Olimpo Informatico

[lele_66]

Ciao,
oggi al riavvio del pc mi è apparso il messaggio che non veniva trovato un file (mi sembra di ricordare windows/ini... ma non ne sono sicuro) e chiedeva il disco di riavvio.
Installato il disco di riavvio, questo mi dà soltanto l'opzione di reinstallare il sistema operativo (che vorrei evitare).
Tornando indietro e riavviando il pc (sony vaio k100 series), questo parte ma il desktop appare nero con la freccia del mouse visibile e che si muove normalmente ma non si vede nessuna icona, lo start etc...
Non ho aperto mail strane o allegati che non conoscevo.

Versione del sistema: windows xp
Service pack installati: tutti
Firewall: nessuno
Antivirus: AntiVir
interventi recenti e/o collegabili alla comparsa del problema:nessuno

Grazie se qualcuno riesce ad aiutarmi

[horus]

Così è un po' vago, se il sistema ti ha detto che mancava un file probabilmente è vero, non sapendo quale bisogna andare a tentativi.

In modalità provvisoria parte? Se il mouse funziona vuol dire che i driver relativi sono stati caricati e quindi si blocca più avanti, magari può esserci qualcosa che da fastidio oppure il sistema ha rispristinato una versione del file mancante non compatibile con qualche aggiornamento o service pack successivo.

Quando c'è lo schermo nero se fai ctrl+alt+canc succede qualcosa? Ci sono dei processi attivi e/o bloccati?

[lele_66]

Ho provato anche in modalità provvisoria, mi appaiono le scritte in alto di modalità provvisoria ma sempre il desktop nero e la freccia del mouse sempre normale.
Se faccio ctrl+alt+canc non mi appare la finestra del task manager

[horus]

Se tu sapessi quale era il file si potrebbe provare a rimetterlo da console di ripristino, se non lo ricordi ho paura che la soluzione sia ripristinare i file di sistema potenzialmente danneggiati, dovrai reinstallare patch e simili ma dati e programmi dovrebbero rimanere intatti.

Avviando dal cd di windows premi invio per avviare l'installazione, dopo dovrebbe rilevare la precedente installazione e chiederti se installarne una nuova o riparare quella esistente, scegli di riparare quella esistente.

[r.nervi]

a naso è una cosa che sta succedendo da una settimana un po a macchia di leopardo. E' un virus o parente che passa qualsiasi antivirus, Panda compreso, e mina la shell di windows. In pratica ci si ritrova con al massimo l'immagine del desktop. Se si cerca di avviare copia di explorer, sia da mod normale che da mod provvisoria, non si avvia. A volte nessun altro soft riesce a partire. Non ho ancora capito con precisione cossa viene toccato. Soluzione: reinstallare sopra il sistema operativo, il registry è integro e viene utilizzato, nel 99% dei casi nn si perde nessuna applicazione, niente. In 1 caso mi ha bloccato i lnk di lancio dal desktop e/o dall'elenco programmi -> salvare riformatare e reinstallare.
Ce un exe che sale in memoria, che probailmente prende il postgo della shell (nome dmhelpserver.exe, 98k circa; dir c:\temp\piena di dll dai nom virus da 98kcirca, una30na di copie).
Nella reinstalalzione viene dato un errore di "com+ coinstance failed" su tutti i sistemi che hanno avuto questo problema, ma poi sale tutto....

[horus]

Mah, il problema è stato segnalato già un mese e mezzo fa comunque la tua potrebbe essere una soluzione. L'unica cosa è che se reinstalli sopra senza sapere cosa togliere c'è il rischio che non risolvi il problema. Se l'exe virale rimane al suo posto e riutilizzi il registro ci sono buone probabilità che il virus riparta durante un riavvio dell'installazione bloccandola e metà col risultato di incasinare ancora di più.
Sarebbe molto utile se, visto che hai macchine malate a disposizione, riuscissi a scoprire cosa viene toccato in maniera da fare un intervento mirato per la rimozione.

[r.nervi]

eh lo so ma sono utte macchine in operatività e non le posso tenere. me ne hanno porrtato una in questo instante, che forse ho per una decina di giorni. Si, sono dell'idea di ricercare cura mirata....
cosa comune che ho notato:
la presenza di questi files c:\wutemp (dir) e arvxc.exe

[horus]

Peccato.

