Riabilitare l’Avvio in Modalità Provvisoria per Win 2000-XP SP2/SP3-Vista

Alcuni worm tipo bagle disattivano la possibilità di accedere alla "modalità provvisoria" di
Windows (pressione ripetuta del tasto F8 al boot del sistema). Questi malware cancellano un'intera
chiave del registro di sistema disabilitando di fatto la modalità provvisoria (al suo posto, di solito,
compare una schermata blu). Il perché la modalità provvisoria venga disattivata è semplice:
utilizzandola è possibile fare in modo che il sistema operativo carichi solo ed esclusivamente file e
driver di periferica strettamente necessari. Avviando Windows in modalità provvisoria è quindi di
solito possibile evitare il caricamento delle componenti correlate al funzionamento di malware
(virus, rootkit, trojan e così via), procedendo alla loro eliminazione da questo contesto.
Per riattivare la modalità provvisoria, è possibile ricorrere ad un trucco di immediata applicazione.
E' sufficiente infatti scaricare questo file compresso, aprirlo e fare doppio clic sul file .reg
corrispondente alla versione di Windows in uso. I file proposti sono tre: uno destinato agli utenti di
Windows XP aggiornato al Service Pack 3 (SafeBoot_Windows-XP-SP3.reg), uno per i sistemi
Windows XP SP2 (SafeBoot_Windows-XP-SP2.reg) ed infine un terzo per Windows 2000
Professional Service Pack 4 (SafeBoot_Windows-2000-SP4-Pro.reg).
Si dovrà poi rispondere affermativamente alla domanda Si desidera aggiungere i dati contenuti in
nomedelfile.reg al registro?
La chiave di registro SafeBoot, che consente di accedere alla modalità provvisoria e che deve essere
sempre presente (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot),
contiene semplicemente una lista di riferimenti a driver di periferica e servizi che Windows deve
caricare all'avvio della modalità provvisoria.
In caso di presenza sul proprio sistema di rootkit o malware particolarmente aggressivi, è possibile
che il file SafeBoot.zip non risulti scaricabile. In tal caso, alla comparsa della finestra del browser
per il salvataggio del file, modificatene il nome, ad esempio, in sb.zip.
In alternativa, create un file con estensione .reg sul disco a partire dai seguenti file:
sb_XP-SP3.txt, http://www.techportal.it/dl/sb_XP-SP3.txt
sb_XP-SP2.txt http://www.techportal.it/dl/sb_XP-SP2.txt
e sb_2000-SP4-Pro.txt, http://www.techportal.it/dl/sb_2000-SP4-Pro.txt
a seconda della versione di Windows da voi installata.
La chiave "SafeBoot" del registro di Windows consta a sua volta di due sottochiavi: Network e
Minimal. All'interno delle due chiavi sono specificati gli elementi da caricare, rispettivamente, nella
versione della modalità provvisoria con e senza supporto di rete. Per inciso, quindi, chi volesse
evitare il caricamento di un driver di periferica o di un servizio specifico da modalità provvisoria,
può eliminare la chiave corrispondente dall'interno delle sezioni Network e Minimal (è comunque
sempre caldamente consigliato effettuare un backup completo della chiave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SafeBoot (tasto destro su
SafeBoot quindi Esporta).
Nel caso di infezioni malware, riattivando la modalità provvisoria con il trucco qui illustrato,
riavviando il sistema premendo ripetutamente il tasto F8 quindi eseguendo uno strumento gratuito
come Combofix (ved. questo articolo in proposito) sarà possibile eliminare tutte le infezioni più
comuni. Combofix deve essere ovviamente scaricato prima di ricorrere alla modalità provvisoria.
Suggeriamo sempre di non salvare questo strumento con il nome di default (ovvero combofix.exe)
perché molti malware sono in grado di rilevarne la presenza sul sistema ed inibirne il corretto
funzionamento. Molto meglio rinominare il file in qualcosa come
abcde.exe salvandolo quindi sul desktop di Windows.
Da modalità provvisoria basterà ricorrere al comando Start, Esegui...,
"%userprofile%\desktop\abcde.exe" /killall
per eliminare tutte le infezioni maggiormente ricorrenti.
EDSafeMode per Vista (Prima "Disabilita e dopo Abilita”)
http://www.mediafire.com/?owyuxiilny5
http://download403.mediafire.com/ebwdlkmhdmtg/owyuxiilny5/EDSafemode-
www.khailtamasha.com.r by Mιѕтєя ⓚ™