www.MegaLab.it

da **crazy.cat** » dom ago 26, 2007 4:50 pm

giovel ha scritto:Fatto questo, il pc non partiva in alcuna modalità (nemmeno quella provvisoria): schermata blu troppo veloce, non riesco a leggere cosa c'è scritto.

Blocca il riavvio automatico
http://www.MegaLab.it/2315
così almeno vediamo l'errore della schermata blu.

da **giovel** » dom ago 26, 2007 5:21 pm

Ciao, angeli custodi!
La scansione con a-squared è finita.

Allego i log di:
- avenger
- a-squared
- HijackThis

così forse potete capirci qualcosa (per me non sono tanto comprensibili...).

Ho anche bloccato il riavvio automatico (grazie alle tue istruzioni, crazy.cat) e questo è l'errore che compare:

---
A problem has been detected and Windows has been shut down to prevent damage to your computer.

If this is the first time you have this stop error screen, restart
your computer. If this screen appears again follow these steps:

Run a system disgnostic utility supplied by your hardware manufacturer. In particular, run a memory check, and check for faulty or mismatched memory. Try changing video adapters.

Disable or remove any newly installed hardware or drivers. Disable or remove ane newly installed software. If you need to use a safe mode
to remove or disable components, restart your computer and press F-8 to
select advanced startup options, and then select safe mode.

Technical information:
*** STOP: 0x0000007F (0x0000000D, 0x00000000, 0x00000000, 0x00000000)

---

Incrocio le dita sperando che possiate aiutarmi ancora...
Grazie mille davvero per il vs. supporto.

da **crazy.cat** » dom ago 26, 2007 5:50 pm

giovel ha scritto:*** STOP: 0x0000007F (0x0000000D, 0x00000000, 0x00000000, 0x00000000)

Brutto errore
http://support.microsoft.com/kb/137539/it
potrebbe esserci un problema hardware, anche se sembra strano che si sia verificato in corrispondenza del bagle....

Ma se cancelli
C:\WINDOWS\System32\drivers\hidr.exe
si ricrea?
Nella stessa cartella c'è qualche file .sys con data di creazione recente?

da **giovel** » dom ago 26, 2007 6:23 pm

Ciao, grazie per la risposta.

Accidenti, è una cosa grave allora. Tempo fa si era rotto l'hard disk e me lo hanno cambiato.
Anche allora faceva più o meno così: tentava l'avvio e poi si inchiodava.

Solo che mi sembra strano che si sia rotto di nuovo. Anche se gli Acer..

L'unica cosa che ho installato di recente sono i driver della scheda video (aggiornati dal sito del produttore - Intel Extreme Graphics 2) e i driver del nuovo monitor esterno (belinea)

Ho cancellato il file C:\WINDOWS\System32\drivers\hidr.exe (che si era ricreato) e ho cancellato anche il file srosa.sys
Però, a differenza di stamattina, non riesco a cancellare dal registro la chiave "legacy_srosa": dice "Impossibile eliminare legacy_srosa. Errore durante l'eliminazione della chiave.
Non so come mai si sono ricreati questi file, che avevo tolto correttamente...

Ho controllato, non ci sono file .sys recenti.

Cavolo, secondo te devo riformattare? Vorrei proprio evitarlo....

da **crazy.cat** » dom ago 26, 2007 6:31 pm

giovel ha scritto:Anche se gli Acer....

Lasciamo perdere proprio gli acer.....

Non penso sia un problema di hard disk, al limite della ram.

Adesso i file sono spariti?
se riavvii si ricreano?
Il pc parte normalmente?
La chiave di registro c'è ancora dopo un riavvio?

Fare assistenza a distanza è difficile, se avessi il pc sotto mano il virus sarebbe morto da un pezzo.

da **giovel** » lun ago 27, 2007 7:41 am

Ciao!
Stamattina ho acceso e si è avviato normalmente (senza bisogno di scegliere una modalità di avvio).

Tra i processi, ci sono sempre due hidr.exe.
Nel registro, c'è sempre la chiave "legacy_srose", che non riesco a cancellare.

Ho fatto un ultimo tentativo con Gmer e The Avenger: non è cambiato niente. Credo che l'unica cosa da fare è portare il pc dove l'ho acquistato per l'assistenza.

Nella scansione di Gmer, ho notato che viene evidenziato in rosso solo uno dei due processi hidr.exe: ieri, la prima volta che ho eseguito la scansione, me li segnalava entrambi.

Ho inserito lo script e avviato Avenger: al riavvio, solito problema. Si inchioda e devo "avviare nell'ultima modalità funzionante di windows". E tutto da capo...

Riflettevo su un'altra cosa: quando ieri mattina finalmente ero riuscita a far avviare il pc dal cd MegaLab, non sono riuscita a disattivare il ripristino della configurazione del sistema (che era una cosa da fare subito, prima di procedere con la "pulizia" del pc). Quindi la prima volta che ho eliminato i file infetti e ripulito il registro, la configurazione era attiva.
Sono riuscita a disattivarla solo quando ho riavviato e il pc è ripartito normalmente. Non so se questo può avere causato i problemi.

A me pare che si sia incasinato quando ho riattivato alcuni servizi e aggiornato il registro. Possibile?

In ogni caso, grazie a tutti di cuore per il vs. aiuto: senza di voi non so che cosa avrei fatto! Almeno il pc ora si avvia e, nonostante abbia i backup giornalieri, riesco a recuperare alcuni dati importanti che non avevo salvato.

Chiamo l'assistenza e vi faccio sapere.

da **giovel** » mar ago 28, 2007 6:16 pm

Ciao a tutti!

Il pc funziona!!!! I tecnici sono riusciti a debellare Bagle e a sistemare i vari danni che quel maledetto virus aveva causato al pc.

Sono davvero molto contenta.

Ringrazio nuovamente crazy.cat e Riverside per il preziosissimo aiuto.

Approfitto per chiedere un'ultima cosa: potrebbe essere stato un file mp3 a causare quel delirio oppure solo ed esclusivamente un .exe può contenere Bagle?

da **crazy.cat** » mar ago 28, 2007 6:18 pm

Negli mp3 non risulta, exe, bat, com , js, scr, macro sono i veicoli che portano il virus di solito.

Non ti hanno detto come hanno risolto?

da **giovel** » mar ago 28, 2007 6:27 pm

Ah ok, grazie.

Sul desktop ho trovato due sw: crueit.exe e TrendMicro Rootkitbuster.exe. Potrebbero avere utilizzato queste applicazione per ripulire il virus.

In più mi hanno detto che il registro era danneggiato e che questo causava i problemi di avvio e il non funzionamento della scheda di rete wireless: mi hanno detto di avere sistemato le chiavi danneggiate (ma non so come abbiano fatto).

Comunque siccome domani devo ricontattarli perché, all'avvio del pc, devo avviare manualmente la connessione wireless premendo il relativo bottoncino sul computer: prima partiva in automatico. Chiedo come devo fare per far si che parta automaticamente e mi faccio dare qualche altra informazione su che cosa hanno fatto per sistemare il pc. Poi naturalmente vi faccio sapere.

www.MegaLab.it

Virus (Bagle?): il pc non si avvia

Chi c’è in linea