nottolo
25-02-2006, 18:42
Clikkando su "cerca" di windows XP non succede nulla non si apre più la finestra di ricerca.. e ora ?? :muro: :muro:
View Full Version : mi è sparito il cerca di "windows"
nottolo
27-02-2006, 23:44
Clikkando su "cerca" di windows XP non succede nulla non si apre più la finestra di ricerca.. e ora ?? :muro: :muro:
Nessun'anima buona ???? sono tre giorni che l'ho perso... mi tocca scrivere a "chi l'ha visto"
Nessun'anima buona ???? sono tre giorni che l'ho perso... mi tocca scrivere a "chi l'ha visto"
nestle
28-02-2006, 09:26
se provi a fare "tasto di windows"+f te la apre?
PrinciP
28-02-2006, 11:36
Clikkando su "cerca" di windows XP non succede nulla non si apre più la finestra di ricerca.. e ora ?? :muro: :muro:
prova un pò questa procedura:
Fai Start-->esegui e dai regsvr32 jscript.dll
poi di nuovo
Start-->esegui e dai regsvr32 vbscript.dll
prova un pò questa procedura:
Fai Start-->esegui e dai regsvr32 jscript.dll
poi di nuovo
Start-->esegui e dai regsvr32 vbscript.dll
nottolo
28-02-2006, 23:11
Fatto ma non risolto.. in entrambi i casi mi ha dato registrazione riuscita.. ma non va...
Provando anche con il tasto windows e il tasto F ma nulla
Provando anche con il tasto windows e il tasto F ma nulla
Fenomeno85
01-03-2006, 12:08
proprietà -> menu di avvio -> personalizza -> avanzate -> spunta cerca ;)
~§~ Sempre E Solo Lei ~§~
~§~ Sempre E Solo Lei ~§~
nottolo
01-03-2006, 12:13
Macchè non funge.. il pulsante c'è ma non si apre la finestra, ho anche provato a togliere la spunta e poi rimetterla ma nulla
Spaghetti
01-03-2006, 12:41
disattiva il debbugger di windows e riceverai sicuramente un errore quando tenti di usare la funzione di ricerca... poi posta l'errore che ricevi...
per disattivare il debbugger inserisci la chiave di registro che ti ho allegata e rispondi si alla domanda di aggiunta che ti viene fatta.
per disattivare il debbugger inserisci la chiave di registro che ti ho allegata e rispondi si alla domanda di aggiunta che ti viene fatta.
nottolo
01-03-2006, 20:42
Spaghetti... l'ho fatto ho aggiunto la chiave ma quando clicco su cerca non coompare nulla nessun errore.. mi sembra una cosa impossibile.. ma è così anzi.. magari rimandami l'operazione inversa.. e se ti viene in mente qualcosaltro.. più tardi torno... :cry: :cry: :cry:
Spaghetti
01-03-2006, 23:07
la chiave per ripristinare il debbugger è in allegato comunque ti consiglio di lascialo disattivato visto che non fa altro che rompere le palle rallentando windows quando un programma si blocca e lasciandoti ad aspettare come un fesso quando un programma non parte, sottraendoti preziose informazioni sull'applicazione che va in stallo...
Comunque veniamo al problema... ho fatto un paio di prove sul mio muletto/cavia ( :asd: ) e mi sento di consigliarti questi due metodi di ripristino:
start -> esegui -> Regsvr32.exe C:\WINDOWS\srchasst\srchui.dll
questa dll serve per l'interfaccia "amichevole" della funzione cerca... quando non è registrata la funzione cerca fa lo stesso il suo lavoro ma si presenta con uno stile win 9x (che io e molti preferiscono)... se dov'esse esserci un problema sul richiamo della dll così potresti risolvere... in tal caso la causa potrebbe essere stato un qualche software per la modifica dei temi del desktop tipo stylexp...
ora il metodo più invasivo:
start -> esegui -> regedit ; raggiungi la posizione HKEY_CURRENT_USER\Software\Microsoft\Search Assistant clicca col destro sulla chiave "Search Assistant" (le chiavi sono quelle con l'icona come una piccola cartella e stanno sulla destra) e scegli esporta, scegli un posto e un nome per salvare la chiave... in questo modo abbiamo conservato la chiave da ripristinare nel caso qualcosa va storto. Ora clicca nuovamente sulla chiave "Search Assistant" e scegli elimina, rispondi si, chiudi il registro e prova ad avviare la funzione ricerca... windows ricrea automaticamente la chiave che abbiamo eliminato e le relative sottochiavi e valori impostando tutto su default come da installazione...
se ancora non va scarica il file in allegato di nome balloon.xsl e copialo in C:\WINDOWS\srchasst\mui\0410 sovrascrivendo il vecchio... questo file è cruciale per il funzionamento della ricerca file e potrebbe essersi danneggiato, se lo si cancella e si cerca di fare una ricerca viene restituito un errore e l'ambaradan non va... Gli altri file della cartella srchasst si ricreano automaticamente se cancellati.
Comunque veniamo al problema... ho fatto un paio di prove sul mio muletto/cavia ( :asd: ) e mi sento di consigliarti questi due metodi di ripristino:
start -> esegui -> Regsvr32.exe C:\WINDOWS\srchasst\srchui.dll
questa dll serve per l'interfaccia "amichevole" della funzione cerca... quando non è registrata la funzione cerca fa lo stesso il suo lavoro ma si presenta con uno stile win 9x (che io e molti preferiscono)... se dov'esse esserci un problema sul richiamo della dll così potresti risolvere... in tal caso la causa potrebbe essere stato un qualche software per la modifica dei temi del desktop tipo stylexp...
ora il metodo più invasivo:
start -> esegui -> regedit ; raggiungi la posizione HKEY_CURRENT_USER\Software\Microsoft\Search Assistant clicca col destro sulla chiave "Search Assistant" (le chiavi sono quelle con l'icona come una piccola cartella e stanno sulla destra) e scegli esporta, scegli un posto e un nome per salvare la chiave... in questo modo abbiamo conservato la chiave da ripristinare nel caso qualcosa va storto. Ora clicca nuovamente sulla chiave "Search Assistant" e scegli elimina, rispondi si, chiudi il registro e prova ad avviare la funzione ricerca... windows ricrea automaticamente la chiave che abbiamo eliminato e le relative sottochiavi e valori impostando tutto su default come da installazione...
se ancora non va scarica il file in allegato di nome balloon.xsl e copialo in C:\WINDOWS\srchasst\mui\0410 sovrascrivendo il vecchio... questo file è cruciale per il funzionamento della ricerca file e potrebbe essersi danneggiato, se lo si cancella e si cerca di fare una ricerca viene restituito un errore e l'ambaradan non va... Gli altri file della cartella srchasst si ricreano automaticamente se cancellati.
nottolo
01-03-2006, 23:53
Ciao Spagetti.. ma il tuo vero nome è Gates.. Bill Gates... :D :D :D ma sai tutto.. però.. :cry: le ho provate tutte in ordine.. ma nulla di fatto è successo.
Clikki sul tasto cerca e nulla non succede nulla. Ne un errore, ne un niente. Come se non avessi cliccato. anche dall'account di mio figlio succede uguale.. :mc: :mc: :mc: :mc: :mc: :mc: :mc:
Clikki sul tasto cerca e nulla non succede nulla. Ne un errore, ne un niente. Come se non avessi cliccato. anche dall'account di mio figlio succede uguale.. :mc: :mc: :mc: :mc: :mc: :mc: :mc:
Spaghetti
02-03-2006, 01:45
Ciao Spagetti.. ma il tuo vero nome è Gates.. Bill Gates... :D :D :D ma sai tutto..
:sofico: secondo me cernoBill neanche lo usa il suo sistema operativo :asd:
cmq... questa volta mi sa che ci siamo... se non ci sono stati programmini tipo stylexp o freshui di mezzo dovresti risolvere così :
start -> esegui -> gpedit.msc
raggiungi la posizione configurazione utente\modelli amministrativi\menù di avvio e barra delle applicazioni
sulla destra cerca la voce "rimuovi la voce cerca dal menù di avvio", fai doppio clic su di essa e disattivala o impostala su non configurato... ma direi per sicurezza disattiva... :asd:
se neanche così và... :muro: cancella la relativa dword nel registro che controlla questa impostazione... la trovi in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer e si chiama NoFind... CANCELLALA !!! :huh:
ora... se hai risolto tieni conto che queste sono le tipiche azioni occultatrici messe in atto da virus... perciò ammenochè tu non hai un fratello burlone a casa che si diverte a farti sti skerzi... riavvia in modalità provvisoria e completa una scansione col tuo antivirus...
edit: e mi raccomando stai lontano da programmini che "moddano" l'interfaccia di windows... creano una marea di problemi di questo tipo... e a volte non si risolvono affatto... -->:read: (http://www.hwupgrade.it/forum/showthread.php?t=1064796&page=1&pp=20&highlight=freshui)
:sofico: secondo me cernoBill neanche lo usa il suo sistema operativo :asd:
cmq... questa volta mi sa che ci siamo... se non ci sono stati programmini tipo stylexp o freshui di mezzo dovresti risolvere così :
start -> esegui -> gpedit.msc
raggiungi la posizione configurazione utente\modelli amministrativi\menù di avvio e barra delle applicazioni
sulla destra cerca la voce "rimuovi la voce cerca dal menù di avvio", fai doppio clic su di essa e disattivala o impostala su non configurato... ma direi per sicurezza disattiva... :asd:
se neanche così và... :muro: cancella la relativa dword nel registro che controlla questa impostazione... la trovi in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer e si chiama NoFind... CANCELLALA !!! :huh:
ora... se hai risolto tieni conto che queste sono le tipiche azioni occultatrici messe in atto da virus... perciò ammenochè tu non hai un fratello burlone a casa che si diverte a farti sti skerzi... riavvia in modalità provvisoria e completa una scansione col tuo antivirus...
edit: e mi raccomando stai lontano da programmini che "moddano" l'interfaccia di windows... creano una marea di problemi di questo tipo... e a volte non si risolvono affatto... -->:read: (http://www.hwupgrade.it/forum/showthread.php?t=1064796&page=1&pp=20&highlight=freshui)
nottolo
02-03-2006, 22:02
Riporto gli ultimi passaggi:
Ho eseguito quando consigliato da Spaghetti,
start -> esegui -> gpedit.msc
raggiungi la posizione configurazione utente\modelli amministrativi\menù di avvio e barra delle applicazioni
sulla destra cerca la voce "rimuovi la voce cerca dal menù di avvio", fai doppio clic su di essa e disattivala o impostala su non configurato... ma direi per sicurezza disattiva...
