www.MegaLab.it

[Uomo_Senza_Sonno]

L'unica motivazione per cui ha diviso l'immagine del disco è che magari hai detto a norton ghost di troncare il file quando raggiunge la soglia dei 2 giga, nel caso l'immagine del disco sia maggiore di 4. Non vorrei sbagliare, ma il filesystem di win2000 è FAT32, e con questo filesystem non legge file più grandi di 4 giga.

Quindi, non credo che hai fatto errori con la creazione dell'immagine del disco.

Ti ringrazio per avermi informato della possibile presenza di rootkit all'esterno del sistema operativo, fatto che ne ero totalmente all'oscuro. Credo che però non sia il mio caso perché ho utilizzato un secondo HD da 40 GB sempre Maxtor e sempre del 2002. Ho utilizzato HDtune per verificare la presenza di cluster danneggiati su ambo i diski ma l'esito di hdtune è stato il medesimo su tutti e due ovvero tutti quadratini verdi.

La presenza di rootkit non la intuisci dai cluster danneggiati, la intuisci da malfunzionamenti a livello di sistema operativo (crash di sistema, blocchi, ecc ecc). Per fugare il dubbio, scarica ed esegui mbr.exe: lo salvi in C: e da esegui digiti mbr.exe -f (oppure da esegui digiti cmd, poi due volte cd e alla fine start mbr.exe -f); viene generato un log in C:\ chiamato mbr.log. Verifica che tutto sia ok, nel caso contrario, posta il log.

ho trovato molto utili ed interessanti i tuoi suggerimenti che presto cercherò di applicare. Per questo ti ringrazio molto

Figurati

[cangaceiro]

Per fugare il dubbio, scarica ed esegui mbr.exe: lo salvi in C: e da esegui digiti mbr.exe -f

Ho eseguito quanto sopra descritto, ovvero ho salvato il file sul desktop, poi l'ho trascinato sotto l'icona in C, poi da start=esegui= ho fatto copia ed incolla di mbr.exe -f ma mi dice impossibile trovare il file mbr.exe

[Uomo_Senza_Sonno]

Per fugare il dubbio, scarica ed esegui mbr.exe: lo salvi in C: e da esegui digiti mbr.exe -f

Ho eseguito quanto sopra descritto, ovvero ho salvato il file sul desktop, poi l'ho trascinato sotto l'icona in C, poi da start=esegui= ho fatto copia ed incolla di mbr.exe -f ma mi dice impossibile trovare il file mbr.exe

Se lo salvi sul desktop è ovvio che ti dia questo errore, se invece lo salvi in C:\ no... il desktop ha un altro percorso, ad esempio in XP ha questo percorso:

C:\Documents and Settings\nomeutente\Desktop

che è molto differente da

C:\

[cangaceiro]

Allora posto il log di combofix, il quale si è comportato come la prima volta che lo utilizzai.

Ovvero mi ha tolto due file, che credo non avevano nulla di pericoloso, con conseguenza che i cd che metto nel lettore non hanno più l'autostart.

Adesso provo a salvare l'exe direttamente in C e ti dico. Grazie ancora.

[cangaceiro]

ecco il log ma mi sembra che non dica niente di strano.

[Uomo_Senza_Sonno]

Ovvero mi ha tolto due file, che credo non avevano nulla di pericoloso, con conseguenza che i cd che metto nel lettore non hanno più l'autostart.

ecco il log ma mi sembra che non dica niente di strano.

Infatti, nei log non si evidenzia nulla di rilevante. Per quanto riguarda l'autoplay, bisogna solo reimpostare alcuni valori di registro, nulla di particolare.
Se vuoi di nuovo l'autoplay devi controllare nel registro due voci: la prima è NoDriveTypeAutoRun e devi verificare che abbia il valore 95 esadecimale;
la seconda, se è presente, è NoDriveAutoRun, e questa la devi eliminare.
Ultima cosa, verifica se il valore dell'autorun del cd è 1.

