salve spero che qualcuno mi possa aiutere . Ho winxp se eseguo regedit.exe mi appare un avviso che dice che l'editor è stato disabilitato ....ma io non ho mai fatto una cosa del genere e comunque adesso qualcuno sa dirmi come posso fare per riabilitarlo grazie claudia

Benvenuta (D)
Intanto controlla che non si tratti di questo:

http://www.wintricks.it/forum/showthread.php?s=&threadid=59714&highlight=swen

Nel frattempo scarica:

http://www.spywareinfo.com/~merijn/files/HijackThis.exe

lancialo e posta il LOG della scansione.

si è lo stesso problema

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
D:\PROGRA~1\INCRED~1\bin\IMAPP.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\gio\Impostazioni locali\Temporary Internet Files\Content.IE5\OWDNWGXI\HijackThis[1].exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://global.acer.com/
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Zero Popup - {2EF37A01-884F-11d5-AC99-B112050ECB4F} - C:\PROGRA~1\ZEROPO~1\HTMLEdit.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.addictivetechnologies.net/DM0/cab/qh8crrl.cab
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\autocad\InstFred.ocx
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\autocad\InstBanr.ocx
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://D:\autocad\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{23BEFEA9-6B4D-402F-A6C4-726C9C64F162}: NameServer = 62.211.69.150 212.48.4.15

usa questo:

http://download.nai.com/products/mcafee-avert/stinger.exe

l'ho usatoma non ha rilevato nulla e il problema persiste sono demoralizzata

Originariamente inviato da claudia
l'ho usatoma non ha rilevato nulla e il problema persiste sono demoralizzata
scusa ma mi era sfuggita una cosa nel tuo log:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol
icies\System, DisableRegedit=1

Non ricordo se lo SWEN faccia questo scherzetto, sei sicura che nessuno abbia messo mano al tuo PC?

no nessuno ne sono sicura

ecco, cercavo questo e l'ho trovato:

http://www.winguides.com/downloads/unlock.reg

scaricalo e prova a fare doppio clic sul .reg

trovato un altro:

O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe

è un trojan, devi rimuoverlo dall'esecuzione automatica e poi dalla cartella di Windows, il problema è che bisogna avviare regedit.

niente da sempre la stessa risposta

Allora, seguimi bene:

crea una cartella sdat in C:\ e scaricaci dentro questo:

ftp://ftp.nai.com//CommonUpdater/sdat4355.exe

dentro la stessa cartella scompattaci anche questo file:

http://www.wintricks.it/forum/attachment.php?s=&postid=613820

poi fai start > esegui > cmd e dai questi comandi, ognuno seguito da invio:

cd \
cd sdat4355 /e (qui devi aspettare circa 20 secondi)
exit

ora, disattiva il norton, vai nella cartella sdat e lancia scangui.exe

attiva le seguenti opzioni e lancia la scansione.

ho eliminato alchem da windows ma il problema persiste

segui le istruzioni al post precedente ;)

ftp://ftp.nai.com//CommonUpdater/sdat4355.exe mi dice che è impossibile trovare il server

Originariamente inviato da claudia
ftp://ftp.nai.com//CommonUpdater/sdat4355.exe mi dice che è impossibile trovare il server
e ciai ragione pure tu :D perchè nel frattempo l'hanno aggiornato e ora il link corretto è:

ftp://ftp.nai.com//CommonUpdater/sdat4356.exe

non riesco ascompattare scangui.rar sig sig

Usa questo (http://davlak.altervista.org/files/scangui.exe)
Non c'è bisogno di scompattarlo, ti link l'exe.
Se non riesci a scaricarlo fai clic destro sul link e Salva Oggetto con nome...

non funziona credo di aver fatto qualche casino C:\DOCUME~1\gio\IMPOST~1\Temp\scan.txt non lo trova

Originariamente inviato da claudia
non funziona credo di aver fatto qualche casino C:\DOCUME~1\gio\IMPOST~1\Temp\scan.txt non lo trova
se guardi lo screenshot ti avevo indicato di dargli il percorso C:\scan.txt

fatto ma non lo trova system error code 0x2 impossibile trovare il file sono un disastrooooooo

crea un file di testo in c:\ e chiamalo scan.txt
e anche una cartella vuota, sempre in c:\ e chiamala quarantine

ho fatto tutto ma non va ...se formatto forse faccio prima

prova così: con HijackThis elimina (fix) questa voce

O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe

e verifica che non ci sia più alchem.exe in c:\windows

poi riavvia e riprova con lo scangui.exe ma prima ricordati di disattivare il Norton.

fattooooooooooooooooooooooooooooo funziona ti sommergo di baciiiiiiiiiiiiiiiiiiiiii grazieeeeeeeeeeeeeeeeeeeeeeeeee

ho attivato il firewall di xp mi consigli di tenere quello o installare zonealarm?

ti consiglio Zone Alarm, ma se vuoi qualcosa di più accurato anche se meno facile da configurare, meglio Kerio

http://www.msni.it/news2/article.php?ID=5212

una domanda: hai lanciato lo scangui.exe? e se si ti ha rilevato qualcosa? (lo puoi vedere aprendo lo scan.txt)

:)

ha trovato un virus 32 sven..ma credo di avere ancora quAlcosa in giro il pc mi sta chiedendo di modificare qualcosa..ma che palle non so più come difendermi da virus (IL NORTON NON LO HA RILEVATO) SPY ECCC

Ho seguito i consigli di questa discussione ma un paio di file persistono. Ho installato HjackThis e vi posto il report mi date una mano a capire cosa devo brasare e cosa no? Grazie!

################################################## ###################
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\LigatoSergio\Documenti\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Windows Network Controller] Win9x.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [netservices] recall.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 2.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Ricerche (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094894554812

################################################## ###################
A me insospettiscono i due item che ho contrassegnato con due asterischi...

Grazie ancora!

vai qui:

http://hijackthis.de/index.php?langselect=italian

fagli analizzare il log e vedi che dice.