Bagle e la modalità provvisoria [era:Cattivi consigli]

[bassbow40]

Gentili,
in questi giorni sono stato assillato da "virus" uno ha infettatto malamente me e ho dovuto "riformattarmi" con paracetamolo e antibiotico, altri hanno infettato il mio pc trojan.downloader.Win32.Worm.Bagle. con un'estenzione variabile alla fine
(KY, ZLA, OU, ecc).
Vari tentativi con scansioni online, le quali evidenziavano il problema ma non potevano risolverlo...
Per farla breve ho seguito la guida "come rinuovere un virus dal proprio pc" dal sito"http://geniv.forumcommunity.net/?t=4504159": azz!

1 Disattivato ripristino configurazione di sistema
2 Avvio in modalità provvisoria, tentato, e si, qui sta il problema. Io non sapevo che il tasto f-bloc fosse inserito di default e quindi di default disattivati i tasti F.
Quindi non riuscendo a entrare, col tasto f8 in modalità provvisoria ho optato per il secondo suggerimento
"Se per qualsiasi motivo l'operazione non avviene (modalità provvisoria tramite tasto f8) è possibile eseguirla anche in questo modo.
Avviate il computer normalmente e quando il sistema operativo è stato caricato eseguite queste operazioni:

1) Cliccate su Start selezionate nel menù di avvio Esegui
2) Nella finestra che compare digitate msconfig e premete il pulsante OK
3) Nella form che comparirà selezionate la linguetta BOOT.INI e spuntate l'opzione / SAFEBOOT
4) Riavviate il sistema il quale ripartirà in modalità provvisoria"

Ho eseguito come un'automa queste indicazioni (ero già in preda al virus), solo che il mio pc si è rifiutato di di entrare in una qualsiasi delle varie modalità, o meglio ci provava caricava qualcosa poi si interrompeva e ritornava alla schermata con le opzioni di modalità provvissoria... questo ripetuto n volte.
Oggi ho vinto, pare, la mia battaglia con i virus, i miei fisici, e quelli informatici.
Per quelli informatici ho agito così:
Ho installato un nuovo HDD con sistema operativo e ho avviato con questo in modalità provissoria ed eseguito diverse scansioni online sull'HDD infetto. Virus intercettati e distrutti e problema risolto. NO!
Il "vecchio" HDD ex infetto non vuole saperne di riavviarsi, si inchioda sempre alla schermata delle opzioni della modalità provvissoria come un bambino goloso avanti la vetrina della pasticceria più fornita sulla faccia della terra.
Spero di essere stato chiaro nella descrizione del problema.
Vi chiedo, è possibile ripristinare in qualche modo l'HDD ormai pulito?

[Deifobe]

appena l'occhio e' caduto su boot.ini ho subito capito.. mi dispiace..
E' il peggiore dei consigli per cho ha il bagle e non ha ripristinato prima la modalita' provvisoria..! E il pc resta fermo nel limbo di un'impostazione data obbligatoriamente e l'impossibilita' di accedervi (e' il registro che non lo permette)

[bassbow40]

Grazie per la risposta.
Ma ciò significa che è una situazione compromessa irrimediabilmente?
Ero contento perchè ero riuscito ad eliminare i virus...
Mi conviene salvare quello che serve e formattare tutto?

[Deifobe]

credo sia da eliminare qualsiasi tentativo di accesso "diretto".
non so se dalla console di ripristino e possibile ripristinare quell'impostazione...

.... forse (ribadisco però, non l'ho mai usato per una situazione come la tua) ci sarebbe il comando fixboot c: Eventualmente, attendi altri pareri... fixboot scrive un nuovo settore di avvio, non so se è indicato...

[bassbow40]

Al momento ho impotato l'HDD sanato come sleave e un altro vecchio HDD con S.O. come master. Così riesco ad agire sull Hdd sanato per eventuali Backup. Ogni tentativo di un suo ripristino mi costringe a invertire la posizione degli Hdd, quindi aspetterò qualche altro suggerimento prima di provare.
In ogni caso potresti essere più precisa nella tua idea?
(scc sono un dilettante e ho avuto la febbre)
Grazie per la tua disponibilità.