Esegui la ricerca nel registro di queste due voci e e reimposta i valori uno ad uno, ti disconnetti/connetti come utente e verifica se l'autoplay riparte. Se non riparte significa che ti è sfuggita qualche voce nel registro, per cui dovrai ripetere il procedimento.

[cangaceiro]

Dato che siamo in vena di log posto anche quello realizzato con Everest ultimate Edition.

Report.txt - 1.50MB

[cangaceiro]

Ho fatto in data 13-09-2010 su un floppy il "disco ripristino w2ksp4 registro di sistema" se utilizzo questo floppy non è meglio?

[Uomo_Senza_Sonno]

Ho fatto in data 13-09-2010 su un floppy il "disco ripristino w2ksp4 registro di sistema" se utilizzo questo floppy non è meglio?

Può essere meglio, l'importante è che non hai installato altri programmi in tutto questo periodo di tempo. Ma non ci perdi tanto tempo se fai un editing manuale, e la prossima volta sai dove andare a cercare

Per il resto, mi sta sorgendo un dubbio... e se fossero dei falsi positivi, quelli rilevati da mbam? Prova a caricare i files indicati dal log di mbam su http://www.virustotal.com e verifica quanti li rilevano infetti.

[cangaceiro]

Ultima cosa, verifica se il valore dell'autorun del cd è 1.

Ho trovato le due voci che tu mi hai segnalato e ad una ho apportato il valore di 95 esadecimale mentre l'altra voce l'ho tolta, ho disconnesso ma in autrun non parte. Non capisco da dove posso vedere se il valore di autorun del cd è 1. Grazie.

[Uomo_Senza_Sonno]

Controlla questa chiave per quanto riguarda il cd
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom

Vuoi vedere che anche in win2000 bisogna mettere 91, anche se nell'articolo segnalato da mamma microsoft indica 95? Esegui questa prova
Poi dai un'occhiata qua, troverai tutte le informazioni a riguardo

[cangaceiro]

Esaminati con virustotal:

c:\winnt\system\WINSPOOL.DRV
c:\winnt\Web\default.htt

Il sito ha confermato che non hanno niente di anomalo ma acidenti a combofix che mi ha fatto andare indietro come i gamberi!

Ho notato che in gestione periferiche c'è un punto interrogativo giallo che riporta la scirtta "Altre periferiche" con sotto una altra scritta che recita "Controller PCI Simple Communications" sai per favore a cosa può riferirsi e se è grave?

[cangaceiro]

Ho verificato il valore è 1 adesso provo a disconnettere.

[cangaceiro]

Ecco la caterva di errori che compare da Visualizzatore Eventi=Registro Applicazione


Tipo evento: Errore
Origine evento: ESENT
Categoria evento: Cache di pagina del database
ID evento: 405
Data: 04/10/2010
Ora: 8.19.56
Utente: N/D
Computer: PLUTO
Descrizione:
wuaueng.dll (848) Errore di checksum -1018 ((1:558 1:558) (0-8079) (0-28239)) delle pagine già lette. Ripristinare i database da backup precedenti.


Tipo evento: Errore
Origine evento: Avira AntiVir
Categoria evento: Avviso
ID evento: 4118
Data: 04/10/2010
Ora: 8.20.15
Utente: NT AUTHORITY\SYSTEM
Computer: PLUTO
Descrizione:
ECCEZIONE nel richiamo della funzione <Scan> per il file C:\WINNT\system32\WINTRUST.DLL. [ACCESS_VIOLATION Eccezione!! EIP = 0x1925384] Contattare Avira e inviare il file interessato!


Tipo evento: Errore
Origine evento: Userenv
Categoria evento: Nessuno
ID evento: 1000
Data: 04/10/2010
Ora: 13.34.26
Utente: NT AUTHORITY\SYSTEM
Computer: PLUTO
Descrizione:
Impossibile scaricare il file del Registro di sistema. Se si dispone di un profilo di roaming, le impostazioni non vengono replicate. Rivolgersi all'amministratore.

DETTAGLI - Accesso negato. , Build numero ((2195)).


