Editor Di Registro Disabilitato

[vipera63]

hijackthis.logsalve a tutti, questo è il post scritto nella sezione windows e poi consigliatomi di spostarlo qui:

salve a tutti, vista la grande competenza riscontrata in questo sito, mi chiedevo se c'è qualcuno che può aiutarmi, ogni tanto mi appare una finestra che dice: l'editor del registro è stato disabilitato dall'amministratore. In più se premo ctrl+alt+canc mi appare: task manager è stato disabilitato dall'amministratore. Preciso che sono l'unico utente del pc, quindi amministratore, visto poi che il nome del pc è uguale al mio, spero di essere stato chiaro, grazie e ciao!

allego log di hijackthis, grazie!

[dinop]

dovresti avere "a bordo" un malware camuffato da Winlogon.exe che è un processo legittimo di Windows.

1. fai partire HiJackThis

2. premi scan

3.cerca nell'elenco la chiave seguente e spunta la casella a lato

O4 - HKLM\..\Run: [winlogon] winlogon.exe

4.premi fix checked

5..riparti in modalità provvisoria, se non sai come fare:

A. Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows.

B. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio

Su alcuni Pc il tasto potrebbe essere diverso da F8 (F4; F10 ecc... controllare in questo caso sul libretto della scheda madre

Cancella files/cartelle

6.Avvia Gestione risorse e imposta la visualizzazione completa dei files, se non sai come fare:

Seleziona strumenti>Opzioni Cartella

Seleziona Visualizza

Spunta "mostra file e cartelle nascoste"

Togli la spunta da "nascondi file di sistema protetti"

Click Ok

7.cerca e cancella i seguenti oggetti/cartelle:

winlogon.exe

ATTENZIONE!! i files Winlogon.exe che si trovano in C:\Windows\system32 , C:\Windows\dllcache e nelle cartelle del ServicePAck1 che hai installato "non" sono da cancellare...

8.vai su "installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato tu

Rimuovi oggetti nelle aree temporanee

9.cancella il contenuto di Windows\temp, windows\tmp

10.sulle opzioni Internet cancella la cache di IE, i cookies

11.svuota il cestino

12.riparti in modalità normale

13.fai girare HJT e posta un nuovo log

Vedo che non hai installato il ServicePack2, che aumenterebbe la protezione ed affidabilità del tuo sistema. Se non ci sono motivi per non installarlo, fallo al più presto...

[Kuma]

Prova anche a dare una passata con questo Tool di Rimozione automatica

Solitamente la voce che ti ha detto di fissare Dinop è aggiunta da una variante del virus W32.Netsky

e il tool dovrebbe correggere anche tutte le modifiche effettuate non autorizzate

[vipera63]

hijackthis.logsalve e grazie per le risposte.......provato programmino ma non ha trovato nulla.........poi provato con modalità provvisoria e quindi posto il log nuovo di hijackthis........ciao!

PS_ho appena provato con ctrl+canc+alt, sempre uguale!

[Kuma]

Il log è pulito

Per il task MAnager prova con ilprimo file che ti allego (xp_taskmgrenab)

Per il registro, hai per caso usato qualche programma per disabilitarlo o si è disattivato da solo ???

Comunque:

da Start/Esegui digita > gpedit.msc\Configurazione utente\Modelli

amministrativi\Sistema\Impedisci accesso agli strumenti di modifica

del Registro:

se fosse disattivato clicca su "Proprietà" e imposta su Non

configurato.

Fatto questo, clicca sul secondo file allegato (restoreregistry) e incrocia le dita

[vipera63]

ciao e grazie.....task manager con quel programmino è risolto.....ho fatto il resto ma "NON CONFIGURATO" c'era già.....ho provato lo stesso con quel file di registro, ma niente da fare....solita scritta.............in più devo dire una cosa che mi ero dimenticato, mi appaiono sempre queste finestre di tanto in tanto sul desktop...........ciao!

[dinop]

hai il servizio di messaggistica immediata attivo (Messenger... che non c'entra con Msn o con Windows Messenger....)

ti consiglio di disattivarlo:

start>esegui>services.msc

cerca nei servizi Messenger , click dx, proprietà, disabilita, ok

per il problema della disabilitazione, verifica se, rinominando regedit.exe in altro.exe (per esempio.. (B) ) e facendolo partire, si avvia.