non ho risolto sono andato avanti
cancella la relativa dword nel registro che controlla questa impostazione... la trovi in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer e si chiama NoFind... CANCELLALA
non c'è la chiave... :mc: :mc: ho riavviato in provvisoria e ho scansionato nessun virus trovato (ho NOD 32 ufficialmente pagato) ho un ottimo firewall nel router non ho riscontrato nessun altro difetto nel PC, non ho toccato nulla in windows che potesse modificarne l'aspetto.. :muro: :muro: :muro: :muro: :muro: mio figlio è l'unico che accede e non è amministratore e comunque non ha fatto nulla di strano
Ho eseguito quando consigliato da Spaghetti,
start -> esegui -> gpedit.msc
raggiungi la posizione configurazione utente\modelli amministrativi\menù di avvio e barra delle applicazioni
sulla destra cerca la voce "rimuovi la voce cerca dal menù di avvio", fai doppio clic su di essa e disattivala o impostala su non configurato... ma direi per sicurezza disattiva...
non ho risolto sono andato avanti
cancella la relativa dword nel registro che controlla questa impostazione... la trovi in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer e si chiama NoFind... CANCELLALA
non c'è la chiave... :mc: :mc: ho riavviato in provvisoria e ho scansionato nessun virus trovato (ho NOD 32 ufficialmente pagato) ho un ottimo firewall nel router non ho riscontrato nessun altro difetto nel PC, non ho toccato nulla in windows che potesse modificarne l'aspetto.. :muro: :muro: :muro: :muro: :muro: mio figlio è l'unico che accede e non è amministratore e comunque non ha fatto nulla di strano
Spaghetti
02-03-2006, 22:18
se la dword nofind non c'è creala... e dagli valore 1... riavvia il pc e al nuovo login cancella la dword che hai precedentemente creato o assegna valore zero... riavvia nuovamente e vedi un pò che succede...
l'impostazione che controlla il riachiamo della funzione cerca è quella... non c'è alcun dubbio... io ho provato ad attivarla e sono riuscito a riprodurre sul mio pc il tuo problema... infatti una volta attivata non riuscivo più ad accedere alla funzione cerca in nessun modo... ne con F3 ne con windows+f e neanche tramite i tasti di esplora risorse... una volta disattivata ho poi riacquisito la funzione
se non riesci a risolvere così vuol dire che c'è qualcosa che controlla quella chiave ed ha il sopravvento sulle tue impostazioni... prova a fare una scansione con spybot e postami l'elenco delle applicazioni che hai in avvio, le trovi eseguendo msconfig nella scheda avvio e nelle seguenti voci di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
l'impostazione che controlla il riachiamo della funzione cerca è quella... non c'è alcun dubbio... io ho provato ad attivarla e sono riuscito a riprodurre sul mio pc il tuo problema... infatti una volta attivata non riuscivo più ad accedere alla funzione cerca in nessun modo... ne con F3 ne con windows+f e neanche tramite i tasti di esplora risorse... una volta disattivata ho poi riacquisito la funzione
se non riesci a risolvere così vuol dire che c'è qualcosa che controlla quella chiave ed ha il sopravvento sulle tue impostazioni... prova a fare una scansione con spybot e postami l'elenco delle applicazioni che hai in avvio, le trovi eseguendo msconfig nella scheda avvio e nelle seguenti voci di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
nottolo
02-03-2006, 22:43
Fatto... è sparito il tasto cerca e poi è ricomparso dopo aver disabilitato la dword ma non funziona ancora.
http://img126.imageshack.us/img126/1681/avvio7cs.th.jpg (http://img126.imageshack.us/my.php?image=avvio7cs.jpg)
http://img126.imageshack.us/img126/1681/avvio7cs.th.jpg (http://img126.imageshack.us/my.php?image=avvio7cs.jpg)
nottolo
02-03-2006, 22:50
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
http://img490.imageshack.us/img490/796/a11je.jpg (http://imageshack.us)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
http://img440.imageshack.us/img440/4177/a21bg.jpg (http://imageshack.us)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
http://img490.imageshack.us/img490/9451/a34dn.jpg (http://imageshack.us)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
http://img490.imageshack.us/img490/9593/a20fu.jpg (http://imageshack.us)
Tengo pulito il pc usando spesso.. Spybot e AdAware oltre che Ashampoo,Registry Mechanic, JV 16..
http://img490.imageshack.us/img490/796/a11je.jpg (http://imageshack.us)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
http://img440.imageshack.us/img440/4177/a21bg.jpg (http://imageshack.us)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
http://img490.imageshack.us/img490/9451/a34dn.jpg (http://imageshack.us)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
http://img490.imageshack.us/img490/9593/a20fu.jpg (http://imageshack.us)
Tengo pulito il pc usando spesso.. Spybot e AdAware oltre che Ashampoo,Registry Mechanic, JV 16..
Spaghetti
02-03-2006, 23:12
da msconfig togli:
nerocheck
dumprep (ce ne sono 2)
psdrvcheck
jusched
ituneshelper
qttask
W (che tra l'altro mi puzza un tantino)
acrobat reader
printkey_pro (se non utilizzi l'utility per la cattura delle immagini spesso)
adobe gamma
queste sono tutte cose molto inutili... ti lascio comunque tenere il resto perchè potrebbe essere per te di uso quotidiano e quindi comode in avvio... ma se fosse per me di tutto quel casino rimarrebbe ben poco...
la cosa che più mi lascia insospettito è quel "W" che visto anche dal punto di vista delle chiavi di registro che mi hai postato dopo e vista questa pagina (http://www.liutilities.com/products/wintaskspro/processlibrary/scanregistry/) e questa (http://www.liutilities.com/products/wintaskspro/processlibrary/w/) mi fa pensare che sia la causa... probabilmente si occupa, tra le altre cose, di vietarti di modificare la voce nofind...
por ora toglila dall'avvio e poi accedi al taskmanager e se trovi un processo di nome scanregistry.exe terminalo... riavvia e assicurati che questo processo non compaia più in task managere non si sia rimesso in avvio... ora puoi provare a riattivare il tastoi cerca dai criteri di gruppo come ti ho descritto sopra
nerocheck
dumprep (ce ne sono 2)
psdrvcheck
jusched
ituneshelper
qttask
W (che tra l'altro mi puzza un tantino)
acrobat reader
printkey_pro (se non utilizzi l'utility per la cattura delle immagini spesso)
adobe gamma
queste sono tutte cose molto inutili... ti lascio comunque tenere il resto perchè potrebbe essere per te di uso quotidiano e quindi comode in avvio... ma se fosse per me di tutto quel casino rimarrebbe ben poco...
la cosa che più mi lascia insospettito è quel "W" che visto anche dal punto di vista delle chiavi di registro che mi hai postato dopo e vista questa pagina (http://www.liutilities.com/products/wintaskspro/processlibrary/scanregistry/) e questa (http://www.liutilities.com/products/wintaskspro/processlibrary/w/) mi fa pensare che sia la causa... probabilmente si occupa, tra le altre cose, di vietarti di modificare la voce nofind...
por ora toglila dall'avvio e poi accedi al taskmanager e se trovi un processo di nome scanregistry.exe terminalo... riavvia e assicurati che questo processo non compaia più in task managere non si sia rimesso in avvio... ora puoi provare a riattivare il tastoi cerca dai criteri di gruppo come ti ho descritto sopra
nottolo
02-03-2006, 23:29
in effetti. quando ho visto il W mi è puzzato subito anche a me.. ma spybot lo ho passato, e ha pulito come al solito, adAware anche.. ho fatto il tutto ma purtroppo ancora non va..
intanto ti ringrazio della gentilezza e continuo la sfida.. fra l'altro mi compare ora
http://img408.imageshack.us/img408/4474/a40ya.jpg (http://imageshack.us)
:mbe:
intanto ti ringrazio della gentilezza e continuo la sfida.. fra l'altro mi compare ora
http://img408.imageshack.us/img408/4474/a40ya.jpg (http://imageshack.us)
:mbe:
Spaghetti
02-03-2006, 23:34
questa è una normalissima finestra rompiscatole di windows... e compare ogni volta che riavvi dopo aver fatto un cambiamento in msconfig... non ti preoccupare metti il segno di spunta e fai ok che non ti appare più... che mi dici di scanregisrty.exe in task manager?... dalle info sembra essere uno spyware.. e potrebbe essere il responsabile del tuo problema
nottolo
02-03-2006, 23:37
NON C'è... stò scaricando wintasks pro 5 provo con quello.. mi è puzzato il W ma non lo trovo nel C
Spaghetti
02-03-2006, 23:43
wintask è molto fumo e poco arrosto... è buono solo per le info sui processi... piuttosto fai una scansione online con trend all'indirizzo http://it.trendmicro-europe.com/
nottolo
03-03-2006, 00:49
Trend Micro on line.. ha detto tutto ok...
James Axton
03-03-2006, 11:51
Altre 2 opzioni: raggiungi il percorso windows/inf, cerca srchasst.inf, tasto destro>installa.
Oppure prova ad utilizzare la chiave di registro che ti allego -rinomina in .reg e doppio click-.
