Raramente mi cimento nella rimozione virus o nelle reinstallazioni, ma ci sono amici a cui non si può sicuramente dire di no. Un mio amico mi presenta un caso interessante, il suo pc improvvisamente quando parte fa strane cose, è lentissimo etc etc. io arrivo gli faccio una bella scansione di antivirus e …. Booom, il pc quando si riavvia non mostra più il desktop di windows, rimane una schermata azzurra e nulla più…
Dopo un po di smattimento vedo che con ctrl+alt+canc tutto va, posso aprire la shell dei comandi, lanciare anche i programmi, ma vado su c:\winnt\ e digito explorer.exe…..risultato…file non trovato….
Guarda tu le coincidenze, dopo 10 min di smattimento mi ricordo che al tech ed Ingo Rammer aveva fatto una sessione sull'uso di windbg, mostrando come in windows esista una chiave di registro che ridireziona gli eseguibili, ed è questa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options.
Morale della favola, il virus non aveva fatto altro che ridirezionare un bel po di roba su se stesso, quando lo ho rimosso non partiva più nulla, rimosse le chiavi di registro tutto torna ok :D. Quello che non mi piace è che una chiave di registro che fa questo è assai pericolosa, dovrebbe essere bloccata oppure le re direzioni rimosse automaticamente al riavvio, oppure controllare e non ridirezionare mai processi di sistema
Alk.