Su un HP con windows media edition (mi pare) XP SP3 (in teoria), con
AV aggiornato (Norman Security Suite, l'ho configurato io) ed un uso
regolare di CCleaner, mi dicono che, in seguito a riavvio del PC (da
Start causa blocco di Firefox), non si apre quasi nulla.
Al doppio click appare l'errore "applicazione non trovata" ; col tasto
destro, esegui con, c'è sempre "C:\windows\system32\rundll32.exe".
Hanno già provato a far girare Argente Registry Cleaner, non parte
(neanche in mod. provvisoria).
Gli ho fatto scaricare il Norman Malware Cleaner ed esce l'errore "non
trovo nsak.sys" e non parte.
Però su internet va...

E' + probabile sia il registro sputtanato (e quindi gli dico di
reinstallare Windows), oppure c'è da preoccuparsi sia un rootkit e
vado di trafila CD di avvio con Avira & C. ?

grazie 1000,
Gabriele

ps: il PC in oggetto è saturo di giochi, giochini ed mp3 scaricati da
p2p con Cabos.

On Mon, 8 Feb 2010 09:45:39 -0800 (PST), Gabriele - OneNET
<infoTS> wrote:


>E' + probabile sia il registro sputtanato (e quindi gli dico di
>reinstallare Windows), oppure c'è da preoccuparsi sia un rootkit e
>vado di trafila CD di avvio con Avira & C. ?

hai gia' provato con il ripristino configurazione di sistema al giorno
prima del fattaccio?

On 8 Feb, 22:44, Gianluca Lombardi <stoi> wrote:
> On Mon, 8 Feb 2010 09:45:39 -0800 (PST), Gabriele - OneNET
>
> <inf> wrote:
> >E' + probabile sia il registro sputtanato (e quindi gli dico di
> >reinstallare Windows), oppure c'è da preoccuparsi sia un rootkit e
> >vado di trafila CD di avvio con Avira & C. ?
>
> hai gia' provato con il ripristino configurazione di sistema al giorno
> prima del fattaccio?


Il PC non è mio ! domani andrò lì e per prima cosa proverò a
risistemare la DLL, poi scansionerò con Avira da CD. Spero non trovar
sorprese.
In seguito consiglierò l'acquisto di un iMac :)

ciao,
Gabriele

On Mon, 8 Feb 2010 15:20:34 -0800 (PST), Gabriele - OneNET ha scritto:

> In seguito consiglierò l'acquisto di un iMac :)

Valerio HT:
Io ti avrei invece consigliato di NON scegliere il Norman
come antivirus, perché è proprio *in fondo* nella classifica
dei test effettuati da AV Comparatives. Vabbè, tu hai
messo tutta la suite e non solo l'antivirus... allora direi
piuttosto "GData TotalCare".

Comunque se hanno soldi e tempo da spendere anche
l'idea di passare all'iMac potrebbe essere buona... :-D
soldi e tempo perché oltre a comprare iMac dovrebbero
allora anche cambiare tutto il parco software che usano
(oppure farlo girare in emulazione o in SO "virtualizzato",
ma non la vedo tanto pratica per una tipica ditta, tale soluzione...).

Ciao

On 9 Feb, 09:42, Valerio HT
<something_else_larkstongues757_> wrote:
> On Mon, 8 Feb 2010 15:20:34 -0800 (PST), Gabriele - OneNET ha scritto:
>
> > In seguito consiglierò l'acquisto di un iMac :)
>
> Valerio HT:
> Io ti avrei invece consigliato di NON scegliere il Norman
> come antivirus, perché è proprio *in fondo* nella classifica
> dei test effettuati da AV Comparatives. Vabbè, tu hai
> messo tutta la suite e non solo l'antivirus... allora direi
> piuttosto "GData TotalCare".
>

A me dei vari test interessa poco, anche perché spesso per il Norman
usano un motore non sempre aggiornato. Mi fido dell'esperienza :)
Devo dire che però preferivo la versione precedente.
La Suite esiste in 3 versioni, gli ho messo quella di base solo AV +
AntiSpyware.

Ad ogni modo, propendo per un problema di DLL rovinata e non di
rootkit o trojan.
Non è certo la prima volta che succede che un PC al riavvio non
funzioni bene.