Oppure prova ad utilizzare la chiave di registro che ti allego -rinomina in .reg e doppio click-.
nottolo
03-03-2006, 13:58
Aggiornamento della situazione..
dopo le prove fatto con i metodi di James..
installando la chiave allegata va tutto a buon fine, ma non funziona lo stesso, seguendo la procedura di installare il srchasst si ottiene un errore quando cerca di estrarre i file compressi dal disco di windows. Non li trova nessuno dei 4 che cerca. Ovviamente ci sono, e ho provato anche a metterglieli sull' HD e poi dargli la posizione ma non lo installa... :cry: :cry:
dopo le prove fatto con i metodi di James..
installando la chiave allegata va tutto a buon fine, ma non funziona lo stesso, seguendo la procedura di installare il srchasst si ottiene un errore quando cerca di estrarre i file compressi dal disco di windows. Non li trova nessuno dei 4 che cerca. Ovviamente ci sono, e ho provato anche a metterglieli sull' HD e poi dargli la posizione ma non lo installa... :cry: :cry:
Spaghetti
03-03-2006, 14:53
purtroppo quei due metodi funzionano quando la ricerca funziona in modo errato restituendo errori ed avvisi quando si tenta di lanciare la funzione... nel tuo caso la ricerca non riesci neanche a lanciarla !!! e questo a mio parere dipende dalla chiave nofind che per qualche motivo viene ignorata così come viene ignorato il relativo criterio di gruppo...
la procedura di installazione con srchasst.inf sostituisce tutti i file e le dll della funzione cerca che si trovano nella cartella c:\windows\srchasst e di cui ti ho già mandato il ballon.xls che è il più importante tra quei file insieme a bar.xls... provo a darti anche il bar.xls (in allegato) che sostituirai come hai fatto per ballon.xls.
che errore ti dà quando gli indichi la posizione dei file sul cd di xp durante l'installazione di srchasst.inf ?
se ancora nulla di fatto dammi la mail in pvt che ti mando l'intera cartella srchasst da sostituire alla tua... è un po pesante da mettere in allegato qui sul forum...
inoltre postami una screenshoot di quello che hai in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer e i relativi valori
poi controlla se hai le autorizzazioni per poter cambire le voci della chiave "policies", per farlo clicca col destro su policies e scegli autorizzazioni e postami la scrrenshot di quella finestra
la procedura di installazione con srchasst.inf sostituisce tutti i file e le dll della funzione cerca che si trovano nella cartella c:\windows\srchasst e di cui ti ho già mandato il ballon.xls che è il più importante tra quei file insieme a bar.xls... provo a darti anche il bar.xls (in allegato) che sostituirai come hai fatto per ballon.xls.
che errore ti dà quando gli indichi la posizione dei file sul cd di xp durante l'installazione di srchasst.inf ?
se ancora nulla di fatto dammi la mail in pvt che ti mando l'intera cartella srchasst da sostituire alla tua... è un po pesante da mettere in allegato qui sul forum...
inoltre postami una screenshoot di quello che hai in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer e i relativi valori
poi controlla se hai le autorizzazioni per poter cambire le voci della chiave "policies", per farlo clicca col destro su policies e scegli autorizzazioni e postami la scrrenshot di quella finestra
nottolo
04-03-2006, 21:24
Ciao mitico Spaghe..
allora sostituendo il file bar.xls non ho risolto.. se tento di reinstallare gli do installa e sfoglio, metto come percorso F:\I386 (dal disco di XP) il file c'è ma mi dice impossibile copiare msgr3en.dll e se ignoro mi da lo stesso per gli altri files..
Dentro la cartella HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
c'è solo http://img310.imageshack.us/img310/4830/a60rm.jpg (http://imageshack.us)
http://img490.imageshack.us/img490/5943/a54ya.jpg (http://imageshack.us)
la mia mail te la ho girata in PVT
Ma questa W che si vede e non esiste.. non è strana ??
http://img411.imageshack.us/img411/6453/a77xz.jpg (http://imageshack.us)
allora sostituendo il file bar.xls non ho risolto.. se tento di reinstallare gli do installa e sfoglio, metto come percorso F:\I386 (dal disco di XP) il file c'è ma mi dice impossibile copiare msgr3en.dll e se ignoro mi da lo stesso per gli altri files..
Dentro la cartella HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
c'è solo http://img310.imageshack.us/img310/4830/a60rm.jpg (http://imageshack.us)
http://img490.imageshack.us/img490/5943/a54ya.jpg (http://imageshack.us)
la mia mail te la ho girata in PVT
Ma questa W che si vede e non esiste.. non è strana ??
http://img411.imageshack.us/img411/6453/a77xz.jpg (http://imageshack.us)
Spaghetti
04-03-2006, 22:08
ti ho inviato la mail... ;)
per autorizzare l'utente "main" con cui effettui tali modifiche devi selezionare "main" dalla scheda di cui mi hai postato l'immagine e dal riquadro di sotto metti i flag su consenti controllo completo... una volta fatto questo riprova con i tentativi fatti finora e che non sono andati a buon fine ed in particolare con i criteri di gruppo.
la W è il residuo di uno spyware... dico residuo perchè se trend e altri vari antivirali non trovano niente vuol dire che è pulito... cmq potresti provare a trovarlo quel W... fai così (sperando che la ricerca in questo modo funzioni... è un piccolo trucchetto che ti dovrai abituare ad usare se non risolviamo! :rolleyes: ):
apri la directory c e sulla sinistra potrai vedere delle opzioni del tipo "nascondi contenuto dell'unità", "installazioni applicazioni" e "cerca file o cartelle..." clicca su quest'ultima voce... almeno qui dovrebbe funzionare... e cerca questo W...
per autorizzare l'utente "main" con cui effettui tali modifiche devi selezionare "main" dalla scheda di cui mi hai postato l'immagine e dal riquadro di sotto metti i flag su consenti controllo completo... una volta fatto questo riprova con i tentativi fatti finora e che non sono andati a buon fine ed in particolare con i criteri di gruppo.
la W è il residuo di uno spyware... dico residuo perchè se trend e altri vari antivirali non trovano niente vuol dire che è pulito... cmq potresti provare a trovarlo quel W... fai così (sperando che la ricerca in questo modo funzioni... è un piccolo trucchetto che ti dovrai abituare ad usare se non risolviamo! :rolleyes: ):
apri la directory c e sulla sinistra potrai vedere delle opzioni del tipo "nascondi contenuto dell'unità", "installazioni applicazioni" e "cerca file o cartelle..." clicca su quest'ultima voce... almeno qui dovrebbe funzionare... e cerca questo W...
nottolo
04-03-2006, 22:15
La cartella che mi hai invialo la copio e la incollo pari pari
non ho ben capito quelle opzioni sulla sinistra..
intanto comunque.. http://img46.imageshack.us/img46/5024/a82vx.jpg (http://imageshack.us)
non ho ben capito quelle opzioni sulla sinistra..
intanto comunque.. http://img46.imageshack.us/img46/5024/a82vx.jpg (http://imageshack.us)
Spaghetti
04-03-2006, 22:19
a te quel W non ti puzza come invece diceva Jamers.. qualche post fa ?
La cartella che mi hai invialo la copio e la incollo pari pari
ero io a dire che mi puzzava... :asd:
si copiala e sovrascrivi così com'è... ovviamente scompatta... :sofico:
stiamo a fa un casino con gli edit... :asd: :asd: :rotfl:
La cartella che mi hai invialo la copio e la incollo pari pari
ero io a dire che mi puzzava... :asd:
si copiala e sovrascrivi così com'è... ovviamente scompatta... :sofico:
stiamo a fa un casino con gli edit... :asd: :asd: :rotfl:
nottolo
04-03-2006, 22:28
non funge,... nemmeno adesso.. ora con il discorso autorizzazioni vado un pò nel delicato.. ho i miei limiti.. pochi ma qualcuno ce l'ho... Visto cosa mi ha trovato il TGsoft antivirus ? forse non è il problema.. ma comunque non lo ha rimosso
Spaghetti
04-03-2006, 22:43
allora... visto che con la cartella che ti ho mandato non funziona possiamo dire che sicuramente il problema non è sui file... ma è proprio con la dword nofind... e sarà confermato se mi dici che il trucchetto per cercare i file funziona, questo perchè la dword nofind non agisce sulle impo di internet explorer...
per il trucchetto e per le autorizzazioni consulta le immagini... ti ho evidenziato in rosso quello che devi fare...
per quello che hai trovato con tgsoft il problema è stato poi corretto?
per il trucchetto e per le autorizzazioni consulta le immagini... ti ho evidenziato in rosso quello che devi fare...
per quello che hai trovato con tgsoft il problema è stato poi corretto?
nottolo
04-03-2006, 22:51
Fatto , sistemate le autorizzazioni-- si la visualizzazione... io la tengo senza quella robaccia a sinistra prende posto e basta.. comunque da li la ricerca funziona..
il problema del backdoor infetto l'ho risolto, ho cancellato il file..tanto era dell'help di adobe che mi frega
il problema del backdoor infetto l'ho risolto, ho cancellato il file..tanto era dell'help di adobe che mi frega
Spaghetti
04-03-2006, 22:58
Fatto , sistemate le autorizzazioni--
bene ora riprova a disabilitare voce "rimuovi la voce cerca dal menù di avvio" da configurazione utente\modelli amministrativi\menù di avvio e barra delle applicazioni in criteri di gruppo
si la visualizzazione... io la tengo senza quella robaccia a sinistra prende posto e basta.. comunque da li la ricerca funziona..
questo prova che il problema è proprio la dword nofind del registro che non vuole saperne di disattivarsi... infatti ottengo lo stesso identico comportamento quando la attivo... solo che poi io riesco a disattivarla anche cancellandola...
questa insistenza o è dovuta ad un malware che prende il controllo o dalle autorizzazioni negate (ma in questo caso risolvi con il cambiamento che ti ho fatto fare) o dall'uso di software come stylexp e freshui che però come hai già detto non hai mai usato...
bene ora riprova a disabilitare voce "rimuovi la voce cerca dal menù di avvio" da configurazione utente\modelli amministrativi\menù di avvio e barra delle applicazioni in criteri di gruppo
si la visualizzazione... io la tengo senza quella robaccia a sinistra prende posto e basta.. comunque da li la ricerca funziona..
questo prova che il problema è proprio la dword nofind del registro che non vuole saperne di disattivarsi... infatti ottengo lo stesso identico comportamento quando la attivo... solo che poi io riesco a disattivarla anche cancellandola...
questa insistenza o è dovuta ad un malware che prende il controllo o dalle autorizzazioni negate (ma in questo caso risolvi con il cambiamento che ti ho fatto fare) o dall'uso di software come stylexp e freshui che però come hai già detto non hai mai usato...
nottolo
04-03-2006, 23:01
bene ora riprova a disabilitare voce "rimuovi la voce cerca dal menù di avvio" da configurazione utente\modelli amministrativi\menù di avvio e barra delle applicazioni in criteri di gruppo
Mi sono perso da dove ci arrivo
Mi sono perso da dove ci arrivo
Spaghetti
04-03-2006, 23:01
start->esegui->gpedit.msc
nottolo
04-03-2006, 23:05
sparisce se la attivo e riappare se la disattivo.. ma non va
il problema mio ti ricordo che il pulsante c'è ma non funziona, invece se attivo quella voce il pulsante sparisce
il problema mio ti ricordo che il pulsante c'è ma non funziona, invece se attivo quella voce il pulsante sparisce
Spaghetti
04-03-2006, 23:25
aspetta.. altrimenti si fa confusione...
se decidi di operare dal registro per far funzionare la ricerca devi impostare su 0 la dword nofind o devi cancellarla.
mentre se operi dai criteri di gruppo (gpedit.msc) per far funzionare la ricerca devi disattivare la voce "rimuovi la voce cerca dal menù di avvio".
disattivare la voce "rimuovi la voce cerca dal menù di avvio" equivale a impostare su 0 (o cancellare) la dword nofind e viceversa...
entrambi i metodi portano allo stesso fine... solo che con i criteri di gruppo hai un effetto in tempo reale mentre se cambi la dword dal registro devi disconnettere l'utente e riconnetterlo per vedere l'effetto dei cambiamenti.
