[Troian] Sheur2.utb

[Rocoat82]

Salve.
Mi trovo a dover risolvere questo problema a distanza.. dico a distanza perché il PC infetto non è il mio, ma di mio zio e si trova a 320Km di distanza.

Ieri sera ha notato che un Troian Sheur2 gli ha infettato il file C:\windows\system32\userinit.exe e adesso non riesce più ad accedere a Windows XP. Si avvia il pc e quando arriva alla schermata degli utenti, anche se tenta di accedere ad uno qualsiasi di questi, viene ributtato fuori immediatamente. Inoltre non riesce nemmeno con la modalità provvisoria!

Sto cercando in rete una soluzione, il problema è che quelle che ho trovato danno per scontato che si possa accedere al Desktop.

Qualcuno sa di qualche LiveCD, a parte Linux, che possa essere abbastanza user-friendly da utilizzare?

Grazie

[Deifobe]

provato a ripristinare il pc a uno stato precedente?
si trattasse del file in sè sarebbe meno complicato.. credo che si tratti del richiamo nel registro..
provo a fare una ricerca sull'infezione

[Deifobe]

mah.. su Sheur.utb trovo solo questo.. quindi resto i dubbio se sia il file a mancare o che sia stata mal modificata la voce nel registro.. Quindi ti posto una risposta che contempli entrambe le soluzioni.. Raccomandagli di leggerla per bene...

1) prova a fargli fare un ripristino.

2) se necesario, fagli usare questa guida:
microsoft: Ripristino di un Registro di sistema danneggiato che impedisce l'avvio di Windows XP
http://support.microsoft.com/kb/307545 (questa ripristina la voce nel registro, se è quella ad essere stata danneggiata )


e prima di tutto, fagli salvare i dati con questa procedura:

deve scaricare kaspersky rescue disk (trova qualche info nella pagina).

deve masterizzare l'iso su cd
entrare nel bios, cambiare l'ordine di boot per avviare da CD
inserire il cd e una pen drive e avviare il pc
partirà kaspersky rescue disk con la ricerca di manacce e cose varie... non ci interessa.. deve chiudere la finestra
in basso a sx c'è l'iconcina "K" di kasperky - cliccarci sopra
selezionare "file manager"
nella finestra che si apre, nel pannello a sinistra, cliccare su "discs"
comparirà l'unità c:\
da questo momento in poi è possibile seguire quello che è indicato sul sito microsoft che ti ho linkato sopra... (la data del punto di ripristino, già che ci sei, deve essere qualche giorno più vecchio....) o salvare i dati


3) nel caso in cui si tratti del file, invece, da quella utility, potrebbe anche verificarlo. se manca, allora dovrebbe procurarsene uno dello stesso SO e versione e rimetterlo a suo posto. Dovrebbe essere sempre possibile, credo, vedere le unità usb.. quindi il file lo potrebbe copiare da li'..

ciao

[Rocoat82]

La leggerò io, visto che non riesce ad accedere ad internet.. nn carica il desktop e quando si logga lo disconnette in automatico ritornando al login. Il ripristino non funziona.

Grazie per la dettagliata risposta.. ti faccio sapere ad andare a sera se ho risolto qualcosa.

[Rocoat82]

se necesario, fagli usare questa guida: microsoft: Ripristino di un Registro di sistema danneggiato che impedisce l'avvio di Windows XP

Il problema che abbiamo notato è che il cd di ripristino (ORIGINALE) del PC Olidata, chiede la password per l'utente Administrator e sia a premere INVIO sia a mettere quella di Administrator, il prompt dice che la password è errata!

Siamo a piedi.. non si può eliminare il file da una LiveCD?

Adesso provo con Knoppix 5.

[Rocoat82]

Comunque anche questo Kaspersky rescue CD non sembra male come idea.
Vedo se riesce a procurarsi il cd il qualche modo, ma volevo chiederti una cosa in merito a quanto scrivi:

da questo momento in poi è possibile seguire quello che è indicato sul sito microsoft che ti ho linkato sopra... (la data del punto di ripristino, già che ci sei, deve essere qualche giorno più vecchio....) o salvare i dati

Allora significa che o posso salvarmi i file che mi interessano sulla chiavetta USB o utilizzare la procedura dell'articolo di Microsoft, come se fosse una console di emergenza?

E per quanto riguarda il punto 3), a lui non manca un file, perché non da alcun messaggio di errore come quelli specificati nell'articolo.

[Deifobe]

ciao,

si, quel cd ti da la possibilità di vedere il contenuto dell'HD del pc come se stessi in...risorse del computer, praticamente.. ed hai accesso a tutti i file (anche quelli di sistema)

raccomandagli di copiare (click con il tasto destro) i file da una cartella all'altra e di non sovrascrivere nulla. Se necessario, prendesse nota di quello che sposta/copia/rinomina.. In questo modo, sarà sempre possibile anche ripristinare l'attuale situazione. La defaul, se vedi, porta un punto (default.---)

si, se insieme al boot da cd inserisci una pen usb, con kaspersky si vedrà la pen (o comunque, al momento è stato sempre possibile... non si sa mai...)

se la pen viene inserita dopo il boot, invece, non la vede.. (o io non ci sono riuscita, tutto è possibile )

quando termina, deve uscire da quella console con il cd ancora inserito... il pc si spegnerà da solo. Per riavviare il pc dal SO, poi, deve avviare il pc ed estrarre il vano CD non appena avvia (e il boot sarà quello da pc..)

spero di essere stata chiara....

dei

[Rocoat82]

Avviso Evitare di utilizzare la procedura descritta in questo articolo se l'installazione del sistema operativo è stata effettuata a cura di un OEM

Forse, visto che il PC è un Olidata venduto con S.O. già installato, mi sa che si incorre in questo problema citato nell'avviso!

Visto che non eravamo sicuri se procedere o meno, abbiamo provato a fare la scansione del drive con Kaspersky Rescue Disk, ma non abbiamo risolto.

Uff.. ma in rete non c'è proprio una mazza su questo Troian SHeur2.utb.

Ho trovato una live per recuperare la password di Windows, cosi magari scopro qual'è la vera password per Administrator, anche se mi sembra strano che in Windows avviato normalmente ci sono 3 account (tipo pippo,pluto e minni-tutti e 3 administrator) e in modalità di ripristino ci sono Administrator (senza password) e pippo.


editato
dei

[Rocoat82]

E' riuscito a far partire il CD di ripristino che aveva e ha fatto il ripristino per ben due volte, solo che ha detto che non ha risolto nulla perché non riesce a trovare dei file sul CD. Non è che è perché la versione del CD di recovery è quella relativa all'installazione originale del sistema e adesso col SP3 è necessario avere un CD aggiornato?