Impossibile trovare il disco...

**joker75** · 22-10-2008, 01:47

Salve a tutti,

Ho un problema: Ho acceso il PC ed è partito un aggiornamento della Microsoft (almeno sembrava un messaggio originale della microsoft). Risultato: è stata ripristinata la configuraione di sistema iniziale (quella originale) , tutti i programmi istallati in seguito sono svaniti:
non riesco ad accedere ai dati su "C", non riesco ad utilizzare il task manager ( un messaggio di errore mi dice che è stato disattivato dall'amministratore)
E' come utilizzare un account user senza i diritti di amministratore;
. Il disco C risulta pieno, ma non riesco ad accedere a tutti i dati.

Quando cerco di accedere ai dati su C compare questo messaggo di errore:
Btwdins.exe - Disco non presente
Impossibile trovare il disco nell'unità. Inserire un disco nell'unità \Device\Harddisk1\DR3

Ho avviato in mod provvisoria e questo messaggio compare ogni 10 secondi, indipendentemente da quello che faccio.

la finestra ha la possibilità di annullare, riprovare e continuare ma nessuno serve a far scomparire del tutto l'errore ma solo a modificare il messaggio interno che cambia dalla dicitura scritta prima in \Device\Harddisk2\DR4 poi \Device\Harddisk3\DR5 poi \Device\Harddisk4\DR6 per poi sparire e riapparire di nuovo dopo una decina di secondi.

Può trattarsi di un virus?
Spero di essere stato chiaro nella mia descrizione ma soprattutto spero che possiate aiutarmi

grazie mille

Qui di seguito ho postato illog di hijacthis:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21.46.17, on 20/10/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\drivers\btwdins.exe
K:\docONE\Antivirus Vari\Hijacthi 2.0\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-it10.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-it10.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-it10.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\system32\drivers\btwdins.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\hpdtlk02.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programmi\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

**Deifobe** · 22-10-2008, 09:22

Ti posto la procedura.. dammi qualche minuto

Apri il registro (start => esegui => digita regedit e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => "esporta" => salva la copia del registro in c:\

Poi segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Clicca su "winlogon" una sola volta e individua, nella finestra a destra
"Shell"="Explorer.exe %WINDIR%\system32\drivers\btwdins.exe

clicca 2 volte su "shell" e, nella finestra che si apre, cancella solo la parte %WINDIR%\system32\drivers\btwdins.exe

e dai l'ok

Quindi quello che deve restare è:
Nome = shell -----> Valore = Explorer.exe

Premi F5, chiudi il registro e riavvia il sistema

scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "unselect all", spunta le scansioni "recent file" e "registry run keys" e clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

**joker75** · 23-10-2008, 21:33

Scusa se rispondo solo adesso, madurante il giorno lavoro, inoltre visto il problema che ti ho sottoposto per consultare il forum la sera devo usare il pc e la connessione di un vicino diun amico. Cmq appena arrivo a casa metto in pratica quanto mi hai suggerito!!!

grazie fin d'ora per l'interessamento!

**joker75** · 25-10-2008, 19:39

VVoVe: ( Start-esegui-regedit) Non riesco ad entrare nel registro di sistema, un messaggio di errore mi dice che il registro è stato disattivato dall'amministratore!

Ho notato che anche se sul prompt dos digito c: mi indirizza sempre in:

C:\Documents and settings\ administrator.linus.000>

Linus2 è il nome che ho dato al pc

Se digito d: al contrario mi fa entrare, così come nell'unita dvd o in F:, memoria di massa esterna.

**Deifobe** · 25-10-2008, 22:16

1) scarica ed esegui questo file http://www.sendmefile.com/00654588 (non vedrai assolutamente nulla)
2) posta un log di hjt completo (quello postato si ferma alle voci in RUN e non va bene)
3) mi posti anche il rapporto di systemscan richiesto?

grazie

**joker75** · 26-10-2008, 18:54

Ecco il log di Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17.34.12, on 26/10/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.exe
c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\drivers\btwdins.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 8.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-it10.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-it10.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-it10.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-it10.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-it10.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-it10.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mysoftwarechoice.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\system32\drivers\btwdins.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\hpdtlk02.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programmi\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Sunkist2k] C:\Programmi\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [regcmdcons] c:\hp\bin\cloaker.exe c:\hp\bin\cmdcons.cmd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 8.exe
O4 - HKLM\..\Run: [btwdins.exe] C:\WINDOWS\system32\drivers\btwdins.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\ PCHButton.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: SOOODUQO - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1.000\IMPOST~1\Temp\SOOODUQO.ex e

**joker75** · 26-10-2008, 19:12

Ed ecoo il link per il report di System Scan:

http://www.savefile.com/files/1860231

**Deifobe** · 26-10-2008, 20:41

Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\system32\drivers\btwdins.exe
O4 - HKLM\..\Run: [btwdins.exe] C:\WINDOWS\system32\drivers\btwdins.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

elimina i file:
C:\w2t4h8w4e9b1.exe
C:\WINDOWS\system32\drivers\btwdins.exe

Entra nel registro e modifica:
1) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="Explorer.exe %WINDIR%\system32\drivers\btwdins.exe"

come già detto, clicca su Shell e, nella finestra che si apre, lascia solo "explorer.exe"

2) vai in HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
"EnableDCOM"="N"

Clicca su EnableDCOM e metti Y al posto della N

3) vai in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\

nella parte a destra troverai
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

settale a 0 (clicchi su ciascuna voce 2 volte e modifichi il dato)

posta un nuovo systemscan

**joker75** · 28-10-2008, 14:59

Ok grazie per i suggerimeti, stasera vedo di eseguire il tutto. Poi ti faccio sapere!!

**joker75** · 01-11-2008, 19:05

Ho fatto quello che mi ha detto, solo che non ho trovato questo file da eliminare:

C:\WINDOWS\system32\drivers\btwdins.exe

Inoltre in <shell> ho trovato solo "explorer.exe", e nient'altro.

Ecco il report di sistem scan:

http://www.savefile.com/files/1868015

Discussione: Impossibile trovare il disco...

Strumenti discussione

Ricerca discussione

Visualizza

Impossibile trovare il disco...Help???

Permessi di invio