Se è così controlla questa chiave del registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

vedi se sulla dx trovi un elenco con regedit, task manager e/o altro. Se c'è qualcosa è sufficient che cancelli tutte queste sottochiavi e controlla...

[vipera63]

ciao.......scusami;......per la prima cosa; ok!....per il resto non ho capito.....non sono proprio "ferrato"........magari con parole più sempilci..... :dia: .......PS_se provo a fare: esegui>regedit.......sempre solita scritta..........."l'editor di registro è stato disabilitato dall'amministratore"...........scusa la mia ignoranza....grazie e ciao!

[dinop]

apri gestione risorse, vai sulla cartella di windows, click dx su regedit.exe,scegli "rinomina",cambia il nome in "altro.exe", doppio click su e vedi se parte...

[Kuma]

Prova a fare come dice Dinop.

Se non si risolve, per il momento prova ad usare un altro editor di registro

RegCool (l'unico problema è che è in inglese)

[vipera63]

ok, allora avevo capito bene, lo avevo già fatto ma non funziona, quando rinomino il file ne appare subito un altro vicino identico a come era prima, e comunque non si apre, solita scritta.............anche se provo con REGEDIT da "esegui".....grazie, ciao!

[Kuma]

Hai provato con un altro editor ????

Non è che per caso (per provarlo) avevi usato un programma chiamato "TASK (quasi) MANAGER" ???

[vipera63]

no no.....nessun programma.....ho installato REGCOOL come consigliatomi...........messo collegamento su windows.......quindi da ESEGUI > REGCOOL viene questo:

PS_ogni volta che uso hijackthis, puntualmente me lo ritrovo in INSTALLAZIONE-APPLICAZIONI........ed io lo tolgo, è normale?

[dinop]

..quindi da ESEGUI > REGCOOL viene questo......

bene, disponi comunque di uno strumento per modificare il registro. ora puoi seguire il suggerimento che ti avevo dato prima:

Se è così controlla questa chiave del registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

cliccando sul + a lato di HKEY_CURRENT_USER si apre l'albero delle chiavi, segui il percorso della chiave che ti ho postato e vedi se sulla dx trovi un elenco che cita regedit, task manager e/o altro. Se c'è qualcosa è sufficiente che cancelli tutte queste sottochiavi e controlla riavviando se è ok...

PS_ogni volta che uso hijackthis, puntualmente me lo ritrovo in INSTALLAZIONE-APPLICAZIONI........ed io lo tolgo, è normale?

che cosa? il fatto che lo togli ? no, io lascerei stare... (B)

[vipera63]

ciao......per prima cosa ringrazio....visto che nell'ultimo post l'ho dimenticato :angel_not: ................allego la finestra relativa a quello che hai chiesto....(almeno spero)..............

PS_per hijackthis....mi sembrava strano lo trovassi li, visto che mi sembrava di aver letto che non essendo una applicazione..........non avrebbe dovuto trovarsi li...........ma come ben giustamente dici..........meglio così! ........................ciao!

[Kuma]

Con REGCOOL prova ad importare il file che ti allego

[vipera63]

ciao......ho appena provato, ma:

[dinop]

potrebbe essere il tuo profilo ad essere stato danneggiato.

Prova a crearne uno nuovo, sempre con diritti di amministratore e fai partire regedit. Volendo puoi copiare le preferenze del profilo vecchio, come spiegato in questo articolo Microsoft --> http://support.microsoft.com/?kbid=811151

Ciao, Dinop...

[vipera63]

ciao......ma poi mi ritroverei tutti i programmi ed il resto (deskotp compreso) con l'altro account?......grazie!

[dinop]

ciao......ma poi mi ritroverei tutti i programmi ed il resto (deskotp compreso) con l'altro account?......grazie!

sì, a 2 condizioni:

1. hai copiato come da link le impostazioni del vecchio user sul nuovo

2. hai installato sempre i prodotti con l'opzione "valido per tutti gli utenti" e non "solo per questo utente" o giù di lì, richiesta che viene fatta spesso in quella fase (non da tutti i sw... (B) )

Ciao, Dinop...

[vipera63]

purtroppo quella faccina ci sta proprio bene..... ....grazie, fin troppo gentile............è proprio come pensavo, questo è uno di quei siti dove puoi davvero trovare tutto, non lo dico per nulla, ma perchè lo credo.....ciauz!