Post con tag spyware

Bene! Per gli amanti del genere horror eccovi un articolo su come tentare di ripristinare un sistema gravemente danneggiato da virus.

Partendo dal presupposto che ogni bravo utente dovrebbe avere a disposizione un backup aggiornato, sappiamo altrettanto bene che quando succedono queste cose, il backup non c’è MAI e il PC contiene SEMPRE dati importantissimi.

Sintomi: avviando il PC e cercando di entrare con un utente il sistema effettua istantaneamente il logoff e veniamo riportati alla schermata iniziale.

Cause: il sistema non riesce a caricare il file indicato nel registro di sistema alla seguente voce:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

ovvero

“C:\WINDOWS\system32\userinit.exe,”

I motivi per cui il sistema risulta compromesso sono sostanzialmente due:

1. Il file è stato rimosso
2. La chiave di registro punta ad un percorso non valido (ad esempio manca la virgola finale)

Maggiori dettagli: in Internet la stragrande maggioranza di casi imputa tale errore ad un rimozione dello spyware BlazeFind (o qualsiasi altro virus) ad opera di Ad-Aware (o altri software antispyware) che, rimuovendo il file modificato dallo spyware rendono di fatto impossibile il logon. Nel mio caso tuttavia l’infezione era provocata dallo spyware “XP Antispyware 2009″ che contrariamente a Blazefind non modifica la chiave di registro ma direttamente il file userinit.exe rendendo alcune delle seguenti soluzioni inapplicabili.

Soluzione: eccoci quindi arrivati alla parte più interessante, seguirà quindi una lista di possibili interventi da effettuare nel vostro PC al fine di ripristinarne il funzionamento (o se non altro l’accesso) in ordine di complessità.

Ovviamente dato che il sistema non è avviabile dovrete dotarvi di apposita live distro (personalmente consiglio MiniPE, ma vanno benissimo tutte), in alternativa se siete fortunati potrete entrare in modalità provvisoria:

1. Controllate la succitata chiave di registro e assicuratevi che non punti a percorsi strani e che sia presente la “virgola” alla fine del percorso. Nel caso in cui la chiave fosse stata alterata da un virus, potete optare per ripristinare il percorso corretto tramite regedit oppure tramite Recovery console potrete copiare rinominandolo il file userinit.exe con il nome identificato nel registro (es. copy C:\Windows\system32\userinit.exe C:\Windows\system32\wsaupdater.exe).
2. Verificate la presenza del file userinit.exe nella cartelle system32. Se non fosse presente ripristinatelo da un backup, dalla cartella system32 di un sistema gemello, o come nel mio caso dalla cartella di backup del ServicePack C:\WINDOWS\ServicePackFiles\i386.
3. Ultima possibile soluzione, valida unicamente nel caso in cui il sistema si avvii in modalità provvisoria, scaricate il programma Autoruns e provvedete alla disabilitazione selettiva di tutti i programmi che vengono caricati al logon, quasi sicurametne sarà uno di questi a provocare l’immediata disconnessione.

E con questo è tutto! Buona fortuna!