Il fatto che tu il pulsante lo hai ma non funziona è un'altro conto... la modifica sopra descritta non solo ti toglie il pulsante ma ti impedisce anche di accedere alla funzione cerca da qualsiasi via ( tasto F3, tasto windows + tasto f,...) tranne seguendo il trucchetto descritto prima... e quindi il tuo problema è proprio la dword nofind...
la strada è giusta solo che c'è qualcosa (e a questo punto rimane solo l'ipotesi malware) che scavalca le impostazioni che tu decidi sulla dword nofind.
la stessa cosa è successa tempo fa ad altro membro del forum con un'impostazione della barra delle applicazioni.... VEDI QUI (http://www.hwupgrade.it/forum/showthread.php?t=1064796&page=2) e per il quale ho da poco trovato una soluzione... in allegato ti ho messo una voce di registro da aggiungere, che è parte di quelle che hanno risolto il problema all'altro membro... prova un pò ad inserirle... "le vie di windows sono infinite"... anche se è un po come arrampicarsi sugli specchi :mc: , purtroppo siamo arrivati ad un punto di stallo... almeno per me... magari si decide a passare un cervellone... a mio parere viste tutto quello che abbiamo provato la causa è un malware... un'ultima cosa che posso consigliarti (per ora) è di riavviare in modalità provvisoria, accedere con l'utente administrator e riprovare tutte le soluzioni che abbiamo provato fino ad ora... :boh:
se decidi di operare dal registro per far funzionare la ricerca devi impostare su 0 la dword nofind o devi cancellarla.
mentre se operi dai criteri di gruppo (gpedit.msc) per far funzionare la ricerca devi disattivare la voce "rimuovi la voce cerca dal menù di avvio".
disattivare la voce "rimuovi la voce cerca dal menù di avvio" equivale a impostare su 0 (o cancellare) la dword nofind e viceversa...
entrambi i metodi portano allo stesso fine... solo che con i criteri di gruppo hai un effetto in tempo reale mentre se cambi la dword dal registro devi disconnettere l'utente e riconnetterlo per vedere l'effetto dei cambiamenti.
Il fatto che tu il pulsante lo hai ma non funziona è un'altro conto... la modifica sopra descritta non solo ti toglie il pulsante ma ti impedisce anche di accedere alla funzione cerca da qualsiasi via ( tasto F3, tasto windows + tasto f,...) tranne seguendo il trucchetto descritto prima... e quindi il tuo problema è proprio la dword nofind...
la strada è giusta solo che c'è qualcosa (e a questo punto rimane solo l'ipotesi malware) che scavalca le impostazioni che tu decidi sulla dword nofind.
la stessa cosa è successa tempo fa ad altro membro del forum con un'impostazione della barra delle applicazioni.... VEDI QUI (http://www.hwupgrade.it/forum/showthread.php?t=1064796&page=2) e per il quale ho da poco trovato una soluzione... in allegato ti ho messo una voce di registro da aggiungere, che è parte di quelle che hanno risolto il problema all'altro membro... prova un pò ad inserirle... "le vie di windows sono infinite"... anche se è un po come arrampicarsi sugli specchi :mc: , purtroppo siamo arrivati ad un punto di stallo... almeno per me... magari si decide a passare un cervellone... a mio parere viste tutto quello che abbiamo provato la causa è un malware... un'ultima cosa che posso consigliarti (per ora) è di riavviare in modalità provvisoria, accedere con l'utente administrator e riprovare tutte le soluzioni che abbiamo provato fino ad ora... :boh:
nottolo
05-03-2006, 17:06
Ho fatto 180.000 prove.. ma non sono a nulla.. ho rimosso il W con startup delayer, ma di fatto ancora nulla.. il cerca non va. Pendo dalle vostre labbra..
Spaghetti
05-03-2006, 17:31
neanche da administrator in modalità provvisoria? :rolleyes:
so di coccio :muro: non mi arrendo :asd:
in attesa di migliori idee fammi avere un paio di queste screenshoot:
-da regedit tasto destro sulla radice hkey_current_user e scegli autorizzazioni, seleziona il tuo utente (main) e fai screenshoot
-fai lo stesso per la radice hkey_users
-sempre da regedit raggiungi HKEY_USERS\x-x-x-x-xxx-xxx-xxx-xxx\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
e fai na foto alle chiavi che hai li dentro...
so di coccio :muro: non mi arrendo :asd:
in attesa di migliori idee fammi avere un paio di queste screenshoot:
-da regedit tasto destro sulla radice hkey_current_user e scegli autorizzazioni, seleziona il tuo utente (main) e fai screenshoot
-fai lo stesso per la radice hkey_users
-sempre da regedit raggiungi HKEY_USERS\x-x-x-x-xxx-xxx-xxx-xxx\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
e fai na foto alle chiavi che hai li dentro...
nottolo
05-03-2006, 18:42
Meno male che sei de coccio.. mi fa molto piacere...
ecco quà..
http://img128.imageshack.us/img128/5379/a91lp.jpg (http://imageshack.us)
http://img128.imageshack.us/img128/7066/a102xf.jpg (http://imageshack.us)
le chiavi sono dentro a
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
mancano la serie di numeri che tu avevi segnato con x-x-x-x-xxx-xxx-xxx-xxx
http://img349.imageshack.us/img349/9521/a115gs.jpg (http://imageshack.us)
ecco quà..
http://img128.imageshack.us/img128/5379/a91lp.jpg (http://imageshack.us)
http://img128.imageshack.us/img128/7066/a102xf.jpg (http://imageshack.us)
le chiavi sono dentro a
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
mancano la serie di numeri che tu avevi segnato con x-x-x-x-xxx-xxx-xxx-xxx
http://img349.imageshack.us/img349/9521/a115gs.jpg (http://imageshack.us)
Spaghetti
05-03-2006, 19:05
le dword sono ok...
dalle finestre che mi hai postato seleziona uno per volta i nomi che vedi (administrators, main, eccetra...) e per ognuno di loro imposta le autorizzazioni su consenti controllo completo
nella ormai famosa chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
crea l'altrettanto famosa dword NoFind e imposta il valore su zero... riavvia il sistema per vedere se le modifiche ora hanno effetto...
se niente... crea un altro utente sempre con credenziali di amministratore del sistema, accedi con quel nome utente al prossimo riavvio e riprova ad impostare la dword nofind su zero con questo utente... ovviamente riavvia e vedi un po... con speranza... :rolleyes:
dalle finestre che mi hai postato seleziona uno per volta i nomi che vedi (administrators, main, eccetra...) e per ognuno di loro imposta le autorizzazioni su consenti controllo completo
nella ormai famosa chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
crea l'altrettanto famosa dword NoFind e imposta il valore su zero... riavvia il sistema per vedere se le modifiche ora hanno effetto...
se niente... crea un altro utente sempre con credenziali di amministratore del sistema, accedi con quel nome utente al prossimo riavvio e riprova ad impostare la dword nofind su zero con questo utente... ovviamente riavvia e vedi un po... con speranza... :rolleyes:
nottolo
05-03-2006, 19:27
per ora nulla di nuovo, gli utenti main e administrator sono abilitati e la Dword ha valore 0 ma il tasto non va. Ci sentiamo dopo...
Spaghetti
06-03-2006, 23:58
:( del nuovo utente creato con diritti di amministratore che mi dici?
suppongo che tu abbia già prova un punto di ripristino ad una data precedente al fattaccio vero?
EDIT: prova a far partire la ricerca come di consueto e poi fai:
start->esegui->eventvwr.msc /s
dimmi se negli elenchi trovi qualche avviso o errore particolare registrato al momento esatto in cui hai tentato di far partire la funzione cerca
suppongo che tu abbia già prova un punto di ripristino ad una data precedente al fattaccio vero?
EDIT: prova a far partire la ricerca come di consueto e poi fai:
start->esegui->eventvwr.msc /s
dimmi se negli elenchi trovi qualche avviso o errore particolare registrato al momento esatto in cui hai tentato di far partire la funzione cerca
nottolo
07-03-2006, 00:07
ciao, ho creato il nuovo utente e non ho riscontrato nessuna miglioria come al solito.. poi ho provato come dicevi a lanciare il cerca e poi eventvwr.msc /s ma non rileva nulla, e infine.. punti di ripristino.. non sono tornato indietro.. sicuramente ho installato roba.. e mi scoccia un pò tornare indietro non sapendo cosa perdo..
Spaghetti
07-03-2006, 02:32
sono riuscito a riprodurre al 99 % il tuo problema sul mio pc...
ora anche a me viene ignorato il valore di nofind così come le impostazioni dei criteri di gruppo... (vuoi vedere che alla fine ci rimango incastrato anche io!!! :asd: ) più che altro viene ignorata la dword nofind che si trova nella posizione hkey_users e hkey_current_users e questo avviene perchè la dword nofind può essere creata anche in un'altro ramo di chiavi... e cioè l'hkey_local_machine... se lo si crea qui dentro tutte le altre impostazioni riguardanti nofind vengono prevalicate da questa... (roba da virus senza dubbio)
ti ho allegato una chiave da aggiungere al registro che imposta su zero il dword nofind che si trova in hkey_local_machine (e anche le dword nelle solite posizioni)... inserisci nel registro e speriamo che sia la volta buona... :ave: ovviamente ricodati di riavviare il pc dopo che hai inserito la chiave altrimenti le modifiche non avranno effetto!!
ciao ;)
ora anche a me viene ignorato il valore di nofind così come le impostazioni dei criteri di gruppo... (vuoi vedere che alla fine ci rimango incastrato anche io!!! :asd: ) più che altro viene ignorata la dword nofind che si trova nella posizione hkey_users e hkey_current_users e questo avviene perchè la dword nofind può essere creata anche in un'altro ramo di chiavi... e cioè l'hkey_local_machine... se lo si crea qui dentro tutte le altre impostazioni riguardanti nofind vengono prevalicate da questa... (roba da virus senza dubbio)
ti ho allegato una chiave da aggiungere al registro che imposta su zero il dword nofind che si trova in hkey_local_machine (e anche le dword nelle solite posizioni)... inserisci nel registro e speriamo che sia la volta buona... :ave: ovviamente ricodati di riavviare il pc dopo che hai inserito la chiave altrimenti le modifiche non avranno effetto!!
ciao ;)
nottolo
08-03-2006, 01:11
provato.. aggiunto la tua variante al registro.. ma nulla.. niente cerca.. ho anche ricontrollatogli eventi con eventvwr.msc /s ma non genera nessun evento propio come non clikkassi
Fra l'altro il fatto che anche in provvisoria non vada mi fa pensare che non sia un troio...
