare boot 32 not found and fail..Cmq per essere più chiaro con le parole ti posto il log..:bgg2

LadyHawke
24-07-10, 17: 23
Proviamo così:
Copia remover.exe contenuto nel rar di Bootkit Remover in C:\
Start-->esegui-->digita remover.exe fix c: e invio
Riavvia il pc e rilancia BTKR_Runbox.exe con l'opzione 1

Se non funziona ancora dovrai riavviare Combofix e fargli installare la Console di Ripristino (poi lo puoi terminare senza fargli rifare lo scan); come avviare la Console lo trovi qui (http://www.collectiontricks.it/forum/showthread.php?t=827); una volta avviata dovrai digitare il comando bootrec.exe /fixmbr (c'è uno spazio fra exe e /fixmbr)

:bai

eMuleXtreme
24-07-10, 17: 54
Funziona dopo aver inserito la stringa nella console di ripristino..Grz mille Lady Grz Grz....

LadyHawke
24-07-10, 21: 57
Ehi ehi... ti avevo detto che non avevamo ancora finito :eye, facciamo le cose per bene :sisi

1) Una passata con la scansione approfondita di Malwarebytes (http://www.malwarebytes.org/mbam-download.php) aggiornato: alla fine pulsante Visualizza Risultati e poi con il tasto in basso a sinistra Elimini ciò che trova (così sistemiamo anche eventuali voci di Registro)
2) Vai su 10 semplici regole per non vanificare le operazioni di Rimozione (http://www.collectiontricks.it/forum/showthread.php?t=316) ed esegui i passi 2 e 8

Non ci hai detto comunque se è tutto tornato normale :ohoh


:bai

eMuleXtreme
25-07-10, 20: 45
Ho già fatto una scansione con malware bites ed anche asquare free ho eliminato tutto.....Grz mille tutto è tornato normale:bgg2:bgg2
:bai