Discussione:
Problema con SPTD.sys in modalità provvissoria
(troppo vecchio per rispondere)
(Cesare)
2008-10-12 10:21:20 UTC
Permalink
Buongiorno al NG, vi scrvo riguardo ad una situazione potenzialmente
"seria".
Se avvio il mio pc in modalità provvisoria, dopo il display dei driver
caricati, mi arriva, su sfondo nero, il messaggio "ESC per non
caricare SPTD.sys", a questo punto sia se eseguo "ESC" o "invio" il pc
fa il reboot. Questo non lo fa se avvio normalmente (fortunatamente),
me ne sono accorto perchè dovevo avviare in "provvisorio".
La mia situazione è:
windows xp professional SP3, con due HD SATA.
Prima di scrivere qui, ho navigato in internet sull'argomento, ma
tutte le azioni fatte sono risultate negative.
nota:
-non ho mai installato, prima della scoperta, ne Deamon Tools e
neanche Alcohol
Azioni effettuate:
- cancellato manualmente SPTD.sys da windows/system32/driver, non
presenti file della serie SPTDxxx.sys
- rimosso dai registri qualsiasi riferimento a SPTD e SPTD.sys
- eseguito fixboot c: da console di ripristino
- eseguito CCleaner sui registri
- installato Daemon lite e disinstallato, mi è rimasta tanta porcheria
nei registri, ma l'errore permane.

Dopo ogni azione descritta riavviavo in provvisoria, ma con esito
negativo.

A questo punto non so più che fare, vorrei evitare di formattare l'HD.

Un grazie anticipato,
Cesare
Athlon64®
2008-10-12 19:01:57 UTC
Permalink
come è possibile che hai quel driver??? Magari è un rootkit che finge di
essere un driver normale?
(Cesare)
2008-10-12 20:39:45 UTC
Permalink
non so cosa rispondere ed onestamente non so che cosa è un rootkit.

Nel frattempo ho fatto una scansione completa con "spyware
terminator", nulla di nuovo.