Fra l'altro il fatto che anche in provvisoria non vada mi fa pensare che non sia un troio...
Spaghetti
08-03-2006, 23:05
provato.. aggiunto la tua variante al registro.. ma nulla.. niente cerca..
:hic:
Fra l'altro il fatto che anche in provvisoria non vada mi fa pensare che non sia un troio...
infatti non è un malware... è la dword nofind che produce quell'effetto...
o meglio questa dword è stata impostata da un malware che hai avuto in precedenza ma ripulito in malomodo da software antimalware che usi... probabilmente a causa di una pulizia effettuata non in modalità provvisoria... ora non si riesce più a reimpostare tale dword :boh: ...
mi sembra impossibile che l'ultima chiave non abbia funzionato... l'hoo usata io come soluzione all'emulazione del tuo problema sul mio pc... :uh: e ha funzionato... ti faccio sapere se ci sono buone nuove comunque... ma mi sa che ti tocca usare il trucchetto che ti ho suggerito più indietro per le ricerche a meno di adottare soluzioni più forti... :huh:
:hic:
Fra l'altro il fatto che anche in provvisoria non vada mi fa pensare che non sia un troio...
infatti non è un malware... è la dword nofind che produce quell'effetto...
o meglio questa dword è stata impostata da un malware che hai avuto in precedenza ma ripulito in malomodo da software antimalware che usi... probabilmente a causa di una pulizia effettuata non in modalità provvisoria... ora non si riesce più a reimpostare tale dword :boh: ...
mi sembra impossibile che l'ultima chiave non abbia funzionato... l'hoo usata io come soluzione all'emulazione del tuo problema sul mio pc... :uh: e ha funzionato... ti faccio sapere se ci sono buone nuove comunque... ma mi sa che ti tocca usare il trucchetto che ti ho suggerito più indietro per le ricerche a meno di adottare soluzioni più forti... :huh:
nottolo
08-03-2006, 23:20
:cry: :cry: ho addirittura riavviato spengendo propio.. sono andato via e tornato dopo mezz'ora.. ma non andava lo stesso.. comunque sia.. per ora grazie 1000 sei un mito.. ma aspetto news !! :help: :help:
prete01
10-03-2006, 21:46
Io ho avuto il tuo stesso problema su un pc e in + quando aprivo il pannello di controllo del norton internet security 2004 mi dava un'errore di scripting,non so a cosa fosse dovuto ma dopo miliardi di ricerche trovai su un forum inglese uno che aveva risolto installando QUESTA (http://www.microsoft.com/downloads/details.aspx?familyid=4A3AD088-A893-4F0B-A932-5E024E74519F&displaylang=it) a dir il vero era il service pack precedente,ora però c'è il 5 quindi credo sia meglio.Installato questa patch (la precedende versione però) ho risolto sia con il cerca e sia con il norton.Prova e fammi sapere! :)
nottolo
10-03-2006, 22:14
unico dubbio.. è una patch del 2004 .. avevo il service pack 2 dovrei averla già no ?? Prima di far casini.. ho aspettato a metterla..
Spaghetti
11-03-2006, 13:28
unico dubbio.. è una patch del 2004 .. avevo il service pack 2 dovrei averla già no ?? Prima di far casini.. ho aspettato a metterla..
crea un punto di ripristino, installa la patch, riavvia e se non risolve niente la disinstalli, riavvii e ripristini al punto precedentemente creato per ripulire il tutto.
Se ancora niente fai una ricerca della dword nofind nel registro e postami tutti le posizioni in cui la trovi... per rapidità puoi copiare il nome del percorso come in figura:
http://img63.imageshack.us/img63/8269/reg7mk.gif (http://imageshack.us)
per fare la ricerca suppongo che lo sai fare.. seleziona la prima chiave (hkey_classes_root) menù modifica->trova e per trovare il successivo premi f3...
dopo che mi avrai postato tutte le posizioni e i relativi valori di nofind che trovi effettua nuovamente la ricerca e cancella la dword nofind ovunque la trovi (solo le dword)... riavvia...
crea un punto di ripristino, installa la patch, riavvia e se non risolve niente la disinstalli, riavvii e ripristini al punto precedentemente creato per ripulire il tutto.
Se ancora niente fai una ricerca della dword nofind nel registro e postami tutti le posizioni in cui la trovi... per rapidità puoi copiare il nome del percorso come in figura:
http://img63.imageshack.us/img63/8269/reg7mk.gif (http://imageshack.us)
per fare la ricerca suppongo che lo sai fare.. seleziona la prima chiave (hkey_classes_root) menù modifica->trova e per trovare il successivo premi f3...
dopo che mi avrai postato tutte le posizioni e i relativi valori di nofind che trovi effettua nuovamente la ricerca e cancella la dword nofind ovunque la trovi (solo le dword)... riavvia...
prete01
11-03-2006, 21:01
Non penso proprio che questa patch è inclusa nel Service pack 2,comunque se la installi non dovrebbe succedere nulla.Prova... ;)
nottolo
13-03-2006, 21:20
Provata la patch senza risultato.. ti posto in email i nofind.. trovati..
non vorrei essere troppo invadente sul forum con 7 screen shots
Ciao Sergio
non vorrei essere troppo invadente sul forum con 7 screen shots
Ciao Sergio
GiacoXp
13-03-2006, 21:25
In un topic ha risolto cosi :read: (http://www.hwupgrade.it/forum/showthread.php?t=1144490)
Voi avevate gia provato?
Voi avevate gia provato?
Spaghetti
13-03-2006, 23:18
In un topic ha risolto cosi :read: (http://www.hwupgrade.it/forum/showthread.php?t=1144490)
Voi avevate gia provato?
purtroppo quella chiave risolve un altro tipo di problema e cioè quando ti si apre la ricerca file anzicchè esplora risorse facendo doppio clic su di una cartella... il problema di nottolo è che la ricerca non se apre proprio... :boh:
tuttavia ignoro il fatto che la dword nofind e la stringa che posti possano lavorare insieme... questo proprio non lo so... provamoce... ormai... :D :D
tu che dici giacoxp sono collegate?
@nottolo
riguardo alle screen che mi hai mandato c'è qualcosa di strano... e mi riferisco alla stringa **del.nofind che si trova in 2 posizioni... questa stringa non è per niente documentata sulla rete... tantomeno da microsoft e non riesco a trovare il significato del suffisso **del.
una mezza idea me la sono fatta... dalla parola "del" sembra essere una stringa che si occupa della cancellazione della relativa dword in questione (nofind) o quanto meno la notifica ad altri servizi della cancellazione... il fatto che sia impossibile reperire info sul tipo di stringa mi fa pensare che sia di tipo temporaneo... magari dopo un riavvio non la trovi più... e che per qualche motivo sia rimasta li ad interagire con la dword nofind...
cmq.. hai cancellato tutte le dword nofind come ti avevo detto? se non lo hai ancora fatto fallo e aggiungo che puoi provare a cancellare anche quelle stringhe **del.nofind ovunque le trovi (se le trovi ancora)... riavvia il sistema e :sperem:
ps: postami anche le screen di quello che hai in avvio e del task manager... al limite ti do il numero di un esorcista... :D :D
Voi avevate gia provato?
purtroppo quella chiave risolve un altro tipo di problema e cioè quando ti si apre la ricerca file anzicchè esplora risorse facendo doppio clic su di una cartella... il problema di nottolo è che la ricerca non se apre proprio... :boh:
tuttavia ignoro il fatto che la dword nofind e la stringa che posti possano lavorare insieme... questo proprio non lo so... provamoce... ormai... :D :D
tu che dici giacoxp sono collegate?
@nottolo
riguardo alle screen che mi hai mandato c'è qualcosa di strano... e mi riferisco alla stringa **del.nofind che si trova in 2 posizioni... questa stringa non è per niente documentata sulla rete... tantomeno da microsoft e non riesco a trovare il significato del suffisso **del.
una mezza idea me la sono fatta... dalla parola "del" sembra essere una stringa che si occupa della cancellazione della relativa dword in questione (nofind) o quanto meno la notifica ad altri servizi della cancellazione... il fatto che sia impossibile reperire info sul tipo di stringa mi fa pensare che sia di tipo temporaneo... magari dopo un riavvio non la trovi più... e che per qualche motivo sia rimasta li ad interagire con la dword nofind...
cmq.. hai cancellato tutte le dword nofind come ti avevo detto? se non lo hai ancora fatto fallo e aggiungo che puoi provare a cancellare anche quelle stringhe **del.nofind ovunque le trovi (se le trovi ancora)... riavvia il sistema e :sperem:
ps: postami anche le screen di quello che hai in avvio e del task manager... al limite ti do il numero di un esorcista... :D :D
nottolo
14-03-2006, 23:02
Dammi il numero dell'esorcista.... è tornata la W :cry: :cry: :cry: :cry:
http://img123.imageshack.us/img123/3740/a10uc.jpg (http://imageshack.us)
http://img123.imageshack.us/img123/3740/a10uc.jpg (http://imageshack.us)
James Axton
15-03-2006, 12:06
Da qualcosa sei ancora infetto, ha tutta l'aria di essere un malware, e probabilmente è causa del malfunzionamento.
Puoi provare un altro approccio, ossia procedere prima ad una totale rimozione della porcheria e poi focalizzarti sul problema di 'Cerca'.
