Forse ho il SASSER

[gexxy]

SAlve,
vi spiego subito il mio problema:
ho una rete domestica composta di due pc, (ora vi sto scrivendo dal pc sano),uno dei due pc pensoche si sia preso il virus sasser.
Il pc che dovrebbe essere infetto dal sasser non aveva installati i service pack perchè in fase di windows update ricevevo sempre un'errore che mi bloccava il download della nuova versione di windows update, così non riuscivo proprio ad iniziare il download.Ho provato anche a scaricare il service pack2 e ad installarlo, ma durante la fase di installazione ricevevo un'altro errore che bloccava l'installazione.Il windows è regolare, ho la licenza e il cd originale.
Comunque , tornando al sasser, ora avviando il pc dopo aver fatto tutti i riconoscimenti delle periferiche , mi compare la schermata nera, la freccetta del mouse e subito dopo, per qualche frazione di secondo un errore con la classica finestra rossa, con scritto errore di Isass.exe, a quel punto il pc si riavvia senza che iopossa fare niente.
Ho cercato soluzioni per rimuovere questo virus ma non riesco ad usarle perchè non riesco nemmeno ad entrare in modalità provvisoria, mi succede la stessa cosa di quando avvio normalmete, IL PC si RIAVVIA.
Come posso risolvere il problema?
L'altro pc in rete è costantemente aggiornato.
Grazie per l'attenzione ,aspetto una vostra risposta

[superbubba]

Premesso che a mio avviso sarebbe opportuno spostare la discussione nel forum di sicurezza, potresti far girare sul tuo pc questo piccolo tool per rilevare ed eliminare Sasser e simili.

avast! Virus Cleaner
http://files.avast.com/files/eng/aswclnr.exe

[gexxy]

E come lo faccio avviare?
Riesco ad andare in modalità dos se metto il cd di xp all'avvio, seguo il procedimento per il ripristino e vado in dos.
Da dos leggo in a, cerco di eseguire fxsasser ma non lo fa.Altri prog che funzionano solo da dos?

[superbubba]

Se parti con un dischetto di dos non puoi fare molto dal momento che non puoi leggere le partizioni NTFS.

Io staccherei l'hdd dal computer malcapitato e lo collegherei a quello dal quale stai scrivendo. Una volta avviato Windows controllalo con un antivirus.

isass.exe è un processo che si attiva quando il sistema è affetto da un trojan, un antivirus dovrebbe poterlo rimuovere anche se il sistema su di esso installato non è avviato.

[gexxy]

Ho fatto qualcosa:
ho collegato l'hd all'altro pc, ho fatto una scansione con fxsasser, stinger ecc ecc.....sono stati puliti 200 e dispari file,non so quali e infetti da cosa, stinger non lo specifica nel file log, o io ho sbagliato le impostazioni del software.
Ora ho collegato l'hd al suo pc, ho avviato e all'avvio mi dice che il file in \windows\system\config\system è rovinato, posso andare nella consolle di xp e aggiustarlo.......
come si fa?
sono andato in consolle, ho fatto chkdsk \r, l'ho fatto lavorare per una ventina di minuti, quando ha finito ho riavviato e mi ridà lo stesso errore in windows\.........
Dovrei aver eliminato il sasser, ma ora mi si è creato quest'altro problema, come lo risolvo senza formattare?
Grazie
Ciao

[superbubba]

Si tratta piu' che altro della traduzione in italiano della guida tratta dal sito della Microsoft relativo ai seguenti problemi (307545):
Windows XP non puo' avviarsi perche' i seguenti files non sono stati trovati o sono rovinati:
\WINDOWS\SYSTEM32\CONFIG\SYSTEM
oppure
\WINDOWS\SYSTEM32\CONFIG\SOFTWARE

Si presuppone che il sistema operativo sia installato su C, altrimenti sostituire a C:\ la lettera dove si trova il sistema operativo (es. D:\)

PARTE 1

Dal bios impostare l'avvio del computer da cd, quindi avviarlo con il cd di xp inserito. Nella videata delle scelte selezionare R per avviare la CONSOLE DI RIPRISTINO. Si tratta praticamente di qualcosa di simile al vecchi dos. Da li' e' possibile lavorare sul hard disk.

