Oggi è arrivato in assistenza un pc soggetto ad improvvisi riavvii durante la connessione ad Internet: per prima cosa ho disabilitato il “Riavvio automatico” in caso di errore di sistema per visualizzare i dettagli della schermata BSOD.

Dopo pochi minuti di lavoro appare il famigerato messaggio di errore che fa riferimento a LZX32.SYS: il nome mi ricorda qualcosa, e infatti si tratta di un rootkit. Come indicato in questa guida scarico GMER, elimino il servizio pe386, faccio la scansione e ripulisco tutto l’ambaradan.

Riavvio la macchina, faccio una scansione con NOD32, Spybot S&D, HiJackThis, installo tutti gli update di Windows (il cliente ha una dial-up 56k), aggiorno Java: il pc sembra pulito.
A questo punto però si verificano tre problemi:

• il firewall di Windows non si avvia. Cercando di avviare manualmente il servizio si ottiene questo errore
  

  Errore 1068: Avvio del gruppo o del servizio di dipendenza non riuscito

• impossibile aprire la finestra Connessioni di rete
• impossibile aprire le opzioni di Internet Explorer 7 dal menu Strumenti
  

  Operazione annullata. Sul computer sono attivate delle restrizioni. Contattare l’amministratore di sistema

Soluzione: il simpatico antivirus in uso (AVG) aveva segato il file rasapi32.dll. Copiandolo da una macchina sana in c:\windows\system32 si sono risolti in un colpo solo tutti i problemi.

Rieccomi dopo circa 48 ore di sequestro da parte di Telecom Italia: niente linea telefonica e ovviamente niente ADSL (guasto in centrale)

Ultimamente è periodo di virus: dopo almeno 5 pc infettati da Link Optimizer e Gromozon, oggi è il turno di uno splendido notebook.
Caratteristiche del potente mezzo: Compaq Armada E500, PentiumIII a qualche cosa, 256MB di ram, Windows XP Professional (sp0), qualche centinaio di virus, niente cd di ripristino né del sistema operativo e, chicca conclusiva, lettore cd non funzionante.

Dopo un paio d’ore di scansioni varie, mi sono ritrovato di fronte uno scorfano particolarmente ostinato: siccome il simpatico DeluxeCommunications mi ha fatto perdere delle ore, faccio un riassunto della situazione.

Il fetente si piazza nella cartella \programmi\deluxecommunications (all’interno ci troverete un file dxc.exe e un paio di dll), in \windows\system32 (dxc*numeroacaso*.dll) e in %AppData% (anche qui dll con nome pseudo casuale).

Purtroppo non sono riuscito a venirne a capo con i soliti strumenti: scansione profonda del NOD32, SpyBot S&D e HiJackThis. NOD32 rileva i file infetti ma non riesce a cancellarli (sono in uso), HiJackThis non riesce a cancellare i riferimenti sul registro presenti in

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows NT\Current Version\Windows-->AppInit_DLLS

Tu cancelli le chiavi, lui se le ricrea: non serve a nulla uccidere i processi nel task manager o controllare tra i servizi avviati

Via Google si trova una soluzione semplice (non verificata personalmente): eseguire da prompt dei comandi

c:\programmi\deluxecommunications\dxc.exe /u

Peccato che l’eseguibile sia stato segato al primo giro di antivirus. Conseguenza: non riesci a eliminare le dll (sono in uso).

Alla fine il colpo di culo fortuna: trovi un software, SUPERAntiSpyware, mai sentito nominare, che con un paio di scansioni di mezz’ora ti pulisce il computer che è ‘na bellezza!

Il fetente (DeluxeCommunications) mi ha anche permesso di imparare un altro aspetto del mondo anti-spyware.

Provate a cercare dxc.exe su Google: i primi risultati avranno indirizzi del tipo anti-spyware101, 411-spyware-remove, ecc. ecc.
Tutti questi siti vi fanno scaricare un FreeSpywareScanner.exe (o altro eseguibile dal nome molto simile) che non è altri che SpyHunter della Enigma Software Group Inc.: tale software fa la scansione ma non permette di rimuovere gli elementi individuati (la rimozione funziona solo con il programma completo, costo $29.99).

Vista la mancanza di trasparenza dei siti in questione (e di conseguenza dell’azienda), se mai dovrò spendere 30$ per un AntiSpyware lo farò per acquistare SUPERAntiSpyware

Oggi ho fatto la conoscenza di un nuovo virus/worm, particolarmente infame, su un pc con sistema operativo Windows 2000; sinceramente non ho ancora avuto tempo di trovare il nome del piccolo figlio di buona donna.

Sintomi: dopo la schermata del bios della scheda madre e del controller dei dischi fissi, lo schermo diventa nero e il disco fisso non lavora.

Causa: il file boot.ini è corrotto. La dimensione è di circa 200kb ed aprendolo con il blocco note assomiglia ad un file exe. Il problema si risolve mettendo un file boot.ini corretto.

Ecco un esempio di file boot.ini corretto per Windows 2000
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINNT=”Microsoft Windows 2000 Professional” /fastdetect

Per un sistema Windows XP è sufficiente sostituire WINDOWS a WINNT
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=”Microsoft Windows XP Professional” /noexecute=optin /fastdetect

Ovviamente bisogna adeguare la stringa multi(0)disk(0)rdisk(0)partition(1) al proprio sistema