Tipo evento: Errore
Origine evento: Userenv
Categoria evento: Nessuno
ID evento: 1000
Data: 04/10/2010
Ora: 14.01.41
Utente: NT AUTHORITY\SYSTEM
Computer: PLUTO
Descrizione:
Impossibile scaricare il file del Registro di sistema. Se si dispone di un profilo di roaming, le impostazioni non vengono replicate. Rivolgersi all'amministratore.

DETTAGLI - Accesso negato. , Build numero ((2195)).


Tipo evento: Errore
Origine evento: Userenv
Categoria evento: Nessuno
ID evento: 1000
Data: 04/10/2010
Ora: 14.54.03
Utente: NT AUTHORITY\SYSTEM
Computer: PLUTO
Descrizione:
Impossibile scaricare il file del Registro di sistema. Se si dispone di un profilo di roaming, le impostazioni non vengono replicate. Rivolgersi all'amministratore.

DETTAGLI - Accesso negato. , Build numero ((2195)).


Tipo evento: Errore
Origine evento: Avira AntiVir
Categoria evento: Avviso
ID evento: 4118
Data: 04/10/2010
Ora: 16.22.02
Utente: NT AUTHORITY\SYSTEM
Computer: PLUTO
Descrizione:
ECCEZIONE nel richiamo della funzione <Scan> per il file C:\Programmi\Mozilla Firefox\nspr4.dll. [ACCESS_VIOLATION Eccezione!! EIP = 0x18baf20] Contattare Avira e inviare il file interessato!


Tipo evento: Errore
Origine evento: Userenv
Categoria evento: Nessuno
ID evento: 1000
Data: 04/10/2010
Ora: 17.20.21
Utente: NT AUTHORITY\SYSTEM
Computer: PLUTO
Descrizione:
Impossibile scaricare il file del Registro di sistema. Se si dispone di un profilo di roaming, le impostazioni non vengono replicate. Rivolgersi all'amministratore.

DETTAGLI - Accesso negato. , Build numero ((2195)).


Tipo evento: Errore
Origine evento: Userenv
Categoria evento: Nessuno
ID evento: 1000
Data: 04/10/2010
Ora: 17.22.56
Utente: NT AUTHORITY\SYSTEM
Computer: PLUTO
Descrizione:
Impossibile scaricare il file del Registro di sistema. Se si dispone di un profilo di roaming, le impostazioni non vengono replicate. Rivolgersi all'amministratore.

DETTAGLI - Accesso negato. , Build numero ((2195)).


Tipo evento: Errore
Origine evento: Userenv
Categoria evento: Nessuno
ID evento: 1000
Data: 04/10/2010
Ora: 17.30.17
Utente: NT AUTHORITY\SYSTEM
Computer: PLUTO
Descrizione:
Impossibile scaricare il file del Registro di sistema. Se si dispone di un profilo di roaming, le impostazioni non vengono replicate. Rivolgersi all'amministratore.

DETTAGLI - Accesso negato. , Build numero ((2195)).

[Uomo_Senza_Sonno]

Ma tutti questi errori sono frutto delle modifiche fatte al registro o sono antecedenti? E poi, potresti spiegare meglio quanto hai segnalato?

Grazie

PS: adesso l'autorun funziona o ancora no?

[cangaceiro]

il registro non l'ho mai toccato a parte quando quel maledetto combofix mi ha tolto autorun che ancora non riparte.

Infatti questi errori partono da stamane verso le ore 8.15 fino alle ore 17.30.

tutta questa storia nasce dal fatto curioso che non riesco ad installare sugli stessi hardware che hanno lavorato per 8 anni windows Xp dal cd originale, mentre con il cd originale di windows 2000 il sistema operativo si installa anche se ci sono delle particolarità:

1. al mattino dei primi trenta minuti il sistema è instabbile con schermate blu e riavvii come se andasse via la corrente.
2. dopo circa 30 minuti diciamo a caldo il sistema si stabilizza windows 2k viene caricato e più o meno va avanti bene tutta la giornata, magari ci scappa una schermata blu.