La cartella dovrebbe essere correlata al Windows Update, il file non so, il fatto di non trovare nulla su di lui in effetti è sospetto (se fosse un programma sarebbe noto). Hai per caso guardato se in qualche modo parte automaticamente?

[ioSOLOio]

successo anche ad un pc che ho avuto in mano io oggi...
aveva diversi file di log corrotti..

il "proprietario/utente" mi dice che in avvio gli ha segnalato un problema per un file Vxdmm32 o qualcosa di simile che era corrotto e non utilizzabile..


Se si usa il pc intensivamente, consiglio poi sempre di utilizzare un programma per creare una copia del sistema e dei programmi installati in modo da poter, in caso di necessità, rimettere velocemente a posto il pc.

[r.nervi]

non è nel registro, non è nello startup
viene modificata la shell
ho un indizo nel momento della reinstallazione : "com+ oc_complete_installation ..\csetuputil.cpp riga 2105 impossibile creare istanza IShellLink della coclasse" .
I soft AV lo vedono, lo strappano via, danno notifica e poi il sistema è cotto, credo che si tiri via dei pezzi di shell

[horus]

IShellLink è un'interfaccia per gestire i collegamenti, non credo che sia facilmente riparabile, se cambio un file poi ce ne saranno altri che non trovano dei metodi ecc...
A questo punto mi sento di ritornare sui miei passi e consigliare:
1. backup dati utente
2. format
3. ripristino immagine o installazione sistema operativo
4. ripristino dati utente
5. riconfigurazione

Quando dovevo intervenire su un pc in genere mi ponevo un limite di 1 ora, se in quel tempo non ero riuscito ad identificare con certezza la strada per risolvere allora procedevo come descritto sopra.

P.S.: con che nome viene visto dagli AV? Magari hanno informazioni aggiuntive rispetto a me.

[r.nervi]

al momento senza fare backup dati utente e reinstallando sopra 9 casi su 10 viene rimesso il sistema in regime. Probabilmente sono ripristinati i files corrotti della shell.
Tipo scansione: Auto-Protect Scansione
Evento: Minaccia trovata.
Minaccia: Trojan Horse
File: C:\Documents and Settings\xxxx\Documenti\mhxaulvp.exe
Posizione: Quarantena
Computer: ****
Utente: ****
Azione intrapresa: Quarantena riuscito : Accesso negato
Data rilevazione: giovedì 6 aprile 2006 9.41.44
questo oggi ma su pc che è forse stato salvato in tempo, tradomani e sabato ne so d+ nel pc certamente spaccarti da lui, dato che cmq vedo poi i logs di AV
nella dir c:\temp arrivano un mare di dll dal nome xuayetq.dll di 96kb, riconosciute come virus (questo dopo la reinstallazione)
spesso i lnk del menu start non si riescono a rigenerare (dopo reinstall)
un delirio....

[r.nervi]

la reinstallazione prima leva i files di sistema di win e poi li rimette freschi dal cd....

[horus]

In effetti se ad essere danneggiato è un file di sistema la reinstallazione è sicuramente risolutiva.

[r.nervi]

eh mi sa di si. non ho trovato niente a riguardo, ho cercato 1 bel po....
l'unica accortezza è di usare lo stesso cd-seriale di installazione, questo per tutte le belle cose WGA, WPA etc etc....sigh

[horus]

Come diceva ioSOLOio (e come si è già detto in altri messaggi sul forum) per il futuro conviene pensarci prima e predisporre un'immagine del sistema operativo pulito da ripristinare in caso di bisogno.

[r.nervi]

in ambito aziendale è di prassi, ma in ambito home avete idea della velocità del movimento nel pc ? sarebbe da fare 1 dvd all'ora...

[horus]

Io a casa la faccio giusto una volta al mese, forse meno. I programmi non li cambio così spesso, mentre i dati sono su un altro hd. Questo però è un altro discorso.

Sarebbe interessante a questo punto sapere da lele_66 se ha risolto e come.

[r.nervi]

[r.nervi]

http://securityresponse.symantec.com/avcenter/venc/data/trojan.horse.html