On Sun, 12 Oct 2008 21:01:57 +0200, "Athlon64®"
Post by Athlon64®
come è possibile che hai quel driver??? Magari è un rootkit che finge di
essere un driver normale?
fraal
2008-10-13 06:28:42 UTC
Permalink
Post by (Cesare)
Buongiorno al NG, vi scrvo riguardo ad una situazione
potenzialmente
"seria".
Se avvio il mio pc in modalità provvisoria, dopo il
display dei driver
caricati, mi arriva, su sfondo nero, il messaggio
"ESC per non
caricare SPTD.sys", a questo punto sia se eseguo
"ESC" o "invio" il pc
fa il reboot. Questo non lo fa se avvio normalmente
(fortunatamente),
me ne sono accorto perchè dovevo avviare in
"provvisorio".
windows xp professional SP3, con due HD SATA.
Prima di scrivere qui, ho navigato in internet
sull'argomento, ma
tutte le azioni fatte sono risultate negative.
-non ho mai installato, prima della scoperta, ne
Deamon Tools e
neanche Alcohol
- cancellato manualmente SPTD.sys da
windows/system32/driver, non
presenti file della serie SPTDxxx.sys
- rimosso dai registri qualsiasi riferimento a SPTD e
SPTD.sys
- eseguito fixboot c: da console di ripristino
- eseguito CCleaner sui registri
- installato Daemon lite e disinstallato, mi è
rimasta tanta porcheria
nei registri, ma l'errore permane.
Dopo ogni azione descritta riavviavo in provvisoria,
ma con esito
negativo.
A questo punto non so più che fare, vorrei evitare di
formattare l'HD.
Cerca la chiave o il valore che lo lancia, poi esportalo(per
prudenza) e quindi cancellalo, in questa chiave o nelle sue
sottochiavi:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
--
Postato da Alice Newsgroup: lo usi da web ma con le funzioni del newsreader http://newsgroup.alice.it
Gerarchie it, italia, it-alt, tin, it.binari. Unico!
(Cesare)
2008-10-13 07:42:44 UTC
Permalink
Post by fraal
Post by (Cesare)
Buongiorno al NG, vi scrvo riguardo ad una situazione
potenzialmente
"seria".
Se avvio il mio pc in modalità provvisoria, dopo il
display dei driver
caricati, mi arriva, su sfondo nero, il messaggio
"ESC per non
caricare SPTD.sys", a questo punto sia se eseguo
"ESC" o "invio" il pc
fa il reboot. Questo non lo fa se avvio normalmente
(fortunatamente),
me ne sono accorto perchè dovevo avviare in
"provvisorio".
windows xp professional SP3, con due HD SATA.
Prima di scrivere qui, ho navigato in internet
sull'argomento, ma
tutte le azioni fatte sono risultate negative.
-non ho mai installato, prima della scoperta, ne
Deamon Tools e
neanche Alcohol
- cancellato manualmente SPTD.sys da
windows/system32/driver, non
presenti file della serie SPTDxxx.sys
- rimosso dai registri qualsiasi riferimento a SPTD e
SPTD.sys
- eseguito fixboot c: da console di ripristino
- eseguito CCleaner sui registri
- installato Daemon lite e disinstallato, mi è
rimasta tanta porcheria
nei registri, ma l'errore permane.
Dopo ogni azione descritta riavviavo in provvisoria,
ma con esito
negativo.
A questo punto non so più che fare, vorrei evitare di
formattare l'HD.
Cerca la chiave o il valore che lo lancia, poi esportalo(per
prudenza) e quindi cancellalo, in questa chiave o nelle sue
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
--
Postato da Alice Newsgroup: lo usi da web ma con le funzioni del newsreader http://newsgroup.alice.it
Gerarchie it, italia, it-alt, tin, it.binari. Unico!
ti riporto l'export della chiave, non vedo nulla da cancellare.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@=1:Volume shadow copy
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@=1:Driver
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@=1:Driver
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sharedaccess]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@=1:Service
fraal
2008-10-13 22:29:58 UTC
Permalink
On Mon, 13 Oct 2008 06:28:42 GMT, fraal
Post by fraal
Post by (Cesare)
Buongiorno al NG, vi scrvo riguardo ad una
situazione
Post by fraal
Post by (Cesare)
potenzialmente
"seria".
Se avvio il mio pc in modalità provvisoria, dopo
il
Post by fraal
Post by (Cesare)
display dei driver
caricati, mi arriva, su sfondo nero, il
messaggio
Post by fraal
Post by (Cesare)
"ESC per non
caricare SPTD.sys", a questo punto sia se eseguo
"ESC" o "invio" il pc
fa il reboot. Questo non lo fa se avvio
normalmente
Post by fraal
Post by (Cesare)
(fortunatamente),
me ne sono accorto perchè dovevo avviare in
"provvisorio".
windows xp professional SP3, con due HD SATA.
Prima di scrivere qui, ho navigato in internet
sull'argomento, ma
tutte le azioni fatte sono risultate negative.
-non ho mai installato, prima della scoperta, ne
Deamon Tools e
neanche Alcohol
- cancellato manualmente SPTD.sys da
windows/system32/driver, non
presenti file della serie SPTDxxx.sys
- rimosso dai registri qualsiasi riferimento a
SPTD e
Post by fraal
Post by (Cesare)
SPTD.sys
- eseguito fixboot c: da console di ripristino
- eseguito CCleaner sui registri
- installato Daemon lite e disinstallato, mi è
rimasta tanta porcheria
nei registri, ma l'errore permane.
Dopo ogni azione descritta riavviavo in
provvisoria,
Post by fraal
Post by (Cesare)
ma con esito
negativo.
A questo punto non so più che fare, vorrei evitare
di
Post by fraal
Post by (Cesare)
formattare l'HD.
Cerca la chiave o il valore che lo lancia, poi
esportalo(per
Post by fraal
prudenza) e quindi cancellalo, in questa chiave o
nelle sue
Post by fraal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot
Post by fraal
--
Postato da Alice Newsgroup: lo usi da web ma con le
funzioni del newsreader http://newsgroup.alice.it
Post by fraal
Gerarchie it, italia, it-alt, tin, it.binari. Unico!
ti riporto l'export della chiave, non vedo nulla da
cancellare.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Minimal]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Minimal\DcomLaunch]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Minimal\vds]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}
]
@=1:Volume shadow copy