Come prima cosa creare una cartella che verra' chiamata TMP con il seguente comando:

MD TMP

Ora in questa cartella vanno copiati 5 files con i seguenti comandi:

copy c:\windows\system32\config\system c:\windows\tmp\system.bak
copy c:\windows\system32\config\software c:\windows\tmp\software.bak
copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copy c:\windows\system32\config\security c:\windows\tmp\security.bak
copy c:\windows\system32\config\default c:\windows\tmp\default.bak

Una volta copiati si procede alla loro cancellazione nella cartella in cui risiedono con i seguenti comandi:

delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default

Ora al loro posto si copiano altri 5 files presi da un' altra cartella con i seguenti comandi:

copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default

E cosi' la prima parte e' terminata. Ora basta riavviare il computer impartendo il comando EXIT e togliere il cd. Il sistema e' in grado di avviarsi.

PARTE 2

Una volta entrati (si entrera' comme amministratori, quindi va ricordata la password data durante l'installazione) aprire ESPLORA RISORSE, scegliere STRUMENTI e quindi OPZIONI CARTELLA. cliccare su VISUALIZZAZIONE e selezionare VISUALIZZA CARTELLE E FILE NASCOSTI e diselezionare NASCONDI I FILE PROTETTI DI SISTEMA. Dare OK per confermare.

Selezionare il disco su dove e' installato il sistema operativo.
Tra le tante cartelle ce ne e' una che interessa SYSTEM VOLUME INFORMATION.

Cliccarci sopra per visualizzare l'elenco delle cartelle in essa contenuta.
(in caso di errore o meglio impossibilita' e vederne il contenuto, fare riferimento al seguente link dove spiega come sbloccarne l'accesso: 309531)

Al suo interno troveremo diverse cartelle tipo : restore{87BD3667-3246-476B-923F-F86E30B3E7F8}

Selezionarne una che NON ABBIA LA DATA E L'ORARIO DI QUEL MOMENTO.
Al suo interno ci sono una o piu' cartelle che iniziano con RP. Questi sono i punti di ripristino.

La guida ora dice di aprirne una qualsiasi, io ho utilizzato quella creata piu' di recente.
Cliccarci sopra per aprirla ed individuare la cartella chiamata SNAPSHOT.
Da questa cartella copiare nella cartella tmp mediante trascinamento con il tasto destro del mouse e quindi copia i seguenti files:

_REGISTRY_USER_.DEFAULT
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_MACHINE_SAM

Ora possiamo chiudere tutti e riavviare il computer.
Avremo bisogno ancora della CONSOLE DI RIPRISTINO, quindi riavvieremo dal cd.

PARTE 3

Cancelliamo i seguenti files con i seguenti comandi:

del c:\windows\system32\config\sam
del c:\windows\system32\config\security
del c:\windows\system32\config\software
del c:\windows\system32\config\default
del c:\windows\system32\config\system

e copiamo questi altri con questi comandi:

copy c:\windows\tmp\_registry_machine_software c:\windows\system32\config\software
copy c:\windows\tmp\_registry_machine_system c:\windows\system32\config\system
copy c:\windows\tmp\_registry_machine_sam c:\windows\system32\config\sam
copy c:\windows\tmp\_registry_machine_security c:\windows\system32\config\security
copy c:\windows\tmp\_registry_user_.default c:\windows\system32\config\default

Siamo arrivati alla fine. Spegnamo il computer con il comando EXIT e riavviamo senza cd.

PARTE 4

Clicchiamo su
START
TUTTI I PROGRAMMI
ACCESSORI
UTILITA' DI SISTEMA
e quindi su RIPRISTINO CONFIGURAZIONE DI SISTEMA.
Richiamare l'ultima configurazione funzionante e tutto riprendera' a funzionare.

[gexxy]

Grazie per l'aiuto,
ho seguito il tuo consiglio, anche se nn fino alla fineperchè io il ripristino di sistema l'ho disabilitato e quindi la terza parte non l'avrei potuta eseguire comunque.
Ora mi manca da risolvere il problema di windows update.
Quando voglio aggiornare mi da questo errore:
[IMG][/IMG]

e se installo gli aggiornamenti all'infuori di windows update ho quest'altro errore:
[IMG][/IMG]

Ho provato a mettere il service pack2 all'infuori di windows update e non va, mi si blocca l'installazione e mi riporta il sistema a prima dell'installaione.
Ciao

[superbubba]

Domanda a bruciapelo, la tua copia di Windows è originale?

Caso positivo. hai almeno la Service Pack 1?

Sincerità massima, altrimenti sarà difficile poterti aiutare.

[gexxy]

Il wndows è originale,ho sia service pack 1 che 2 come file sul pc, ma quando provo ad installarli mi da l'errore che ho descritto prima!