Sono in circolazione molteplici malware (uno tra tutti il diffuso virus Bagle, onnipresente sui circuiti peer-to-peer) che disattivano la possibilità di accedere alla "modalità provvisoria" di Windows (pressione ripetuta del tasto F8 al boot del sistema). Questi malware cancellano un'intera chiave del registro di sistema disabilitando di fatto la modalità provvisoria (al suo posto, di solito, compare una schermata blu).
Il perché la modalità provvisoria venga disattivata è semplice: utilizzandola è possibile fare in modo che il sistema operativo carichi solo ed esclusivamente file e driver di periferica strettamente necessari. Avviando Windows in modalità provvisoria è quindi di solito possibile evitare il caricamento delle componenti correlate al funzionamento di malware (virus, rootkit, trojan e così via), procedendo alla loro eliminazione da questo contesto.

Per riattivare la modalità provvisoria, è possibile ricorrere ad un trucco di immediata applicazione. E' sufficiente infatti scaricare questo file compresso, aprirlo e fare doppio clic sul file .reg corrispondente alla versione di Windows in uso. I file proposti sono tre: uno destinato agli utenti di Windows XP aggiornato al Service Pack 3 (SafeBoot_Windows-XP-SP3.reg), uno per i sistemi Windows XP SP2 (SafeBoot_Windows-XP-SP2.reg) ed infine un terzo per Windows 2000 Professional Service Pack 4 (SafeBoot_Windows-2000-SP4-Pro.reg).
Si dovrà poi rispondere affermativamente alla domanda Si desidera aggiungere i dati contenuti in nomedelfile.reg al registro? 

La chiave di registro SafeBoot, che consente di accedere alla modalità provvisoria e che deve essere sempre presente (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SafeBoot), contiene semplicemente una lista di riferimenti a driver di periferica e servizi che Windows deve caricare all'avvio della modalità provvisoria.

In caso di presenza sul proprio sistema di rootkit o malware particolarmente aggressivi, è possibile che il file SafeBoot.zip non risulti scaricabile. In tal caso, alla comparsa della finestra del browser per il salvataggio del file, modificatene il nome, ad esempio, in sb.zip.
In alternativa, create un file con estensione .reg sul disco a partire dai seguenti file: sb_XP-SP3.txt, sb_XP-SP2.txt e sb_2000-SP4-Pro.txt, a seconda della versione di Windows da voi installata.

La chiave "SafeBoot" del registro di Windows consta a sua volta di due sottochiavi: Network e Minimal. All'interno delle due chiavi sono specificati gli elementi da caricare, rispettivamente, nella versione della modalità provvisoria con e senza supporto di rete. Per inciso, quindi, chi volesse evitare il caricamento di un driver di periferica o di un servizio specifico da modalità provvisoria, può eliminare la chiave corrispondente dall'interno delle sezioni Network e Minimal (è comunque sempre caldamente consigliato effettuare un backup completo della chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\SafeBoot (tasto destro su SafeBoot quindi Esporta).

Nel caso di infezioni malware, riattivando la modalità provvisoria con il trucco qui illustrato, riavviando il sistema premendo ripetutamente il tasto F8 quindi eseguendo uno strumento gratuito come Combofix (ved. questo articolo in proposito) sarà possibile eliminare tutte le infezioni più comuni. Combofix deve essere ovviamente scaricato prima di ricorrere alla modalità provvisoria. Suggeriamo sempre di non salvare questo strumento con il nome di default (ovvero combofix.exe) perché molti malware sono in grado di rilevarne la presenza sul sistema ed inibirne il corretto funzionamento. Molto meglio rinominare il file in qualcosa come abcde.exe salvandolo quindi sul desktop di Windows. Da modalità provvisoria basterà ricorrere al comando Start, Esegui..., "%userprofile%\desktop\abcde.exe" /killall per eliminare tutte le infezioni maggiormente ricorrenti.

back