SpippolAzione.net

Mi capita il solito Windows XP con la schermata della guardia di finanza che vuole $oldi.

Fortunatamente la macchina ha due utenti, entrambi amministratori, e il problema si manifesta su un solo utente, l’altro è immune e cosi posso lavorare sul pc senza dovermi barcamenare con live cd e robe del genere, anche perché avviare in modalità provvisoria e loggandosi con l’utente infetto porta al riavvio del computer senza possibilità di scampo e una volta loggato la maschera di richiesta di soldi parte e disabilita ogni tipo di task manager e combinazione di tasti.

Il problema è evidentemente in esecuzione automatica, ma quello che viene avviato SOLO nell’utente marcio non lo vedo dall’utente sano, quindi passo antivirus ed antispyware come se non ci fosse un domani, che in effetti trovano schifezze che vengono rimosse, ma quella che carica la pagina è ancora li.

Il mio amico google mi svela un trucco per caricare l’hive del registro dell’altro utente e poterci lavorare senza problemi (della serie non si finisce mai di imparare).

1) lancio regedt32.exe

2) mi posiziono sulla voce “HKEY_LOCAL_MACHINE”, perché solo in quella posizione si attiva la voce in “File\Carica hive”

3) carico il registro relativo all’utente marcio, che trovo in “c:\documents and settings\UTENTE MARCIO\ntuser.dat”

4) mi viene chiesto un nome, mettiamo “pippo”, e la voce “pippo” mi appare sopra “HKEY_LOCAL_MACHINE”, ci entro e mi trovo tutto il registro relativo al’utente marcio

5) rufolando un poco trovo in “pippo\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon” una voce “shell” che contiene “explorer.exe, c:\documents and settings\UTENTE MARCIO\skype.dat”, ovvio che quello “skype.dat” altri non è che il beffardo eseguibile con l’estensione camuffata che carica la pagina marcia, lo vaporizzo lasciando solo “explorer.exe”

6) scarico l’hive del registro da “File\Scarica hive”, altrimenti se mi loggo con l’utente marcio windows mi dice che il profilo è danneggiato e rientro nell’utente ormai bonificato. A quel punto vaporizzo anche il file “skype.dat” e vivo felice.

Raniero 1 – MalwareDelPiffero 0

Mi è capitato, molto raramente invero, che accendendo un pc windows, sia con XP ita, che con 2003 eng, di trovare il desktop vuoto, i docmenti vuoti, ed andato a prompt dei comandi invece di:

c:\documents and settings\Nome.Cognome

di trovare

c:\documents and settings\temp

Dopo l’infarto iniziale con un rapido controllo si vede che tutto il contenuto del vecchio desktop e i documenti e la posta di Nome.Cognome fossero ancora al loro posto.

Di fatto il sistema sente il profilo originale come rovinato, non permette di utilizzarlo e ne apre uno temporaneo.

Da notare che su una macchina con tre profili questo problema si verificava su un profilo alla volta, e non sempre lo stesso.

Per ovviare a questa cosa o ci si logga come Administrator, o comunque come altro utente amministrativo della macchina, si raspa nel registro di configurazione a cercare dove stà la cartella del profilo, qui per la precisione

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList.

e modificando una chiave di registro apposita lo si riattiava, o si cancella la chiave e si ricrea il profilo ex novo, oppure si scarica lo “User Profile Hive Cleanup Service” di Microsoft, lo si installa lo si lancia e si riavvia il pc, una volta ripartito il pofilo è al suo posto con desktop, posta e documenti.

io dico meglio la seconda

Il programma (appena 420 Kb) e un readme che racconta che cosa fà e perchè si verifica il problema li trovate

QUI

Oppure chiedete a Google, come ho fatto io.