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Network]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Network\DcomLaunch]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Network\ip6fw.sys]
@=1:Driver
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Network\ipnat.sys]
@=1:Driver
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Network\Ndisuio]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Network\sharedaccess]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Network\WZCSVC]
@=1:Service
Potrei dirti che l'unica che potrebbe essere è questa; ma non se
ne può essere sicuri se non provando (dopo averla esportata).
Quel vds potrebbe significare (ma dovrebbe essere in maiuscolo):
Microsoft Virtual Disk Services (VDS), che dovrebbe servire per
un RAID; ma potrebbe anche voler significare "virtual device
service" per un drive virtuale generico. E controlla anche a che
cosa si riferisce la CLSID {533C5B84-EC70-11D2-9505-00C04F79DEAF}
(qui: HKEY_CLASSES_ROOT\CLSID).Invece ti devo dire che nella
chiave Minimal hai un numero di sottochiavi veramente minimo: io
ne ho 42. Il riavvio non è dovuto a quel misterioso messaggio,
ma al fatto che alla modalità provvisoria mancano praticamente
tutti i drivers. L'unica possibilità che hai di riavere la
modalità provvisoria funzionante è quella di effettuare un
ripristino configurazione del sistema; ma non sai quanto
indietro devi andare. A me sembra che ci sia stato l'intervento
di un virus (probabilmente un rootkit), che ha distrutto la
modalità provvisoria, per non essere trovato e cancellato. In
tal caso dovrebbe anche avere disattivato il ripristino
configurazione del sistema. Vedi un po' tu e considera
l'eventualità di una formattazione.
--
Postato da Alice Newsgroup: lo usi da web ma con le funzioni del newsreader http://newsgroup.alice.it
Gerarchie it, italia, it-alt, tin, it.binari. Unico!
(Cesare)
2008-10-14 10:00:31 UTC
Permalink
Post by fraal
On Mon, 13 Oct 2008 06:28:42 GMT, fraal
Post by fraal
Post by (Cesare)
Buongiorno al NG, vi scrvo riguardo ad una
situazione
Post by fraal
Post by (Cesare)
potenzialmente
"seria".
Se avvio il mio pc in modalità provvisoria, dopo
il
Post by fraal
Post by (Cesare)
display dei driver
caricati, mi arriva, su sfondo nero, il
messaggio
Post by fraal
Post by (Cesare)
"ESC per non
caricare SPTD.sys", a questo punto sia se eseguo
"ESC" o "invio" il pc
fa il reboot. Questo non lo fa se avvio
normalmente
Post by fraal
Post by (Cesare)
(fortunatamente),
me ne sono accorto perchè dovevo avviare in
"provvisorio".
windows xp professional SP3, con due HD SATA.
Prima di scrivere qui, ho navigato in internet
sull'argomento, ma
tutte le azioni fatte sono risultate negative.
-non ho mai installato, prima della scoperta, ne
Deamon Tools e
neanche Alcohol
- cancellato manualmente SPTD.sys da
windows/system32/driver, non
presenti file della serie SPTDxxx.sys
- rimosso dai registri qualsiasi riferimento a
SPTD e
Post by fraal
Post by (Cesare)
SPTD.sys
- eseguito fixboot c: da console di ripristino
- eseguito CCleaner sui registri
- installato Daemon lite e disinstallato, mi è
rimasta tanta porcheria
nei registri, ma l'errore permane.
Dopo ogni azione descritta riavviavo in
provvisoria,
Post by fraal
Post by (Cesare)
ma con esito
negativo.
A questo punto non so più che fare, vorrei evitare
di
Post by fraal
Post by (Cesare)
formattare l'HD.
Cerca la chiave o il valore che lo lancia, poi
esportalo(per
Post by fraal
prudenza) e quindi cancellalo, in questa chiave o
nelle sue
Post by fraal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot
Post by fraal
--
Postato da Alice Newsgroup: lo usi da web ma con le
funzioni del newsreader http://newsgroup.alice.it
Post by fraal
Gerarchie it, italia, it-alt, tin, it.binari. Unico!
ti riporto l'export della chiave, non vedo nulla da
cancellare.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Minimal]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Minimal\DcomLaunch]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Minimal\vds]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}
]
@=1:Volume shadow copy
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Network]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Network\DcomLaunch]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Network\ip6fw.sys]
@=1:Driver
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Network\ipnat.sys]
@=1:Driver
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Network\Ndisuio]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Network\sharedaccess]
@=1:Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\S
afeBoot\Network\WZCSVC]
@=1:Service
Potrei dirti che l'unica che potrebbe essere è questa; ma non se
ne può essere sicuri se non provando (dopo averla esportata).
Microsoft Virtual Disk Services (VDS), che dovrebbe servire per
un RAID; ma potrebbe anche voler significare "virtual device
service" per un drive virtuale generico. E controlla anche a che
cosa si riferisce la CLSID {533C5B84-EC70-11D2-9505-00C04F79DEAF}
(qui: HKEY_CLASSES_ROOT\CLSID).Invece ti devo dire che nella
chiave Minimal hai un numero di sottochiavi veramente minimo: io
ne ho 42. Il riavvio non è dovuto a quel misterioso messaggio,
ma al fatto che alla modalità provvisoria mancano praticamente
tutti i drivers. L'unica possibilità che hai di riavere la
modalità provvisoria funzionante è quella di effettuare un
ripristino configurazione del sistema; ma non sai quanto
indietro devi andare. A me sembra che ci sia stato l'intervento
di un virus (probabilmente un rootkit), che ha distrutto la
modalità provvisoria, per non essere trovato e cancellato. In
tal caso dovrebbe anche avere disattivato il ripristino
configurazione del sistema. Vedi un po' tu e considera
l'eventualità di una formattazione.
--
Postato da Alice Newsgroup: lo usi da web ma con le funzioni del newsreader http://newsgroup.alice.it
Gerarchie it, italia, it-alt, tin, it.binari. Unico!
Risolto!

