PDA

Visualizza la versione completa : sfondo bianco del desktop dopo rimozione virus


taliesin2000
21-06-2004, 13:01
Ciao, sono un utente nuovo... ho fatto qualche ricerca sul forum ma non ho trovato risposte al mio problema. Scusate se è già stato trattato altrove.
Ho Windows XP; navigando su internet ho beccato un virus di tipo W32 sandbox, con tanto di ridirezione di home page di IE, ecc. ecc. Una cosa che era successa era che il desktop normale di Windows era stato sostituito da uno sfondo minaccioso, che mi invitava a cliccare su un link per rimuovere il tutto. Sono riuscito (almeno credo) a cancellare il virus con una versione aggiornata di Norman Antivirus. Inoltre ho usato AD Aware e Spy Blaster.
Ho rimosso manualmente alcuni file che si erano installati nei minuti 'critici' in cui ero in rete, scoprendo così che tale immagine desktop era formata da tante piccole immagini gif di qualche centimetro di lato, che ho cancellato.
Adesso sembrerebbe tutto a posto, la home page di IE è Ok, (anche se non ho ancora avuto il coraggio di ricollegarmi, adesso sto scrivendo da un altro pc), però lo sfondo del destop di Windows è ora tutto bianco, cambia solo la luminosità, di tanto in tanto. Tutti i collegamenti sul desktop sono a posto.
Se clicco col tasto destro sul desktop però non viene più la normale pagina di proprietà (accessibile comunque dal pannello di controllo), ma una scheda le cui opzioni abilitate sono:
salva sfondo con nome - imposta come sfondo - copia sfondo - imposta come oggetto desktop - seleziona tutto - html - codifica - stampa - aggiorna - proprietà.
Se apro proprietà, si apre una scheda con scritto:
Protocollo: File Protocol
Tipo: Html document
Connessione: nessuna crittografia
Indirizzo (URL): file://C:\WINDOWS\Web\desktop.html
Dimensioni, Data creazione e Ultima modifica: non disponibile.

Ogni tanto compare un riquadrino con lo sfondo giusto sotto, come se questa schermata intrusa 'coprisse' lo sfondo selezionato normalmente, più che sostituirlo.
Ultima cosa: Norman Antivirus non è riuscito a scansionare proprio tutto, alcuni file (dal nome molto simile a quelli infetti che è riuscito a rimuovere) sono danneggiati oppure 'cannot parse or unpack this object'.

Quindi: come potrei fare a rimettere a posto lo sfondo di Windows? Come posso essere sicuro di avere eliminato proprio tutte le schifezze?
Grazie dell'aiuto, scusate la lunghezza, volevo essere preciso...

cabal
21-06-2004, 18:51
E' stata impostata una pagina WEB come sfondo, quindi cliccando con il tasto destro non ti scono le proprietà del desktop perchè in realtà è una pagina web....

Dovrebbe essere sufficente usando le proprietà schermo dal pannello di controllo impostare il tema di default del win XP per ripristinare le normali condizioni del desktop.

In ogni caso dopo averle ripristinate una bella scansione antitutto on line non ci starebbe male

Ti allego uno stamp del mio desktop che usa come sfondo la pagina del forum di manuali.net, nota come nella finestra del tema appaia la dicitura modificato, quindi reimposta il normale tema del Win XP e dovresti risolvere il problema.