Scansione virus (http://housecall.trendmicro.com/) & trojan (http://www.windowsecurity.com/trojanscan/).
Poi, se riesci a trovare questo w.exe, puoi analizzare il singolo file qui (http://www.virustotal.com/flash/index_en.html), per sapere con precisione cos'è.
Oltre, ovviamente, a HijackThis e ai vari tool di rimozione spyware, io non tralascerei niente visto come stanno le cose.
Puoi provare un altro approccio, ossia procedere prima ad una totale rimozione della porcheria e poi focalizzarti sul problema di 'Cerca'.
Scansione virus (http://housecall.trendmicro.com/) & trojan (http://www.windowsecurity.com/trojanscan/).
Poi, se riesci a trovare questo w.exe, puoi analizzare il singolo file qui (http://www.virustotal.com/flash/index_en.html), per sapere con precisione cos'è.
Oltre, ovviamente, a HijackThis e ai vari tool di rimozione spyware, io non tralascerei niente visto come stanno le cose.
GiacoXp
15-03-2006, 20:00
@Spaghetti in effetti quella stringa di registro che hai simulato tu io non l'avevo mai usata cmq il problema qui è molto diverso rispetto a quello affrontato nell'altro post; la chiave che dici tu appunto serve x rendere operativo o meno il cerca all'interno del sistema.
Il fatto che ad ogni riavvio la chiave abbia valore 0 cioè spento significa come hai detto precedentemente che c'è qualche altra stringa o programma che modifica il tutto prima dell'avvio.
Io proverei a fare una scansione con HiJackThis e con Ewido per escludere altri programmi.
Inoltre il fatto che ti si avvi un programma C:\W non è bello di che si tratta ?
Il fatto che ad ogni riavvio la chiave abbia valore 0 cioè spento significa come hai detto precedentemente che c'è qualche altra stringa o programma che modifica il tutto prima dell'avvio.
Io proverei a fare una scansione con HiJackThis e con Ewido per escludere altri programmi.
Inoltre il fatto che ti si avvi un programma C:\W non è bello di che si tratta ?
nottolo
15-03-2006, 21:02
difatti quel W puzza.. ecco la scansione con HiJackThis
http://img372.imageshack.us/img372/1593/a30ld.jpg (http://imageshack.us)
http://img372.imageshack.us/img372/1593/a30ld.jpg (http://imageshack.us)
Spaghetti
15-03-2006, 21:12
Purtroppo la strada delle scansioni l'abbiamo già provata... incredibilmente non viene trovato niente... ma se il w è ricomparso non mi rimane altro da dire... windows è ancora infetto da quel malware... sul sito symantec l'unico malware documentato (che ho trovato io...) e che ha a che fare con W è QUESTO (http://www.symantec.com/avcenter/venc/data/w32.benpao.trojan.html)...
visto che nessuna scansione rileva nulla (trend già provato ed ewido anche mi sembra che te lo consiglia indietro) non rimane che la rimozione manuale... supponendo che tu abbia il trojan che ti ho riportato effettua la pulizia manuale così come consigliato in quella pagina di symantec... se il trojan non è quello giusto non ti troverai con le varie istruzioni di symantec...
che mi dici intanto della stringa **del.nofind ? e delle altre dword nofind?
@giacoxp:
aspetta... ti riferisci alla dword nofind in genere o alla dword stessa nella posizione hkey_local_machine che prende il sopravvento su ogni altra impostazione compresi i criteri di gruppo o ancora alla stringa **del.nofind ?
di tutte queste io trovo più stramba l'ultima (la stringa).
parlando di nofind il valore 0 significa che il cerca deve essere attivo metre il valore 1 lo disattiva... la cosa strana è che qualsiasi valore imposti questo viene ignorato... come se ci fosse qualcos'altro a controllare la dword... io questo effetto lo ottenuto metteno e impostabnto la dword nel ramo di chiavi hkey_local, in questo modo la chiave prevale anche sui criteri di gruppo e diventa l'unica a prendere il controllo... purtroppo non è il caso di nottolo... penso sia il malware a controllare la chiave...
visto che nessuna scansione rileva nulla (trend già provato ed ewido anche mi sembra che te lo consiglia indietro) non rimane che la rimozione manuale... supponendo che tu abbia il trojan che ti ho riportato effettua la pulizia manuale così come consigliato in quella pagina di symantec... se il trojan non è quello giusto non ti troverai con le varie istruzioni di symantec...
che mi dici intanto della stringa **del.nofind ? e delle altre dword nofind?
@giacoxp:
aspetta... ti riferisci alla dword nofind in genere o alla dword stessa nella posizione hkey_local_machine che prende il sopravvento su ogni altra impostazione compresi i criteri di gruppo o ancora alla stringa **del.nofind ?
di tutte queste io trovo più stramba l'ultima (la stringa).
parlando di nofind il valore 0 significa che il cerca deve essere attivo metre il valore 1 lo disattiva... la cosa strana è che qualsiasi valore imposti questo viene ignorato... come se ci fosse qualcos'altro a controllare la dword... io questo effetto lo ottenuto metteno e impostabnto la dword nel ramo di chiavi hkey_local, in questo modo la chiave prevale anche sui criteri di gruppo e diventa l'unica a prendere il controllo... purtroppo non è il caso di nottolo... penso sia il malware a controllare la chiave...
nottolo
15-03-2006, 21:27
la de Dword noFind l'avevo tolta ce n'era una sola.. e riavviato.. nessun risultato.. Anche io avevo trovato quella pagina di norton.. Ewido non ne avevamo parlato provo quello e sennò provo a mano se mi riesce ..
GiacoXp
15-03-2006, 21:45
@giacoxp:
aspetta... ti riferisci alla dword nofind in genere o alla dword stessa nella posizione hkey_local_machine che prende il sopravvento su ogni altra impostazione compresi i criteri di gruppo o ancora alla stringa **del.nofind ?
di tutte queste io trovo più stramba l'ultima (la stringa).
parlando di nofind il valore 0 significa che il cerca deve essere attivo metre il valore 1 lo disattiva... la cosa strana è che qualsiasi valore imposti questo viene ignorato... come se ci fosse qualcos'altro a controllare la dword... io questo effetto lo ottenuto metteno e impostabnto la dword nel ramo di chiavi hkey_local, in questo modo la chiave prevale anche sui criteri di gruppo e diventa l'unica a prendere il controllo... purtroppo non è il caso di nottolo... penso sia il malware a controllare la chiave...
io che trovo strano è la stringa che non si riesce a modificare ma probabilemte proprio a causa del malware che si riavvia all'accensione o a causa di qualche stringa nascosta da qualche parte all'avvio.
chn Hjt hai provato a fixare la stringa c:\W
inoltre posta il log non lo screenshot
aspetta... ti riferisci alla dword nofind in genere o alla dword stessa nella posizione hkey_local_machine che prende il sopravvento su ogni altra impostazione compresi i criteri di gruppo o ancora alla stringa **del.nofind ?
di tutte queste io trovo più stramba l'ultima (la stringa).
parlando di nofind il valore 0 significa che il cerca deve essere attivo metre il valore 1 lo disattiva... la cosa strana è che qualsiasi valore imposti questo viene ignorato... come se ci fosse qualcos'altro a controllare la dword... io questo effetto lo ottenuto metteno e impostabnto la dword nel ramo di chiavi hkey_local, in questo modo la chiave prevale anche sui criteri di gruppo e diventa l'unica a prendere il controllo... purtroppo non è il caso di nottolo... penso sia il malware a controllare la chiave...
io che trovo strano è la stringa che non si riesce a modificare ma probabilemte proprio a causa del malware che si riavvia all'accensione o a causa di qualche stringa nascosta da qualche parte all'avvio.
chn Hjt hai provato a fixare la stringa c:\W
inoltre posta il log non lo screenshot
nottolo
15-03-2006, 21:58
Ops... Ewido funziona..
http://img209.imageshack.us/img209/9625/a57vn.jpg (http://imageshack.us)
ora riavvio e riprovo
http://img209.imageshack.us/img209/9625/a57vn.jpg (http://imageshack.us)
ora riavvio e riprovo
GiacoXp
15-03-2006, 21:59
:doh: :doh: :doh: :doh:
nottolo
15-03-2006, 22:04
Eccovi il log maghi.. ho riavviato ovviamente ancora il cerca non funziona.. ma facciamo progressi !! Aspetto ordini !!
Logfile of HijackThis v1.99.1
Scan saved at 22.03.16, on 15/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Nod 32\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Nod 32\nod32kui.exe
C:\Smart Guardian\ITESmart.exe
C:\Babylon\Babylon.exe
C:\WINDOWS\system32\rundll32.exe
C:\DAEMON Tools\daemon.exe
C:\Programmi\LifeView TVR\RecSche.exe
C:\Skype\BackGenie.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Skype\Skype.exe
C:\EL5\notifier.exe
C:\PrintKey-Pro\PKey_Pro.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Firefox\firefox.exe
C:\Programmi\LifeView TVR\remote.exe
C:\Documents and Settings\Main\Desktop\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Nod 32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SmartGuardian] C:\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools] "C:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Remote] C:\Programmi\LifeView TVR\Remote.exe
O4 - HKLM\..\Run: [RecSche] "C:\Programmi\LifeView TVR\RecSche.exe"
O4 - HKLM\..\Run: [WinDVRCtrl] C:\WINDOWS\WDVRCtrl.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [BackGenie] C:\Skype\BackGenie.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Skype\Skype.exe" /nosplash /minimized
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Notifier.lnk = C:\EL5\notifier.exe
O4 - Global Startup: PrintKey-Pro.lnk = C:\PrintKey-Pro\PKey_Pro.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Office\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF7750CC-E6ED-494C-B0D2-035074D4FE2E}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Nod 32\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\VNC4\WinVNC4.exe" -service (file missing)
Logfile of HijackThis v1.99.1
Scan saved at 22.03.16, on 15/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Nod 32\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Nod 32\nod32kui.exe
C:\Smart Guardian\ITESmart.exe
C:\Babylon\Babylon.exe
C:\WINDOWS\system32\rundll32.exe
C:\DAEMON Tools\daemon.exe
C:\Programmi\LifeView TVR\RecSche.exe
C:\Skype\BackGenie.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Skype\Skype.exe
C:\EL5\notifier.exe
C:\PrintKey-Pro\PKey_Pro.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Firefox\firefox.exe
C:\Programmi\LifeView TVR\remote.exe
C:\Documents and Settings\Main\Desktop\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Nod 32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SmartGuardian] C:\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools] "C:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Remote] C:\Programmi\LifeView TVR\Remote.exe
O4 - HKLM\..\Run: [RecSche] "C:\Programmi\LifeView TVR\RecSche.exe"
O4 - HKLM\..\Run: [WinDVRCtrl] C:\WINDOWS\WDVRCtrl.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [BackGenie] C:\Skype\BackGenie.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Skype\Skype.exe" /nosplash /minimized
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Notifier.lnk = C:\EL5\notifier.exe
O4 - Global Startup: PrintKey-Pro.lnk = C:\PrintKey-Pro\PKey_Pro.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Office\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF7750CC-E6ED-494C-B0D2-035074D4FE2E}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Nod 32\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\VNC4\WinVNC4.exe" -service (file missing)
GiacoXp
15-03-2006, 22:06
hai provato a fare un po di scansioni online
http://www.f-secure.com/blacklight/
http://security.symantec.com/sscv6/default.asp?langid=it&venid=sym
http://www.pandasoftware.com/activescan/it/activescan_principal.htm
http://us.mcafee.com/root/mfs/default.asp?cid=9435
http://www.f-secure.com/blacklight/
http://security.symantec.com/sscv6/default.asp?langid=it&venid=sym
http://www.pandasoftware.com/activescan/it/activescan_principal.htm
http://us.mcafee.com/root/mfs/default.asp?cid=9435
GiacoXp
15-03-2006, 22:08
prova a dare il comando in esegui
sfc /scannow e vedere se si ripristina
sfc /scannow e vedere se si ripristina
Spaghetti
15-03-2006, 22:13
spero che il log risalga a prima della pulizia altrimenti significa che il malware è ancora li... c'è il fatidico W.....
