Restrizioni

[xargonwan]

Salve io ho un problema, ad un certo punto mi sono trovato restrizioni ovunque, non riesco a montare le penne usb, non riesco ad andare in gestione hardware e nel pannello di controllo, come posso fare?
In oltre ho dei problemi con un certo virus hadajajr.ini, per risolverlo sono andato in system32 e l'ho eliminato, però si ricreava allora ho creato un file vuoto con lo stesso nome e lho messo in sola lettura cosi ora non si replica piu, però ogni applicazione quando si apre mi kiede quel file e dice che non è un immagine valida.
Potrebbe essere collegato a questo il dicorso delle restrizioni?
Come faccio a toglierle?
Grazie in anticipo ^^

[lancetta]

Fai una prova con questo fix http://download.sergiwa.com/security/RRT.exe dovrebbe ripristinarti i permessi.

[demi@n]

Ce la fai a postare un log di HijackThis o di gmer?

Se non li conosci, sono due programmi di cui uno, standalone (che non richiede installazione), fa l'analisi del SO e dei processi attivi; l'altro è più specifico per rilevare eventuali rootkit, ma non solo.
Se hai bisogno di maggiori informazioni, chiedi e ti sarà dato.

[xargonwan]

Lancetta ho fatto ma s cerco di disconnettere 1 pennetta usb mi da ancora le restrizioni.

demi@n, ho fatto con HijaThis, ecco il log:

Logfile of HijackThis v1.99.1
Scan saved at 16.05.38, on 02/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\Mixer.exe
D:\PROGRA~1\Grisoft\AVG7\avgcc.exe
D:\Programmi\DAEMON Tools\daemon.exe
D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
D:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
D:\Programmi\Free Download Manager\fdm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Programmi\Pidgin\pidgin.exe
C:\Programmi\WiFiConnector\NintendoWFCReg.exe
D:\Programmi\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\WcgopSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\Programmi\WinRAR\WinRAR.exe
D:\tmp\Rar$EX00.828\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programmi\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Windows Services] "C:\Programmi\svchosts.exe"
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Ad-Watch] D:\Programmi\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe
O4 - HKCU\..\Run: [Free Download Manager] D:\Programmi\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pidgin] D:\Programmi\Pidgin\pidgin.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programmi\eMule\emule.exe -AutoStart
O4 - Startup: Azureus.lnk = D:\Programmi\Azureus\Azureus.exe
O4 - Global Startup: Esegui il programma di registrazione della chiave USB Wi-Fi Nintendo.lnk = C:\Programmi\WiFiConnector\NintendoWFCReg.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Programmi\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://D:\Programmi\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://D:\Programmi\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1174413499801
O16 - DPF: {D88C7675-7CEE-4C9A-BDD4-7A43EED7794D} (Logout Class) - http://www.gamengame.com/KALogoutComponent.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\hadjajr.ini
O20 - Winlogon Notify: gebbcyv - gebbcyv.dll (file missing)
O20 - Winlogon Notify: pmnlm - C:\WINDOWS\System32\pmnlm.dll (file missing)
O20 - Winlogon Notify: qomnkig - qomnkig.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: MySQL - Unknown owner - D:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[lancetta]

disattiva il ripristino config di sistema se non sai come fare vedi QUI link

Quote:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programmi\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [Windows Services] "C:\Programmi\svchosts.exe"
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: {D88C7675-7CEE-4C9A-BDD4-7A43EED7794D} (Logout Class) - http://www.gamengame.com/KALogoutComponent.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\hadjajr.ini
O20 - Winlogon Notify: gebbcyv - gebbcyv.dll (file missing) O20 - Winlogon Notify: pmnlm - C:\WINDOWS\System32\pmnlm.dll (file missing)
O20 - Winlogon Notify: qomnkig - qomnkig.dll (file missing)

tutti da fixare
apri hijackthis e nella schermata clicchi su "do a system scan only" nella schermata che si apre hai tutto il log del programma con le voci e delle caselline a fianco ogni voce,clicchi sulla casellina in corrispondenza della voce da fixare mettendo così la spunta e dopodichè clicchi su "fix cheked".

dopodichè riprova a passare il tool
scaricati Questo VUNDOFIX
sul desktop lancialo metti la spunta su "Run VundoFix as a task" ti darà un messaggio che vundofix si chiuderà e riaprirà in un minuto o meno, quando il programma si riaprirà clicca OK clicca su "Scan for Vundo" quando ha finito di fare la scansione clicca su "Remove vundo" clicca YES alla domanda se vuoi rimuovere i files,quindi inizierà a rimuovere le dll del vundo ,quando ha finito ti dirà che dovrà riavviare il pc clicca OK.
accendi il pc e posta il log che troverai in C:\vundofix.txt....

[xargonwan]

Quote:

Metodo 2: Procedura manuale per attivare o disattivare Ripristino configurazione di sistema
Procedura per disattivare Ripristino configurazione di sistema
1. Fare clic sul pulsante Start, fare clic con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.

Restrizioni

Quote:

accendi il pc e posta il log che troverai in C:\vundofix.txt....

Ora non posso riavviare il pc quindi semmai lo faccio sta sera, ma per le restrizioni come devo faro?

[lancetta]

fai il resto della procedura che poi vediamo
Ciao

[xargonwan]

ok ho fatto tutto xò ora ho 1 prob + grosso, causa restrizioni su usb nn va + la tastiera usb help, sto usando tastiera su schermo

[j100]

Quote:

Originariamente inviato da lancetta

disattiva il ripristino config di sistema se non sai come fare vedi QUI link

domanda: qualcuno sa se esistono delle chiavi di registro per poter effettuare la disattivazione del ripristino di config??? (non potendo entrare in sistema, sarebbe interessante poterlo fare da regedit)

Thanks

[demi@n]

Io un sistema lo conoscerei, ma per come state messi voi, al momento attuale, lo ritengo impossibile...