> Comunque se hanno soldi e tempo da spendere anche
> l'idea di passare all'iMac potrebbe essere buona...  :-D

Esatto.

> soldi e tempo perché oltre a comprare iMac dovrebbero
> allora anche cambiare tutto il parco software che usano
> (oppure farlo girare in emulazione o in SO "virtualizzato",
> ma non la vedo tanto pratica per una tipica ditta, tale soluzione...).

E' per uso personale. Musica, chat, giochini...
Poi, sinceramente, preferisco insegnare OSX che installare AV e
sistemar PC che si bloccano.

ciao,
Gabriele

On Tue, 9 Feb 2010 03:09:21 -0800 (PST), Gabriele - OneNET ha scritto:

> A me dei vari test interessa poco, anche perché spesso per il Norman
> usano un motore non sempre aggiornato.

Valerio HT:
.... la qual cosa spesso fanno anche con altri antivirus. ;-)

Gabriele - OneNET
> Mi fido dell'esperienza :)

Valerio HT:
Io invece, in base ai miei 36 anni di esperienza (ho iniziato nel
1974 programmando su sistemi "time-sharing" con le storiche
schede perforate "Hollerith"), ho capito che l'esperienza
individuale in informatica... non è mai abbastanza! :-)
Altrimenti non capiterebbe che anch'io talvolta devo chiedere
informazioni e consigli ad altri (spesso più giovani di me e
con meno "anni come informatici" alle spalle). Semplicemente,
non è possibile conoscere tutto, almeno per me di sicuro vige
tale limitazione... e pure qualcun'altra :-D

Gabriele:
> Devo dire che però preferivo la versione precedente.
> La Suite esiste in 3 versioni, gli ho messo quella di base solo AV +
> AntiSpyware.

Valerio HT:
Probabilmente hai fatto bene, non ho ancora visto una suite in cui
sia l'antivirus che il firewall siano "al massimo livello". Perché di
solito sono partiti o con il solo antivirus, o col solo firewall, e poi
"si sono allargati". Ad esempio, se prendi Comodo (la suite),
il firewall è ottimo, ma l'antivirus fa pena...
Se prendi Avira Premium Security Suite, è invece l'antivirus ad
essere molto buono (e questo l'ho anche provato con almeno
una cinquantina di utenti, anch'io non mi baso solamente sui
test pubblicati...), ma ad essere una ciofeca è il firewall.

Gabriele:
> Ad ogni modo, propendo per un problema di DLL rovinata e non di
> rootkit o trojan.

Valerio HT:
Possibilissimo, mi è capitato alcune volte...

Gabriele:
> Non è certo la prima volta che succede che un PC al riavvio non
> funzioni bene.

Valerio HT:
Dillo a me... ne ho visti tanti di PC che al riavvio non funzionavano
bene; il più delle volte perché erano già molto incasinati di loro,
con disinstallazioni mal fatte e "pezzi sparsi" ancora in
Windows\System32 o da altre parti "critiche", registri di configurazione
da far rizzare i capelli, drivers di periferiche assenti da anni che
interferivano con altri drivers o altri programmi... etc.
In qualche caso dipendeva effettivamente da virus/malware.
Mi porto sempre un CD con BartPE su cui sono Avira, GMer e altri
programmi idonei. Nei casi più difficili installo sul PC anche un mio
vecchio HD d'avvio, nel setup del BIOS ovviamente l'imposto come
HD di bootstrap, e lì ho tutto il mio corredo di strumenti per
analizzare, trovare malware, rimuoverlo, salvare partizioni o almeno
dati di partizioni, etc.

Comunque, personalmente consiglio di essere molto prudenti
coi vari ripulitori di registro e di files "inutili", compreso CCleaner,
visto che nella mia pratica più di una volta ho visto qualche
utente aver avuto dei problemi dopo aver proceduto ad una
pulizia "teoricamente corretta" con CCleaner. Una delle possibile
cause, ben nota, è questa: se uno sta installando un programma
e quello richiede il riavvio, e a lui viene la pessima idea di
cancellare i files temporanei con CCleaner *prima* che il programma
risulti effettivamente installato dopo il riavvio, poiché è proprio
nelle cartelle dei files temporanei che i programmi mettono
quei files che poi faranno parte della installazione ultimata,
ovviamente il programma non risulterà correttamente installato
e in più si sarà anche un po' incasinato il registro...
Ho detto una delle cause note di problemi con questi programmi,
ma non è affatto la sola. E difatti gli esperti di Microsoft di solito
ne sconsigliano l'utilizzo. Ora, sia chiaro, non dico che questo
abbia una relazione diretta con la eventuale DLL corrotta...

