Ripristinare la modalit provvisoria.

Sono in circolazione molteplici malware (uno tra tutti il diffuso virus Bagle, onnipresente sui circuiti peer-to-peer) che disattivano la possibilit di accedere alla "modalit provvisoria" di Windows (pressione ripetuta del tasto F8 al boot del sistema).

Questi malware cancellano un'intera chiave del registro di sistema disabilitando di fatto la modalit provvisoria (al suo posto, di solito, compare una schermata blu).

Il perch la modalit provvisoria venga disattivata  semplice: utilizzandola  possibile fare in modo che il sistema operativo carichi solo ed esclusivamente file e driver di periferica strettamente necessari. Avviando Windows in modalit provvisoria  quindi di solito possibile evitare il caricamento delle componenti correlate al funzionamento di malware (virus, rootkit, trojan e cos via), procedendo alla loro eliminazione da questo contesto.

Per riattivare la modalit provvisoria,  possibile ricorrere ad un trucco di immediata applicazione. E' sufficiente infatti scaricare questo file dalla seguente URL:

http://www.techportal.it/dl/SafeBoot.zip

 compresso , aprirlo e fare doppio clic sul file .reg corrispondente alla versione di Windows in uso.

I file proposti sono tre: uno destinato agli utenti di Windows XP aggiornato al Service Pack 3 (SafeBoot_Windows-XP-SP3.reg), uno per i sistemi Windows XP SP2 (SafeBoot_Windows-XP-SP2.reg) ed infine un terzo per Windows 2000 Professional Service Pack 4 (SafeBoot_Windows-2000-SP4-Pro.reg).

Si dovr poi rispondere affermativamente alla domanda Si desidera aggiungere i dati contenuti in nomedelfile.reg al registro? shots/safeboot_0908_01 La chiave di registro SafeBoot, che consente di accedere alla modalit provvisoria e che deve essere sempre presente

``HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SafeBoot``

contiene semplicemente una lista di riferimenti a driver di periferica e servizi che Windows deve caricare all'avvio della modalit provvisoria. In caso di presenza sul proprio sistema di rootkit o malware particolarmente aggressivi,  possibile che il file SafeBoot.zip non risulti scaricabile.

In tal caso, alla comparsa della finestra del browser per il salvataggio del file, modificatene il nome, ad esempio, in sb.zip. In alternativa, create un file con estensione .reg sul disco a partire dai seguenti file: sb_XP-SP3.txt, sb_XP-SP2.txt e sb_2000-SP4-Pro.txt , a seconda della versione di Windows da voi installata.

La chiave "SafeBoot" del registro di Windows consta a sua volta di due sottochiavi: Network e Minimal. All'interno delle due chiavi sono specificati gli elementi da caricare, rispettivamente, nella versione della modalit provvisoria con e senza supporto di rete. Per inciso, quindi, chi volesse evitare il caricamento di un driver di periferica o di un servizio specifico da modalit provvisoria, pu eliminare la chiave corrispondente dall'interno delle sezioni Network e Minimal ( comunque sempre caldamente consigliato effettuare un backup completo della chiave:

``HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SafeBoot``

 (tasto destro su SafeBoot quindi Esporta). Nel caso di infezioni malware, riattivando la modalit provvisoria con il trucco qui illustrato, riavviando il sistema premendo ripetutamente il tasto F8 quindi eseguendo uno strumento gratuito come Combofix sar possibile eliminare tutte le infezioni pi comuni. Combofix deve essere ovviamente scaricato prima di ricorrere alla modalit provvisoria. Suggeriamo sempre di non salvare questo strumento con il nome di default (ovvero combofix.exe) perch molti malware sono in grado di rilevarne la presenza sul sistema ed inibirne il corretto funzionamento. Molto meglio rinominare il file in qualcosa come abcde.exe salvandolo quindi sul desktop di Windows.

Da modalit provvisoria baster ricorrere al comando Start, Esegui .

``"%userprofile%\desktop\abcde.exe" /killall``

 per eliminare tutte le infezioni maggiormente ricorrenti.

