Dopo averlo debellato, infatti, è come se windows non aprisse più la shell di explorer. In pratica il sistema parte ma rimane solo lo sfondo di windows senza nient'altro. Facendo ctrl+alt+canc, nuova operazione--> "explorer.exe" tutto parte e funziona alla perfezione. Credo quindi che il mio antivirus abbia cancellato lo startup del programma direttamente nel registro di configurazione. Io non ho idea di dove andare a metterci le mani...qualcuno può aiutarmi??
Grazie e ciao a tutti!
sempreché tu l'abbia debellato completamente,
dopo un back up del registro (/esporta facendo attenzione a spuntare l'opzione 'tutto' in fondo al registro)
controlla queste due chiavi:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
controlla se vi sia il valore 'NoDesktop' (tipo REG_DWORD, dati '1')
eventualmente elimina tutto il valore 'NoDesktop' (tasto dx del mouse, elimina)
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
controlla il valore 'Shell' deve avere come dato 'Explorer.exe' e nient'altro
se non hai dimistichezza col registro che è pur sempre una parte delicata del sistema operativo Windows, fai così:
portati al prompt dei comandi (start\esegui\cmd)
digita tutto su una riga:
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer /v NoDesktop /t REG_DWORD /d 0
[INVIO]
inoltre facendo attenzione alle virgolette:
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell
[INVIO]
posta l'output di questo comando
riavvia e verifica se sono riapparse le icone
innanzitutto grazie per l'interessamento....
dunque:
la chiave "nodesktop" non esiste. C'è però nello stesso post la chiave:
NoDriveTypeAutoRun, sempre di tipo REG_DWORD, con valore 0x00000091 (145)
La chiave "shell" all'interno di winlogon è a posto, con valore explorer.exe.
Che vuol dire???
significa che a livello di quelle due chiavi tutto è a posto ed il mio consiglio è stato inutile...insomma nessuna traccia!
il problema è che non ti appaiono le icone sul desktop all'avvio, corretto? nel caso, immagino il virus non sia stato ancora ben debellato (debellare un virus significa togliere anche le modifiche al registro che questo ha effettuato)
ti consiglio una scansione con il tuo antivirus in modalità provvisoria (digita F8 all'avvio del Bios e prima del logo di Windows, non preoccuparti poi al riavvio torna tutto come prima...) o una delle scansioni on-line che trovi in cima al forum (link utili per la sicurezza informatica)
la modalità provvisoria forse ha dato un'altro indizio su quello che può essere accaduto (o magari ha incasinato ancora di più le cose...)
Infatti anche in modalità provvisoria succede la stessa cosa!!! Explorer non parte...funziona solo facendo la stessa cosa che devo fare in modalità "normale".
Viene fuori un messaggio di errore che dice:
"Error! Loader couldn't initialize service!"
giuro che mi prendo un hard disk ci metto sopra fedora e mollo windows...è incredibile quanto sia fragile e instabile questo sistema...
Qualche altra idea???VVoVe:
ho fatto la scansione in modalità safe mode, niente virus.
Il problema deve risiedere da qualche parte nel registro...mah!
qual era il nome del virus che hai debellato? quale antivirus usi? hai provato anche una scansione on-line sul sito della TrendMicro (anche se la sensazione è di un post-war, qualcosa che se ne è andato lasciando un po' di distruzione...)?
stando anche a quello che si dice qui le parti di registro 'distrutte' potrebbero essere quelle relative alla chiave HKLM\Software\Classes (e \Classes\CLSID), in questo caso hai provato dalla modalità provvisoria il 'ripristino dell'ultima configurazione sicuramente funzionante'?
grazie delmak! Ho appena risolto il problema...
il virus era in realtà ancora attivo e si trattava di
hacktool.rootkit.
Questo bast**do si insinua nel file di sistema userinit.exe, che è deputato al caricamento delle opzioni personali, la prima routine che esegue windows all'avvio. Quindi anche il mio antivirus (norton 2005) non lo vedeva.
Ho provato a far partire il pc scollegando fisicamente il cavo di rete. Così il sistema si è accorto del virus, e ho potuto fare uno scan per eliminarlo.
Ora è tutto a posto. Spero che serva a qualcuno nel caso si ritrovi lo stesso problema.
Permessi di invio
Rispondi quotando