Io in realtà utilizzo anche CCleaner, ma leggo sempre con attenzione
quali sono i files e le chiavi di registro che vorrebbe cancellare...
e levo la spunta a quelli/e di cui non sono sicuro che siano inutili.
Si perde del tempo ma si evita la gran maggioranza dei possibili
problemi (però penso che anche tu faccia così...).

>> Comunque se hanno soldi e tempo da spendere anche
>> l'idea di passare all'iMac potrebbe essere buona...  :-D
>
> Esatto.
>
>> soldi e tempo perché oltre a comprare iMac dovrebbero
>> allora anche cambiare tutto il parco software che usano
>> (oppure farlo girare in emulazione o in SO "virtualizzato",
>> ma non la vedo tanto pratica per una tipica ditta, tale soluzione...).
>
> E' per uso personale. Musica, chat, giochini...
> Poi, sinceramente, preferisco insegnare OSX che installare AV e
> sistemar PC che si bloccano.

Valerio HT:
In tal caso, penso proprio che sia una buona soluzione...

Ciao

On 11 Feb, 06:36, Valerio HT
<something_else_larkstongues757_> wrote:

[CUTTONE]

> Valerio HT:
> Dillo a me... ne ho visti tanti di PC che al riavvio non funzionavano
> bene; il più delle volte perché erano già molto incasinati di loro,
> con disinstallazioni mal fatte e "pezzi sparsi" ancora in
> Windows\System32 o da altre parti "critiche", registri di configurazione
> da far rizzare i capelli, drivers di periferiche assenti da anni che
> interferivano con altri drivers o altri programmi... etc.
> In qualche caso dipendeva effettivamente da virus/malware.
> Mi porto sempre un CD con BartPE su cui sono Avira, GMer e altri
> programmi idonei. Nei casi più difficili installo sul PC anche un mio
> vecchio HD d'avvio, nel setup del BIOS ovviamente l'imposto come
> HD di bootstrap, e lì ho tutto il mio corredo di strumenti per
> analizzare, trovare malware, rimuoverlo, salvare partizioni o almeno
> dati di partizioni, etc.

[cut]

Ciao Valerio,

son piuttosto d'accordo con te su tutta la linea.
Ora ho sto PC sotto mano e son sempre più convinto che la colpa del
blocco non sia imputabile al Norman (anche se il cliente era un po'
arabbiato).

Ricapitolo: il PC viene usato da un ragazzo per chat varie (MSN,
facebook, skype..), P2P (mulo, torrent, cabot...), giochi vari sia
online che offline (alcuni originali, altri non so).
Il Norman l'avevo installato io, configurato a modino (anche per
bloccare file con doppia estensione tipo .mpg.exe, nonché CLSID
strani), c'è SpyBot S&D, c'è CCleaner.

Quando m'hanno telefonato e son andato a vedere, i programmi si
aprivano solo con tasto desto -> start dal menù; altrimenti appariva
la finestra "con cosa vuoi aprire il programma XX?".
La directory i386 su disco C è *vuota*; c'è la cartella I386 su D: del
ripristino (è un HP Pvillon XP Media edition) ma è lucchettata.
C'è solo l'account admin e basta.
Dopo aver messo a mano da mia chiavetta il file rundll32.exe, qualcosa
andava meglio.
Poi col cd di Avira da boot, ha trovato un *casino* di mp3/wma
infetti, ma tutti trojan e spyware molto vecchi; per cui deduco che il
ragazzo non avesse mai fatto una scansione ed io all'epoca avevo avuto
poco tempo (i clienti son sempre di fretta...), confidando (male)
l'avrebbe fatto il propreietario del PC.
Siccome il Norman aveva invece in quarantena altri file infetti nuovi,
vuol dire che lo scaricamento selvaggio è continuo.
Però Acrobat Reader è fermo alla versione 7, per dirne una.