[Uomo_Senza_Sonno]

Non sembrano errori critici per il sistema, cioè non mi sembra che ne compromettano il funzionamento o la stabilità. Errori di questo genere sono abbastanza frequenti per cui non starei tanto a preoccuparmi. La domanda però è questa: questi errori che evidenzi sono comparsi solo oggi oppure vengono fuori ogni giorno?

Se come dici tu il sistema si stabilizza "a caldo", perché non provare ad utilizzare la distibuzione live di GNU/linux, che non richiede installazioni e nel caso ti evidenzia un problema hardware? A questo punto non saprei come indirizzarti, perché i controlli sono stati fatti tutti.

Altra cosa, se con il tuo cd di xp originale non c'è verso di installare il sistema operativo, prova con un altro cd di xp... e ci metti il tuo seriale. Magari il cd è danneggiato e non ti permette il proseguimento dell'installazione.

[cangaceiro]

Se come dici tu il sistema si stabilizza "a caldo", perché non provare ad utilizzare la distibuzione live di GNU/linux, che non richiede installazioni e nel caso ti evidenzia un problema hardware? A questo punto non saprei come indirizzarti, perché i controlli sono stati fatti tutti.

Sì è una delle cose che voglio fare stamane sperando di non essere troppo imbranato a farlo, magari se hai tempo mi dai qualche dritta. Secondo te quale distro è meglio per il caso mio? Pensavo ad UBUNTU ma tu sei molto più erudito di me in merito.

La domanda però è questa: questi errori che evidenzi sono comparsi solo oggi oppure vengono fuori ogni giorno?

Ciò che avviene ogni santa mattina è: al primo avvio il pc fa schermata blù, per cui lo devo resettare. Questo ambaradan accendi-reset per circa 15-30 minuti. Tant'è che ho capito che mi merita alla prima schermata blu tenerlo fermo per almeno 20 minuti, fare reset e poi arriva importo. Durante la giornata il pc è "abbastanza" stabile, dico abbastanza perché un paio di reset nell'arco di 12-16 ore ci scappano.

Ma ciò che è strano è che non mi è più possibile installare Xp su questi stessi hardware dove Xp ha lavorato per 8 anni! Ho rpovato da due lettori, con due HD diversi e con ben 3 cd originali di Xp. Evidente che il problema è hardware a sto punto ma devo capire dove. Windows 2000 riesce con i problemi suddetti ad installarsi. Leggendo su internet ho scoperto che Xp è un sistema operativo che riprende molto dalle basi di Window 2k, ma Xp è nato per evidenziare ed esaltare la multimedialità. Per queste ragioni in fase di installazione Xp va a compiere delle verifiche che poi nell'uso quotidiano del pc vengono toccate raramente. Sulle base di queste considerazioni non mi sento di escludere a priori ne scheda audio ne la scheda video.

Per il momento ho cambiato alimentatore ed HD, tutto a costo zero perché presi dall'ufficio. Adesso il mio obbiettivo sarebbe di capire quale hardware fa sorgere il problema.

Grazie infinite come al solito.

[cangaceiro]

L'unica motivazione per cui ha diviso l'immagine del disco è che magari hai detto a norton ghost di troncare il file quando raggiunge la soglia dei 2 giga, nel caso l'immagine del disco sia maggiore di 4. Non vorrei sbagliare, ma il filesystem di win2000 è FAT32, e con questo filesystem non legge file più grandi di 4 giga.

Vero nelle opzioni di Norton Ghost ho trovato dove dice che la dimensione del file massima è 2 GB, però ho controllato i file system sia di C che di D e per ambedue il file system è NTFS.

[Uomo_Senza_Sonno]

Secondo te quale distro è meglio per il caso mio? Pensavo ad UBUNTU

Ubuntu è una distribuzione versatile, si adatta alle esigenze di molti e per questo è in larga diffusione. Probabilmente dopo che lo proverai lo installerai anche , perché ne sarai soddisfatto.