Se eravate dotati di un cd BurtPE, si potevano fare molte cosine... compresa quella che dici tu. Ma ho paura che non siate muniti di quest'attrezzo diventato ormai uno degli strumenti base per agire al di fuori del sistema operativo e raggirare le varie schifezze che agiscono con l'avvio dello stesso....

[xargonwan]

Quote:

Originariamente inviato da demi@n

Io un sistema lo conoscerei, ma per come state messi voi, al momento attuale, lo ritengo impossibile...

Se eravate dotati di un cd BurtPE, si potevano fare molte cosine... compresa quella che dici tu. Ma ho paura che non siate muniti di quest'attrezzo diventato ormai uno degli strumenti base per agire al di fuori del sistema operativo e raggirare le varie schifezze che agiscono con l'avvio dello stesso....

Di cosa si tratta questo BurtPE?

[xargonwan]

Ho restrizioni anche al pannello di controllo T.T

[xargonwan]

Quote:

Originariamente inviato da xargonwan

Ho restrizioni anche al pannello di controllo T.T

Cercando su internet sono riuscito a raiblitarlo, ora va anche la rimozione usb ma cmq il pannello di controllo non appare come icona quindi non so se veramente l'ho sbloccato...

EDIT: La tastiera usb continua a non funzionare, sto tuttora usando quella vecchia ps2

[demi@n]

Quote:

Originariamente inviato da xargonwan

Cercando su internet sono riuscito a raiblitarlo, ora va anche la rimozione usb

Bravo, cercando s'impara!
Ci vorresti anche dire cosa hai trovato? Così, tanto per essere partecipi dell'evento...!

[xargonwan]

Eh ho tolto delle chiavi in Polices ma non le ricordo esattamente, se le ritrovo ve lo posto ^^
Cmq la tastiera ancora non da segni di vita

EDIT: l'ho rimossa da gestioen periferiche e l'ho riattaccata, ora funziona ^^

[demi@n]

Quote:

Originariamente inviato da xargonwan

Eh ho tolto delle chiavi in Polices ma non le ricordo esattamente, se le ritrovo ve lo posto ^^
Cmq la tastiera ancora non da segni di vita

EDIT: l'ho rimossa da gestioen periferiche e l'ho riattaccata, ora funziona ^^

Peggio per te!
Impara a ricordare!

[demi@n]

Quote:

Originariamente inviato da xargonwan

segni di vita

EDIT: l'ho rimossa da gestioen periferiche e l'ho riattaccata, ora funziona ^^

Sai... queste cose non le capisco proprio... anzi, mi lasciano delusa...

Tante persone si sprecano per interpretare i tuoi log (di qualsiasi tipo, e magari pallosissimi!!) e tu non ti degni nemmeno di specificare cosa hai "riattaccato"...

Scusami sai, ma non è molto carino...

[xargonwan]

Ecco forse ho trovato:

Quote:

Altre cause possibili sono servizi disabilitati/corrotti da qualche
malware oppure Chiave di IE6 corrotta... Ora mi vengono in mente solo
questi due... A proposito, non è che hai giocato con Tweak UI per caso? :-)

Puoi provare a dare un'occhiata ai servizi, se ne trovi uno o più
disabilitato e che invece non dovrebbe esserlo... Il servizio RPC tanto
per cominciare... poi potresti controllare l'esistenza di questa chiave
e quindi cancellarla (previo backup della stessa!)
HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer]. Un bel
riavvione a dita incrociate e via.

Altro indiziato è in alcuni casi Spybot: hai cominciato ad avere
problemi dopo la sua installazione o dopo aver modificato le sue
impostazioni? Se usi IE e ti compare il messaggio in questione quando
tenti di accedere alle impostazioni di IE allora forse è spybot in
modalitÃ* Advanced... (controlla le opzioni di "Immunize"). Ora che mi
ricordo anche spyware blaster ha delle opzioni che possono provocare
questo messaggio...

Saluti
Francesco

E poi le restrizioni si trovano anche qui:

\HKEY_CURRENT_USER\Software\Policies\Explorer\

ora nn ricordo con esattezza ma c'era una chiave che bloccava il pannello di controllo e bloccando quello bloccava altre cose connesse come la rimozione e la lettura di periferiche usb.

[xargonwan]

Quote:

Originariamente inviato da demi@n

Sai... queste cose non le capisco proprio... anzi, mi lasciano delusa...

Tante persone si sprecano per interpretare i tuoi log (di qualsiasi tipo, e magari pallosissimi!!) e tu non ti degni nemmeno di specificare cosa hai "riattaccato"...

Scusami sai, ma non è molto carino...

Non mi pare di essermi espresso in liguaggio arcaico, il soggetto è la tastiera, e l'ho scritto

Quote:

Cmq la tastiera ancora non da segni di vita

EDIT: l'ho rimossa da gestioen periferiche e l'ho riattaccata, ora funziona ^^

(scusate l'errore di battitura)

la tastiera non da segni di vita (soggetto = tastiera) --> l'ho rimossa da gestione periferiche (si sta sempre parlando della tastiera) --> e l'ho riattaccata (e il soggetto è sempre lei, la tastiera )

Cmq ringrazio tutti quanti del vostro aiuto ^^

[lancetta]

per caso la chiave era una di queste 2?

NOSETFOLDERS

DisableSetFolders