[Habanero]

Esegui alla lettera le mie istruzioni dopo esserti scaricato il file safeboot.zip da qui:
http://www.savefile.com/files/1439654

1) Fai il boot dall'HD col sistema funzionante, collega quello non più avviabile come slave
2) apri regedit seleziona l'hive HKEY_LOCAL_MACHINE (la voce diventa evidenziata in blu)
3) Menu File->Carica hive... Sfoglia l'HD del sistema danneggiato e vai in
\windows\system32\config\
Seleziona il file SYSTEM
4) A questo punto ti verrà chiesto il nome da assegnare all'hive che viene montata all'interno del registro.
Assegnale il nome "x". E' essenziale che tu le assegni esattamente quel nome (solo la lettera x, senza virgolette ovviamente).
5) a questo punto sotto HKEY_LOCAL_MACHINE/x/ ti troverai il sottoalbero SYSTEM dell'HD corrotto
6) ora fai doppio click sul file safeboot.reg contenuto nello zip che hai scaricato e aggiungilo al registro
7) quando hai finito devi scaricare l'hive "x". Seleziona la x presente sotto HKEY_LOCAL_MACHINE e poi File->Scarica hive...

Ora il tuo HD corrotto dovrebbe contenere le voci di registro per partire in safe mode.

A questo punto lascio la parola a Deifobe.

[bassbow40]

Grazie per l'intervento.
Ovviamente ho solo un tentativo per riuscire, e io non sono molto avvezzo...
quindi chiedo conferma per i punti in cui non sono sicuro di avere capito:
alla fine del punto 3 "Seleziona il file SYSTEM..." seleziona significa soltanto seleziona, quindi un solo click

al punto 4 "A questo punto ti verrà chiesto il nome da assegnare all'hive ..." quindi dopo avere selezionato (semplice click) il file system?

Al Punto 6 "ora fai doppio click sul file safeboot.reg contenuto nell zip che hai scaricato e aggiungilo al registro" quale registro e come?
Spero OK il resto
Scusa se queste perplessità ti semberanno esagerate ma non credo di potere infastidire a lungo con il mio problema e non vorrei creare altri casini.
Grazie

[Habanero]

al punto 3) intendo che devi caricare il file SYSTEM, quindi lo selezioni e poi clicchi sul pulsante apri. Mi raccomando, devi agire sull'HD collegato come slave. Il file SYSTEM deve essere quello del sistema non funzionante non quello del sistema con cui stai operando.

subito dopo ti comparirà una nuova finestra per la richiesta del punto 4).

Punto 6). Avrai già scaricato il file safeboot.zip e ne avrai estratto il file safeboot.reg salvandolo sul desktop. Facendo doppio click sulla sua icona verrà aggiunto al registro. L'aggiunta avverrà proprio sulla sezione che hai importato dal registro del sistema non funzionante.
Dal tuo punto di vista è sufficiente che fai doppio click sull'icona e confermi l'operazione alla successiva domanda di inserimento nel registro.

[bassbow40]

Fatto fino al punto sette.
L'operazione finisce qui o devo fare qualche altra cosa?
Grazie

[Habanero]

gia che ci sei sempre con gli HD come prima...
da risorse del computer apri l'hd slave contenente il sistema non funzionante, e con il blocco note apri il file \boot.ini presente nella radice del disco (deve essere abilitata la visualizzazione dei file nascosti)


verifica che sia presente la stringa
/safeboot:minimal
alla fine della riga che indica il sistema da caricare.
Ad esempio:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Professional" /noexecute=optin /fastdetect /SAFEBOOT:minimal

Se la stringa /safeboot:minimal non è presente aggiungila e salva il file.

A questo punto spegni, collega l'hd corrotto come master, riavvia e incrocia le dita. Se tutto è ok il tuo sistema dovrebbe riavviarsi in modalità provvisoria.