Pop up selvaggi

[pjfry]

Sennò potresti provare a cercare 'ad intuito' nel registro di sistema. Ora mi spiego, se il sito cui vieni indirizzato è porcellone.it (non so se esista, ho inventato), vai in start-esegui-regedit e vai in modifica-trova e usa come keyword 'porcellone'. Se ti trova qcosa, eliminalo.

Oppure, altra soluzione che si può provare, è prendere il prg Regcleaner, andare in strumenti-pulizia registro-eseguili tutti ed eliminare tutto ciò che viene elencato. magari c'è anche la porcata che ti fa qs scherzo...

Ho fatto come hai detto: sono entrato nel regedit e ho lanciato una ricerca col nome del sito. In effetti la ricerca mi restituisce una decina di oggetti (tra cui anche quello che fa di quel sito la home), ma non so come eliminarli.
Se faccio canc mi dà sì un messaggio in cui dice che gli oggetti sono stati eliminati, ma se riavvio il pc la home è stata nuovamente impostata sul sito porno suddetto e, cosa ancora più strana, se rientro nel regedit e rifaccio la ricerca, mi restituisce ancora gli stessi oggetti che avevo eliminato in precedenza.
C'è una procedura particolare per eliminare davvero i file risultanti dalla ricerca nel regedit?

evidentemente qualcosa all'avvio ricrea i collegamenti... cerca in "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" (e anche runonce,runonceex,runservices) le stringhe che ho scritto sopra (tra l'altro all'ultima frase volevo dire " aprilo con notepad e posta il contenuto,così capiamo cosa fà"), e se non ci sono postaci tutto il contenuto... controlla anche la cartella di esecuzione automatica

[Argyll]

[quote="pjfry"]guarda qui : http://boards.cexx.org/viewtopic.php?t= ... 1f6facc01f
ci sono un paio di possibili soluzioni, ma non si capisce se quello che aveva il problema ha risolto...
[quote]it is likely that the following is the culprit
O4 - HKLM\..\Run: [sys] regedit /s sys.reg

Il sys.reg l'ho trovato ma non so come aprirlo con notepad. Se ci clicco sopra si apre una finestrella che mi fa cambiare semplicemente il nome o il contenuto della stringa (che del resto è sempre regedit /s sys.reg) e nel menu in alto non c'è nulla che mi aiuti.
Il problema purtroppo non l'ho ancora risolto, ma dal link che mi hai indicato vedo che questo specifico problema è già saltato fuori.

[Argyll]

evidentemente qualcosa all'avvio ricrea i collegamenti... cerca in "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" (e anche runonce,runonceex,runservices) le stringhe che ho scritto sopra (tra l'altro all'ultima frase volevo dire " aprilo con notepad e posta il contenuto,così capiamo cosa fà"), e se non ci sono postaci tutto il contenuto... controlla anche la cartella di esecuzione automatica[/quote]

Ho notato che il reg.sys si trova proprio in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Vorrei sapere se è possibile accedere alle cartelle HKEY anche attraverso Esplora risorse o no (e se sì, come?)
Ora sono in ufficio (la macchina "infetta" è quella di casa), stasera provo a vedere come posso fare per aprire il reg.sys con notepad.

[pjfry]

quello che vedi con regedit è la chiave nel registro, è come un collegamento... il file sys.reg è da qualche parte nell'hard disk, quindi cercalo con la funzione 'trova' come un qualunque file... poi lo trascini sopra notepad e lo apri... se è quello che pensiamo puoi cancellare la chiave e dovresti risolvere

[Argyll]

quello che vedi con regedit è la chiave nel registro, è come un collegamento... il file sys.reg è da qualche parte nell'hard disk, quindi cercalo con la funzione 'trova' come un qualunque file... poi lo trascini sopra notepad e lo apri... se è quello che pensiamo puoi cancellare la chiave e dovresti risolvere

Ho trovato il file sys.reg, è in C (e non in qualche cartella di C).
Come mi hai suggerito ho trascinato il file su notepad e questo è ciò che ne è venuto fuori:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://redteen2.da.ru/"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"sys"="regedit /s sys.reg"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://redteen2.da.ru/"
"Search Bar"="http://redteen2.da.ru/"

Vorrei farti presente che adesso la home non è più revolto2.da.ru ma è redteen2.da.ru
Devo semplicemente cancellare questo file? E' un file di sistema? Non è che faccio casino?

[pjfry]

BINGO!!
cancella questo file e la chiave che avevi trovato in run e vedrai che la situazione dovrebbe migliorare

[Argyll]

BINGO!!
cancella questo file e la chiave che avevi trovato in run e vedrai che la situazione dovrebbe migliorare

In effetti pare che la cosa si sia sistemata: ho cancellato il file da C e riavviando il pc finalmente non avevo più la home modificata.
Per sicurezza ho rifatto la ricerca nel regedit di revolto2 e redteen2 ma la ricerca non ha dato alcun esito: immagino quindi che questi file non siano più residenti.
Grazie ancora di tutto e spero di non dovervi annoiare con i miei disguidi.

[dado]

Bene, mi sembra che ancora una volta la squadra di pc-facile sul modello della A-Team ha fatto centro...