Ciliegina sulla torta e qui chiedo anche un paio di consigli:
- se non parte neanche cmd.exe come razzo applico modifiche al
registro e ri-registrazioni DLL ?
- ora all'apertura di qualsiasi sw (partono tutti), viene chiesto con
che utente (di default è indicato HP_Admin per "proteggere da virus" o
dicitura simile);
- siccome sto PC aveva ancora XP SP2 (!) perché nessuno si è preso la
briga di cliccare sullo scudo giallo che avverte la presenza di
aggiornamenti, IMHO il problema non è l'antivirus...
- la prima volta che ho provato ad installare SP3, si è bloccato a
3/4, al momento di "operazioni successive all'applicazione
dell'aggiornamento" e al riavvio ha ripristinato alla versione
precedente.

Ora sto riscansionando con Avira e virus non ne vedo, GMER tutto ok.
Poi riproverò ad installare l'upgrade SP3.

Altrimenti vado di DVD di ripristino, ma spero di non averne bisogno.


ciao,
Gabriele

"Gabriele - OneNET" <infoTS> ha scritto nel messaggio
news:014d
> Ciliegina sulla torta e qui chiedo anche un paio di consigli:
> - se non parte neanche cmd.exe come razzo applico modifiche al
> registro e ri-registrazioni DLL ?

Forse puo' esserti utile...
http://www.geekissimo.com/2009/09/15...dopo-un-virus/
http://www.zonapc.it/downloads/fix_repair_reg/
http://forum.wintricks.it/showthread.php?t=130181
http://blogs.dotnethell.it/vincent/F...ta__10654.aspx

On 11 Feb, 20:07, "MiT" <mitfiles-n> wrote:
> "Gabriele - OneNET" <inf> ha scritto nel messaggionews:014d
>
> > Ciliegina sulla torta e qui chiedo anche un paio di consigli:
> > - se non parte neanche cmd.exe come razzo applico modifiche al
> > registro e ri-registrazioni DLL ?
>
> Forse puo' esserti utile...[..]...


Grazie per i link, comunque i vari "ripristinatori" di associazione
files non son serviti a una mazza.
In sto PC non c'era più neanche la tab per togliere il system restore
(infetto); appariva per ogni programma la richiesta "apri come
admin" (nonostante l'avessi tolta da pannello di Sistema); non c'era
verso di installare l'aggiornamento SP3 (eh già...).
Il firewall l'ho dovuto far ripartire "a mano" usando cmd.exe e
copiandoci delle stringhe, il safe boot non partiva e anche lì via
msconfig... due palle !
Alla fine, tra GMER e RootAlyzer, poi il fido SpyBot (che ha trovato
una merda di W32.Agent.fbx ed un altro paio di schifezze che avevano
impestato il registro) ed anche il Norman che aveva in quarantena
altra roba, son riuscito a far ripartire tutto !

Certo che se uno naviga con XP SP2 Home, non aggiorna mai Winzozz
perché non clicca sullo scudo giallo che pur mostra gli aggiornamenti,
scarica mp3 e altro a manetta, c'ha su ogni sw di p2p esistente al
mondo... non è che poi può dar la colpa al solo antivirus IMHO !


Vabbeh, tutta esperienza.

Gabriele

On Thu, 11 Feb 2010 16:17:39 -0800 (PST), Gabriele - OneNET ha scritto:

> Grazie per i link, comunque i vari "ripristinatori" di associazione
> files non son serviti a una mazza.

Valerio HT:
.... come era successo anche a me talvolta in frangenti molto simili al
tuo.

> In sto PC non c'era più neanche la tab per togliere il system restore
> (infetto); appariva per ogni programma la richiesta "apri come
> admin" (nonostante l'avessi tolta da pannello di Sistema); non c'era
> verso di installare l'aggiornamento SP3 (eh già...).

Valerio HT:
E anche a me in quei casi era successo: quindi il PC che ti ha dato
tante rogne, alla fine era effettivamente stato infettato...

