BSoD Stop: 0x0000007B in concomitanza di ransom GdF-Polizia di Stato.

[Eruption72]

Come da oggetto, dopo numerosi spegnimenti del pc dal tasto d'accensione perchè impossibilitati nel fare alcunchè, grazie al ransom di cui sopra, spegnimenti regolari s'intende non brutali, pressione del tasto e regolare chiusura di sessione, il pc non vuole più sapere di avviarsi in nessuna modalità, parte solo da distribuzioni cd live, quello sì ed è con l'ausilio di numerosi antivirus live che credo di avere eliminato il ransom, ma nonostante questo nessuna possibilità di avvio del sistema.
Se avviato in provvisoria, si vedono scorrere i nomi dei numerosi files caricati per avviare al minimo il sistema e poi BSoD, mentre se avviato normalmente si vede per un attimo il logo di Windows XP con la relativa barra di scorrimento e subito dopo la BSoD Stop 0x7B

Il SO è Windows XP SP3 Media Center 2005, aggiungo che la BSoD è avvenuta dopo due o tre spegnimenti massimo del sistema che non lasciava fare nulla, ma in definitiva regolari chiusure di sessione.

Il PC è un Packard Bell con una partizione inattiva (1) suppongo per il ripristino del sistema, filesystem sconosciuto mi dice in Gestione dischi e la seconda di sistema NTFS (2) quella da cui parte l'avvio. Il pc mi è stato affidato per la rimozione del ransom ma con ancora il virus in questione presente, le BSoD erano effettive: mi sapete dire quali controlli poter fare? Grazie a tutti e complimenti per il forum.

[vicky67]

Vediamo di eliminare per prima cosa le infezioni presenti.
1)Scarica il file in allegato e copialo sulla pendrive dove hai FRST.Avvia nuovamente FRST solo che questa volta clicca sul pulsante FIX una sola volta.Allega il log fixlog.txt che troverai sulla pendrive
Riavvia il pc e controlla l'avvio.

2)Poi esegui quest'altra operazione.
Scarica MBRFix dal link di seguito,portandoti dove è mbrfix Download
Salvalo, estrailo sul desktop.Ci sono 3 file nella cartella mbrfix .Copia solo mbrfix.exe nella pendrive dove hai anche FRST

Crea un file di testo e chiamalo fixlist.txt(visualizza le estensioni dei file conosciuti in opzioni cartelle se non le hai visualizzate) e poi copialo sulla pendrive dove hai FRST.
Al suo interno copia e incolla questo testo

Codice:

Start
cmd:X:\MbrFix /drive 0 savembr X:\MBRDUMP.txt 
End

N.B. Devi sostituire alla lettera X la lettera che corrisponde alla tua pendrive che hai trovato precedentemente(come da guida FRST)

Avvia FRST come da guida e clicca sul pulsante FIX una sola volta.
Allega i log che troverai nella pendrive(Fixlog.txt e MBRDUMP.txt).

[Eruption72]

Eh eh grazie vicky, avevo visto subito nel log quelle altre due bestie, provo subito e ti notizio, grazie.

[Eruption72]

Ciao vicky ecco i log, per l'avvio niente da fare, tutto come prima...fammi sapere, grazie.

[Eruption72]

OK Windows ripristinato, mancava il file acpi.sys nel sistema, chi l'avrà tolto Dio solo lo sa, non appena l'ho inserito è partito Windows. Vicky, se hai altri controlli da farmi fare sono in ascolto ;-)

[vicky67]

Le infezioni sono state eliminate.Al resto hai pensato te.
Puoi effettuare una scansione con malwarebytes e disattivare e riattivare il ripristino configurazione di sistema creando un nuovo punto pulito.

[Eruption72]

Grazie vicky, ho comunque notato che c'é ancora qualcosa che non va, la modalità provvisoria non funziona, ancora BSoD purtroppo e se attacco la rete, nonostante l'installazione di Avira, vedo che il pc é rallentatissimo e c'é un'intensa attività sull'hard disk e aprendo il task manager compare un setup.exe e un 21_numero_chrome install.exe che ho prontamente terminati, assieme ad un dllhost.exe che peró si ricarica sempre pur terminandolo. In aggiunta, tentando di aggiornare Avira dopo aver scaricato gli aggiornamenti, sembra che non me li installi e ritentando l'aggiornamento mi dice che la protezione é ottimale, quando invece non è vero. Facendo girare Gmer mi rileva:

AttachedDevice \Driver\Tcpip\Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)(Microsoft Corporation)
.text c:/windows/system32/drivers/nv4_mini.sys section is writeable (0xF6838360, 0x221CFD, 0xE8000020)
Device \FileSystem\Fastfet\Fat. B7FE2D20

Vorrei dare una passata con MalwareByetes ma come faccio ad aggiornarlo? Attaccando la rete l'hd inizia a frullare e questo mi spaventa un po': gentilmente, mi faresti fare qualche controllo in più? Grazie. P.S Ci mette tanto ad avviare Windows Xp.

[Eruption72]

Allora vicky ti sto scrivendo dal pc guarito, allego log di gmer per sapere le azioni da intraprendere, credo comunque di essere riuscito a debellare tutto, rimane l'inspiegabile BSoD 0x7B in provvisoria da sistemare ma sicuramente mancherà qualche file, e le voci che mi ha trovato gmer, grazie mille del supporto, grande efficienza !!

P.S. dllhost.exe è legittimo !

[Eruption72]

Allego anche un log di OTL se può servire, grazie ancora.

[vicky67]

E' tutto ok dai log.
Effettua un sfc /scannow da prompt dei comandi con il cd inserito per risolvere il problema della bsod se dovuta a qualche altro file/driver mancante.

[Eruption72]

Perfetto vicky, ti ragguaglio informandoti che sfc /scannow non ha sortito alcun effetto, ma ho risolto ugualmente perchè ho trovato in rete una soluzione, spesso cercando in inglese ciò che si ha bisogno, c'è senza tanti problemi e nel caso di chi come me abbia riscontrato la "safe mode" non più funzionante, dico che il virus cancella le sottochiavi nel registro relativi sia alla provvisoria che a quella con rete, percui, anche se un po' datato vi linko con piacere questa pagina, chissà che qualcuno ne abbia bisogno:

Restoring Safe Mode with a .REG file « Didier Stevens

[vicky67]

Perfetto,felice che hai risolto.