cmq qelle 998 infezioni mi sa che erano cookie traccianti e roba del genere se non hai risolto...
se lanci sfc assicurati di usare un cd di xp con sp2 integrato altrimenti pippe visto che tu hai sp2 installato...
cmq qelle 998 infezioni mi sa che erano cookie traccianti e roba del genere se non hai risolto...
se lanci sfc assicurati di usare un cd di xp con sp2 integrato altrimenti pippe visto che tu hai sp2 installato...
nottolo
15-03-2006, 22:20
infatti molti erano cookie traccianti.. ma l'ho fatto DOPO il passaggio di Ewido.. quindi è ancora li.. la scansione on line l'avevo fatta su trendmicro.. ma non aveva trovato nulla.. quel comando GiacoXP mi rende un pò insicuro dopo l'affermazione di spaghetti che rischio ??? Non posso formattare.. e non posso rischiare lo sputtanamento del pc .. il CD ho quello con il SP2 integrato.
Spaghetti
15-03-2006, 22:21
tranquillo in qualsiasi caso non avresti rischiato nulla di grave... al massimo avresti dovuto reinstallare qualche patch... un paio di windows update e via...
cmq se hai il cd con sp2 vai tranquillo... anzi consigliato...
cmq se hai il cd con sp2 vai tranquillo... anzi consigliato...
GiacoXp
15-03-2006, 22:32
hai provato a fixare la voce c:\W
che cosa contiene quella cartella ?
che cosa contiene quella cartella ?
nottolo
15-03-2006, 23:16
normale che mi chieda riprova numerose volte e vada avanti ??
Spaghetti
15-03-2006, 23:48
se hai più di un lettore prova a inserire il cd in un altro... il messaggio ti avverte che è necessario il cd e non lo trova... cliccando su ulteriori informazioni te ne puoi accorgere... magari disattiva anche il lettore virtuale di deamon tools forse sfc sta faticando a trovare il cd
a menochè il cd non sia errato.. sei sicuro che ha il sp2 integrato?
a menochè il cd non sia errato.. sei sicuro che ha il sp2 integrato?
nottolo
16-03-2006, 00:00
tutto a posto.. ho riavviato e il cerca non andava.. ho ripassato Ewido e ha ritrovato altri 118 troiai.. ho riavviato ancora e il cerca non va.. ho fatto il msconfig e il W non è attivo.. non mi rimane che provare la procedura symantec...
nottolo
17-03-2006, 00:00
Provato la disinfezione di symantec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
# In the right pane, delete the value:
ExplorerBen C:\%dir%\kx.exe non c'è il valore
HKEY_LOCAL_MACHINE\Software\Classes\chm.file\shell\open\command
# Change the value:
(Default) C:\%dir%\.exe to: (Default) %Windir%\hh.exe %1
HKEY_LOCAL_MACHINE\Software\Classes\scrfile\shell\open\command
# Change the value: (Default) C:\%dir%\d.exe %1 to: (Default) %1 /s
HKEY_LOCAL_MACHINE\Software\Classes\regfile\shell\open\command
# Change the value: (Default) C:\%dir%\w.exe %1 to:(Default) regedit.exe %1
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
# Change the value:(Default) C:\%dir%\d.exe %1 % to: (Default) %1 %
HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command
# Change the value: (Default) C:\%dir%\F.exe %1 to: (Default) = %Windir%\Notepad.exe %1
HKEY_LOCAL_MACHINE\Software\Classes\inifile\shell\open\command
# Change the value: (Default) C:\%dir%\e.exe %1 to: (Default) %Windir%\Notepad.exe %1
# Exit the Registry Editor.
i valori sono già quelli quindi non sono infetto .. giusto ?? Ma il cerca non va...
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
# In the right pane, delete the value:
ExplorerBen C:\%dir%\kx.exe non c'è il valore
HKEY_LOCAL_MACHINE\Software\Classes\chm.file\shell\open\command
# Change the value:
(Default) C:\%dir%\.exe to: (Default) %Windir%\hh.exe %1
HKEY_LOCAL_MACHINE\Software\Classes\scrfile\shell\open\command
# Change the value: (Default) C:\%dir%\d.exe %1 to: (Default) %1 /s
HKEY_LOCAL_MACHINE\Software\Classes\regfile\shell\open\command
# Change the value: (Default) C:\%dir%\w.exe %1 to:(Default) regedit.exe %1
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
# Change the value:(Default) C:\%dir%\d.exe %1 % to: (Default) %1 %
HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command
# Change the value: (Default) C:\%dir%\F.exe %1 to: (Default) = %Windir%\Notepad.exe %1
HKEY_LOCAL_MACHINE\Software\Classes\inifile\shell\open\command
# Change the value: (Default) C:\%dir%\e.exe %1 to: (Default) %Windir%\Notepad.exe %1
# Exit the Registry Editor.
i valori sono già quelli quindi non sono infetto .. giusto ?? Ma il cerca non va...
GiacoXp
17-03-2006, 19:50
tutto a posto.. ho riavviato e il cerca non andava.. ho ripassato Ewido e ha ritrovato altri 118 troiai.. ho riavviato ancora e il cerca non va.. ho fatto il msconfig e il W non è attivo.. non mi rimane che provare la procedura symantec...
cosa è la procedura symantec?
cosa è la procedura symantec?
Spaghetti
17-03-2006, 20:02
si riferiva alla procedura per la rimozione manuale del trojan W32.benpao.trojan (http://www.symantec.com/avcenter/venc/data/w32.benpao.trojan.html) secondo symantec... è l'unico malware che tira in ballo un certo w.exe... tuttavia non ero sicuro che il trojan fosse quello infatti non lo era visto che non ha trovato riscontro con le varie voci e file da rimuovere suggeriti da symantec...
@nottolo
ma questo file W senza estensione lo trovi sul disco? per cercarlo prova il trucchetto per la ricerca che ti ho suggerito pagine indietro...
se questo malware si riattiva vuol dire che è annidato da qualche parte... potrebbe essersi annidato in qualche punto di ripristino... (anche se il tuo avvio a parte W è fondamentalmente pulito) dovresti disattivare il ripristino config di sistema e controllare che i file dei punti vengano cancellati... tanto hai detto di non voler usare l'utility di ripristino...
per i cancellare i punti di rip manualmente vedi QUI (http://www.hwupgrade.it/forum/showthread.php?t=1149369)
@nottolo
ma questo file W senza estensione lo trovi sul disco? per cercarlo prova il trucchetto per la ricerca che ti ho suggerito pagine indietro...
se questo malware si riattiva vuol dire che è annidato da qualche parte... potrebbe essersi annidato in qualche punto di ripristino... (anche se il tuo avvio a parte W è fondamentalmente pulito) dovresti disattivare il ripristino config di sistema e controllare che i file dei punti vengano cancellati... tanto hai detto di non voler usare l'utility di ripristino...
per i cancellare i punti di rip manualmente vedi QUI (http://www.hwupgrade.it/forum/showthread.php?t=1149369)
nottolo
17-03-2006, 22:29
ho fatto una scoperta.. !!!
Ho installato la mia scheda acquisizione sul PC di un amico. e lui ha attivo un programma che monitorizza e segnala le variazioni sul registro e chiede la conferma. . Il software della LIFE View scrive la famosa "W" quindi non è malaware...
comunque sul MSconfig in avvio il W è disattivato ma c'è ancora.. ma come si toglie di li ??
Ho installato la mia scheda acquisizione sul PC di un amico. e lui ha attivo un programma che monitorizza e segnala le variazioni sul registro e chiede la conferma. . Il software della LIFE View scrive la famosa "W" quindi non è malaware...
comunque sul MSconfig in avvio il W è disattivato ma c'è ancora.. ma come si toglie di li ??
GiacoXp
17-03-2006, 22:34
: puoi dirmi il programma del tuo amico usato x il controllo del reg
nottolo
17-03-2006, 22:38
: puoi dirmi il programma del tuo amico usato x il controllo del reg
Spy Boot Search & Destroy Resident
Spy Boot Search & Destroy Resident
bixxio
17-03-2006, 22:45
E' successo anche a me, la soluzione è semplice, in realtà.
c:>Format c: /q :fagiano:
c:>Format c: /q :fagiano:
Spaghetti
17-03-2006, 22:57
@giaco:
io conosco REGSHOT (http://files4.majorgeeks.com/files/6ef80bb237adf4b6f77d0700e1255907/registry/regshot17_src_bin.zip) ... lo uso per trovare le chiavi corrispondenti ai valori dei criteri di gruppo... e con cui infatti ho trovato la chiave nofind...