> Il firewall l'ho dovuto far ripartire "a mano" usando cmd.exe e
> copiandoci delle stringhe, il safe boot non partiva e anche lì via
> msconfig... due palle !

Valerio HT:
Anch'io ho dovuto "procedere a manina"... (che perdite di tempo,
ragazzi!). Se qualcuno in tale circostanza conosce un sistema
più spiccio che ottenga risultato, gliene sarei grato... perché
mi sa che potrebbe capitarmi ancora! (E, non te lo auguro di certo,
ma potrebbe ri-capitare anche a te... però almeno adesso hai
"un precedente" su cui basarti. Raddrizzare le teste dei tuoi
clienti sarebbe una soluzione più sicura, ma purtroppo non
applicabile...) :-D

> Alla fine, tra GMER e RootAlyzer, poi il fido SpyBot (che ha trovato
> una merda di W32.Agent.fbx ed un altro paio di schifezze che avevano
> impestato il registro) ed anche il Norman che aveva in quarantena
> altra roba, son riuscito a far ripartire tutto !
>
> Certo che se uno naviga con XP SP2 Home, non aggiorna mai Winzozz
> perché non clicca sullo scudo giallo che pur mostra gli aggiornamenti,
> scarica mp3 e altro a manetta, c'ha su ogni sw di p2p esistente al
> mondo... non è che poi può dar la colpa al solo antivirus IMHO !

Valerio HT:
Ah no, il peggior "malware" è molto spesso il modo di utilizzare
il computer degli utenti, questo ormai è accertato... e per tale
"malware" non ci sono antivirus o antispyware che tengano...
anche se le case produttrici di questi prodotti proclamano
una "sicurezza" che puo' essere raggiunta solamente se
anche l'utente usa il PC in modo corretto, o perlomeno usando
le misure di sicurezza fondamentali, cosa che molti utenti
manco sanno cosa siano (oppure se ne fregano perché
sottovalutano il rischio di non adottarle)

> Vabbeh, tutta esperienza.
>
> Gabriele

Valerio HT:
E' un tipo di esperienza fastidiosa, fa perdere tempo, ma
puo' essere molto utile. Soprattutto se ti capitassero altri
utenti di quel tipo...
Lieto comunque che ne sei giunto a capo, ciao Gabriele!

> Ciliegina sulla torta e qui chiedo anche un paio di consigli:
> - se non parte neanche cmd.exe come razzo applico modifiche al
> registro e ri-registrazioni DLL ?

BartPE; avvii da CD e poi usi il tool incluso per fare il "mount"
del registry dal sistema infetto e fare le modifiche che vuoi (ma
anche fare una scansione del registry o altro)

> Ora sto riscansionando con Avira e virus non ne vedo,
> GMER tutto ok. Poi riproverò ad installare l'upgrade SP3.

Io l'avrei fatto già all'inizio, un boot da CD (avira, f-secure ...)
ed una bella spazzolata per togliere dalle balle il grosso
della rumenta, a quel punto boot da sistema "normale" con
successivo "ripristino installazione" e quindi una passata
con vari tools tipo MBAM e simili

"Gabriele - OneNET" <infoTS> ha scritto nel messaggio
news:d21d
> Certo che se uno naviga con XP SP2 Home, non aggiorna mai Winzozz
> perché non clicca sullo scudo giallo che pur mostra gli aggiornamenti,
> scarica mp3 e altro a manetta, c'ha su ogni sw di p2p esistente al
> mondo... non è che poi può dar la colpa al solo antivirus IMHO !

Purtroppo non è un caso isolato. E' diffusa l'idea che l'antivirus sia la
panacea di tutti i mali. Non e' cosi'! Ma spiegarlo a tutti gli utonti
sparsi nel mondo e' impossibile: questi geni credono che basti l'antivirus e
poi... non effettuano aggiornamenti al sistema, cliccano su ogni cosa
luccica nel browser, non aggiornano componenti sensibili come Flash, alle
volte installano antivirus che sono virus... e' una battaglia persa in
partenza.

> Vabbeh, tutta esperienza.

L'esperienza insegna: alle volte per ridurre lo stress davanti a computer
molto compromessi e' meglio salvare il salvabile e procedere con un bel
formattone. Si risparmia tempo e si guadagna in salute ;-)