Virus mi ha tolto l'attivazione di Windows XP e impedisce accesso a SO

[Cydmm]

Ciao a tutti,

ho beccato un virus che mi ha cancellato l'attivazione di Windows XP e non mi accetta la password di accesso alla rete locale mostrando un messaggio di errore circa il fatto che dovrei attivare la mia copia di Windows...ed io ho una copia legale con licenza OEM!!

Ho fatto la scansione e la pulizia col Rescue Disk di Kaspersky ed in modalità provvisoria con MBAM....Internet non va quindi ho scollegato il cavo Ethernet o bloccavo la connessione agli altri PC della rete.

Mi ha trovato delle infezioni...vi posto il log della pulizia fatta con MBAM (http://www.mediafire.com/download.php?jjvgtdwzfdz) ed il Log dello scan fatto dopo MBAM con SystemScan (http://www.mediafire.com/download.php?myttmbu0gdm)...ho provato a riavviare il PC ma mi dà lo stesso problema.

Come posso fare a risolvere?

Grazie infinite

[dariopc]

Forse non l'ho trovato io ma il nome del virus non è chiaro,
hai già mandato l'eseguibile infetto al laboratorio di Kaspersky ?



.

[paperino00]

Ciao, prova a usare il programma nel link meglio se in modalità provvisoria, non fare caso agli avvisi che da il programma, è sicuro al 100%

PROGRAMMA

Facci sapere poi

[Ueb72]

Mi sono imbattuto nello stesso problema su un computer di un amico.
La prima operazione che ho fatto è fare una scansione dell'HD collegandolo ad un altro pc tramite un box usb. Al riavvio il Pc continuava a darmi lo stesso problema, sia in modalità DOS e safe-mode. Cercando sulla rete ho trovato la soluzione che mi ha risolto il problema senza la formattazione del disco (e la successiva reistallazione di dati e programmi di cui come spesso succede, si è perso i CD di installazione).

Ho seguito queste istruzioni:

Avvia in console di ripristino, rinomina gli hive file attuali e copia al
loro posto quelli contenuti nella cartella repair. Il dettaglio dei comandi
in console di ripristino:

cd \windows\system32\config
ren system system.bak
ren software software.bak
ren sam sam.bak
ren security security.bak
ren default default.bak

copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default

A questo punto puoi avviare il pc.

Lancia regedit, portati su hklm, menu file, "carica hive", l'hive da
caricare sara' software.bak , come nome metti quel che vuoi, ad esempio
pippo, quindi in hklm\pippo\Microsoft\WindowsNT\CurrentVersion\Winl ogon

Verifica se esiste il valore Userinit (nel mio caso un worm aveva cambiato il volore generando il loop continuo)
Dovrebbe essere un valore stringa e contenere
C:\Windows\System32\userinit.exe,

Se non esiste aggiungilo. (a me è bastate cambiare il valore)

Menu File, "scarica hive".
Avvia la console di ripristino, cancella gli hive che hai copiato prima e
rinomini gli hive originali.
Il dettaglio dei comandi in console di ripristino:

cd \windows\system32\config

del system
del software
del sam
del security
del default

ren system.bak system
ren software.bak software
ren sam.bak sam
ren security.bak security
ren default.bak default

Riavvii e tutto dovrebbe funzionare. (A me ha funzionato)
Se ancora il risultato non fosse quello sperato prova a ripristinare
userinit.exe da \windows\ServicePackFiles, \WINDOWS\system32\dllcache o dal
cd (in ordine di preferenza)

Ho eseguito l'attivazione per telefono (quella con connessione internet non funzionava) ed il sistema è ripartito. Per ristabilire la connessione internet ho lanciato l'utility winsockfix ed ho risolto il problema.

Poi ho aggiornato l'antivirus, spy-bot ed eseguito scansioni per ripulire il disco.

fine.