Il problema credo che lo portavo da più di un anno, ho trovato un
salvataggio dei registri di agosto 2007 e i registri safeboot erano
uguali a quelli postati, mentre nel mio secondo pc ho una pagina di
registri tipo al tuo. A questo punto mi hai fatto capire che il non
caricare sptd.sys era la punta dell'iceberg, la parte nascosta del
problema era che non avevo nulla da caricare. Ho cambiato ricerca su
internet e ho trovato questa pagina:
http://www.ilsoftware.it/articoli.asp?id=4675 in sintesi si possono
scaricare i registri safeboot per 2000/sp4 xp/sp2 e xp/sp3, ho
effettuato l'aggiornamento dei registri e adesso vado tranquillamente
in provvisoria, nel sito fa riferimento ad un programma che si deve
lanciare da console di ripristino "combofix" che prova ad eseguire una
pulizia automatica di un numero alto di virus, rootkit e trojan.
Stranamente in console di ripristino mi da "comando non conosciuto"
forse ho qualche malware che controlla le esecuzioni (anche se
rinominato), ma questo è un'altro problema.....

Grazie nuovamente del tuo supporto,

Cesare
(Cesare)
2008-10-14 10:33:22 UTC
Permalink
Tutto ok per combofix, gira in provvisoria e non in console di
ripristino.

Cancellata una cartella da c:\windows "exefld" e una dll
"dao350.dll"

Ciao e nuovamente grazie

Cesare

fraal
2008-10-13 22:34:15 UTC
Permalink
Scusa; ho dimenticato di dirti qual'è la chiave (il post era un
po' complesso):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Min
imal\vds]
@=1:Service
--
Postato da Alice Newsgroup: lo usi da web ma con le funzioni del newsreader http://newsgroup.alice.it
Gerarchie it, italia, it-alt, tin, it.binari. Unico!
Loading...