@nottolo:
sarà una coincidenza ma avevo proprio intenzione di farti usare regshot per trovare una soluzione al tuo problema... scaricalo dal link che ho dato a giaco e poi fai così:
riavvia il pc, attendi che si avviino tutti i tuoi programmi in taskbar ma non avviare e non fare assolutamente niente, quando l'avvio sarà completo lancia regshot e per prima cosa metti il segno di spunta su scandir e nello spazio affianco incolla "C:\;C:\WINDOWS;C:\WINDOWS\SYSTEM;C:\WINDOWS\SYSTEM32" senza le virgolette, ora clicca su "1st shot" e scegli "shot and save", dopo qualche secondo ti chiederà la posizione per salvare il file, dai un nome e salva; riavvia nuovamente con le stesse precauzioni di prima, esegui ancora regshot, clicca "1st shot" e scegli load questa volta, alla richiesta carica il file che hai salvato prima, ora premi "2st shot" e dopo un paio di secondi potrai cliccare sul pulsante confronta che diventa cliccabile, ti sarà chiesto dove salvare il log del confronto, scegli una posizione per salvarlo dopodichè posta questo log che proviamo a capirne qualcosa... penso che sarà dura da analizzare visto la mole di cambiamenti che avvengono con un riavvio ma penso sia l'unico modo per sapere se hai qualcosa di nascosto in avvio.
per quanto riguarda il W... meglio ... un problema in meno... certo che potevano dare un nome meno ambiguo a quel file... :D :D
io conosco REGSHOT (http://files4.majorgeeks.com/files/6ef80bb237adf4b6f77d0700e1255907/registry/regshot17_src_bin.zip) ... lo uso per trovare le chiavi corrispondenti ai valori dei criteri di gruppo... e con cui infatti ho trovato la chiave nofind...
@nottolo:
sarà una coincidenza ma avevo proprio intenzione di farti usare regshot per trovare una soluzione al tuo problema... scaricalo dal link che ho dato a giaco e poi fai così:
riavvia il pc, attendi che si avviino tutti i tuoi programmi in taskbar ma non avviare e non fare assolutamente niente, quando l'avvio sarà completo lancia regshot e per prima cosa metti il segno di spunta su scandir e nello spazio affianco incolla "C:\;C:\WINDOWS;C:\WINDOWS\SYSTEM;C:\WINDOWS\SYSTEM32" senza le virgolette, ora clicca su "1st shot" e scegli "shot and save", dopo qualche secondo ti chiederà la posizione per salvare il file, dai un nome e salva; riavvia nuovamente con le stesse precauzioni di prima, esegui ancora regshot, clicca "1st shot" e scegli load questa volta, alla richiesta carica il file che hai salvato prima, ora premi "2st shot" e dopo un paio di secondi potrai cliccare sul pulsante confronta che diventa cliccabile, ti sarà chiesto dove salvare il log del confronto, scegli una posizione per salvarlo dopodichè posta questo log che proviamo a capirne qualcosa... penso che sarà dura da analizzare visto la mole di cambiamenti che avvengono con un riavvio ma penso sia l'unico modo per sapere se hai qualcosa di nascosto in avvio.
per quanto riguarda il W... meglio ... un problema in meno... certo che potevano dare un nome meno ambiguo a quel file... :D :D
Spaghetti
17-03-2006, 23:02
Spy Boot Search & Destroy Resident
questo sinceramente lo sconsiglio... lo provai ed è veramente fastidioso... oltre al fatto che aveva qualche bug (all'epoca) e mi andava in conflitto con zonealarm... il quale ha una funzione simile che fa già un gran bel lavoro... ;)
cmq questo resident di spybot controlla in tempo reale... non ha molto a che vedere con regshot con cui fai le foto al registro quando vuoi e poi confronti per vedere i cambiamenti...
questo sinceramente lo sconsiglio... lo provai ed è veramente fastidioso... oltre al fatto che aveva qualche bug (all'epoca) e mi andava in conflitto con zonealarm... il quale ha una funzione simile che fa già un gran bel lavoro... ;)
cmq questo resident di spybot controlla in tempo reale... non ha molto a che vedere con regshot con cui fai le foto al registro quando vuoi e poi confronti per vedere i cambiamenti...
nottolo
17-03-2006, 23:04
perchè ci sono 2 zip ??
Spaghetti
17-03-2006, 23:10
il secondo, quello con src, è in source e lo puoi ignorare tranquillamente... usa quello normale... non c'è bisogno di installarlo
nottolo
17-03-2006, 23:35
posta inviata.. stasera sono cotto vo a letto.. ci si sente domani sera.. Ciao
GiacoXp
18-03-2006, 14:02
A spaghetti >> lo conoscevo gia quello grazie Cmq
Che non capisco è xkè quella procedura di confronto dei due avvi ...
Che non capisco è xkè quella procedura di confronto dei due avvi ...
GiacoXp
18-03-2006, 14:04
Forse ho capito
inserendo "C:\;C:\WINDOWS;C:\WINDOWS\SYSTEM;C:\WINDOWS\SYSTEM32" vedi i programmi che si avviano giusto? :mbe:
inserendo "C:\;C:\WINDOWS;C:\WINDOWS\SYSTEM;C:\WINDOWS\SYSTEM32" vedi i programmi che si avviano giusto? :mbe:
nottolo
18-03-2006, 14:07
penso propio di si... ma non capisco perchè due avvii identici ... lui sa..
Spaghetti
18-03-2006, 14:23
l'avvio è da considerarsi uno solo... il primo che ti ho chiesto di fare era solo per essere sicuro di non avere chiavi e file in sospeso da modificare al riavvio... questo per ridurre la dimensioni delle voci del log ed avere un quadro più pulito di quello che succede all'avvio del pc... tutto questo per vedere se c'erano strane attività tipiche di malware come ad esempio la modifica del registro ad ogni avvio per assicurarsi un avvio in loop anche se l'utente ripulisce msconfig o le chiavi run del registro... stesso dicasi per quelle cartelle che ti avevo detto di monitorare come c:\, c:\windows, etc... speravo di poter vedere se un eventuale malware in avvio copiava in loop i suoi file necessari in queste cartelle tipiche, cosa che però mi sa che ti sei dimenticato di attivare perchè nel log non ci sono riferimenti a file modificati o creati...
tuttavia devo ancora guardarlo con attenzione il log, ho dato solo uno sguardo veloce e mi sembra tutto troppo normale... se c'è una attività malware in questo log si vede per forza... ti faccio sapere
tuttavia devo ancora guardarlo con attenzione il log, ho dato solo uno sguardo veloce e mi sembra tutto troppo normale... se c'è una attività malware in questo log si vede per forza... ti faccio sapere
GiacoXp
18-03-2006, 14:35
magari postare qui il log :what: o allegarlo
Spaghetti
18-03-2006, 19:30
Ho guardato il log con attenzione ed è tutto normale... i valori cambiati, aggiunti ed eliminati sono tutti valori normali tipo quelli degli eventi o la memorizzazione dei percorsi e dei file creati... non c'è assolutamente nulla di malware... difatti tutte le scansioni che hai provato ti danno un resoconto pulito (tranne ovviamente qualche cookie tracciante che sono bazzecole che si trovano sulla maggior parte dei pc)...
quello che penso è che come ho già detto in precedenza il problema te lo avrà creato qualche malware che hai avuto e che sarà stato malrimosso da qualche programma che usi... in alternativa potrebbe essere stato qualche programma che hai installato troppo invadente ma dobbiamo scartare anche questa visto che hai già detto di non aver installato niente prima del sorgere del problema... :boh:
Guarda un po le cronologie delle scansioni dei vari programmi antimalware che usi, magari trovi un malware che ti è stato rimosso in qualche scansione pianificata e di cui tu non ne sai niente... magari è successo mentre qualcun'altro usava il pc...
penso che le abbiamo provate tutte... per ora ho finito le idee ma come al solito se mi illumino ti faccio sapere... se metti quel log in allegato magari qualcuno riesce a notare qualcosa che mi è scappato...
quello che penso è che come ho già detto in precedenza il problema te lo avrà creato qualche malware che hai avuto e che sarà stato malrimosso da qualche programma che usi... in alternativa potrebbe essere stato qualche programma che hai installato troppo invadente ma dobbiamo scartare anche questa visto che hai già detto di non aver installato niente prima del sorgere del problema... :boh:
Guarda un po le cronologie delle scansioni dei vari programmi antimalware che usi, magari trovi un malware che ti è stato rimosso in qualche scansione pianificata e di cui tu non ne sai niente... magari è successo mentre qualcun'altro usava il pc...
penso che le abbiamo provate tutte... per ora ho finito le idee ma come al solito se mi illumino ti faccio sapere... se metti quel log in allegato magari qualcuno riesce a notare qualcosa che mi è scappato...
nottolo
19-03-2006, 15:39
non lo avevo postato perchè zippato è 85 K e non è consentito andare oltre 24 K appena riesco a spezzettarlo.... lo mando
GiacoXp
19-03-2006, 16:01
incollalo :D qui
Spaghetti
19-03-2006, 16:05
incollalo :D qui
:asd: penso che verrebbe bannato per spam... :asd:
ci sono valori binari lunghi 3 km e completamente inutili... :D
:asd: penso che verrebbe bannato per spam... :asd:
ci sono valori binari lunghi 3 km e completamente inutili... :D
nottolo
19-03-2006, 22:38
Ecco quà... zip & rar
nottolo
22-03-2006, 21:20
magari postare qui il log :what: o allegarlo
:( :cry: :muro: :cry: :muro: :( :cry: :muro:
:( :cry: :muro: :cry: :muro: :( :cry: :muro:
nottolo
26-03-2006, 22:05
il forum è la mia unica speranza... :muro: :muro:
nottolo
04-04-2006, 23:30
:mc: :mc: :mc: era la mia unica speranza......
delv
16-09-2006, 01:14
ho il tuo stesso problema e non ho virus e niente mi sa che ci tocca formattare e vorrei chiede se
senza formattare metto xp home sul professional succede qualcosa
praticament mi sparisce tutto?
grazie
senza formattare metto xp home sul professional succede qualcosa
praticament mi sparisce tutto?
grazie
nottolo
17-09-2006, 00:29
a suo tempo formattai e risolsi.. le ho provate come puoi leggere dal post veramente di tutte..
ciao
ciao
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.