ciao

ps...dimenticavo ...BENVENUTO NEL FORUM

taliesin2000
22-06-2004, 13:55
ciao cabal, grazie della risposta veloce...
purtroppo non sono ancora riuscito a risolvere il problema... anche se forse ci stiamo avvicinando. Ho seguito il tuo consiglio e le cose sono andate così: apro le proprietà schermo dal pannello di controllo, guardo e come tema è selezionato 'modificato' (come avevi previsto). Dalla lista a scorrimento scelgo quello di default di windows xp, lo applico, mi dice di attendere qualche secondo, ma non succede niente. lo schermo è sempre come prima. Esco dal pannello di controllo, poi ci rientro, come tema è selezionato 'Windows XP modificato' -la parola 'modificato' prima non c'era, quando l'avevo selezionato. Rivado nella lista a scorrimento del tema e riscelgo Windows Xp. Applico, mi dice di attendere, ma lo schermo non cambia. Riavvio il computer, rivado nelle proprietà schermo, adesso non compare più nessuna scritta 'modificato', ma il tema impostato è quello di Windows XP, come se tutto fosse assolutamente normale. Lo schermo intanto è sempre come l'ho descritto nel messaggio sopra.
Aggiungo che, quando spengo il computer, per un attimo compare lo sfondo 'giusto' -in questo caso quello tipico delle colline verdi-
come se lo sfondo fosse effettivamente a posto, e ci fosse qualcosa 'sopra' di esso che lo maschera durante la normale sessione. Questa però è solo un'ipotesi.
Come ho scritto nel primo messaggio, se clicco col destro sul desktop una delle opzioni selezionabili è HTML.
Incollo qui l'HTML di questa 'roba'-non so come chiamarla, sperando che tu ci possa capire qualcosa. Io non sono molto esperto.


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!----
***** This file is automatically generated by Microsoft Windows *****
--------><HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1252"></HEAD>
<BODY
style="BORDER-RIGHT: medium none; BORDER-TOP: medium none; BORDER-LEFT: medium none; BORDER-BOTTOM: medium none"
bottomMargin=0 bgColor=#004e98 leftMargin=0 background="" topMargin=0
rightMargin=0>
<DIV
style="LEFT: 0px; WIDTH: 1024px; POSITION: absolute; TOP: 0px; HEIGHT: 768px"><IMG
style="LEFT: 0px; WIDTH: 100%; POSITION: absolute; TOP: 0px; HEIGHT: 100%" cache
src="file:///C:/WINDOWS/web/wallpaper/Colline.bmp"> </DIV><IFRAME id=0
style="BACKGROUND: none transparent scroll repeat 0% 0%; LEFT: 0px; WIDTH: 1024px; POSITION: absolute; TOP: 1px; HEIGHT: 737px"
name=DeskMovrW marginWidth=0 marginHeight=0
src="file:///C:/WINDOWS/Web/desktop.html" frameBorder=0 scrolling=no
subscribed_url="C:\WINDOWS\Web\desktop.html" resizeable=""> </IFRAME>
<OBJECT id=ActiveDesktopMover
style="LEFT: 0px; VISIBILITY: hidden; WIDTH: 0px; POSITION: absolute; TOP: 0px; HEIGHT: 0px; container: positioned; zIndex: 5"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
<OBJECT id=ActiveDesktopMoverW
style="Z-INDEX: -1; LEFT: -3px; VISIBILITY: hidden; WIDTH: 1030px; POSITION: absolute; TOP: -19px; HEIGHT: 760px; container: positioned"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>&nbsp;
</BODY></HTML>




Potrebbe forse quell' OBJECT id =Active DesktopMover averci qualcosa a che fare?
Ancora ho un po' di paura a collegarmi a internet, non l'ho ancora fatto... penso di avere rimosso il virus, ma mi preoccupa il fatto che l'antivirus non sia riuscito a scansionare un buon numero di file.
Ciao, e grazie

cabal
22-06-2004, 17:07
Facciamo due tentativi ...e vediamo di capirci qualcosa ...

sempre dalle proprietà schermo, questa volta dal modulo desktop, fai clic sul pulsante sfoglia, dalla finestra che ti appare dovresti vedere dove si trova il file che viene impostato come sfondo e come si chiama ...dacci un'occhiata e postami il risultato della ricerca.

Altra prova .... dal menù start fai clic su esegui, nella finestrella di esegui scrivi msconfig, dalla finestra che ti appare seleziona il modulo avvio, dovresti farmi una lista della roba che leggi nella finestra....sono importanti le prime due colonne, dovresti fare una lista dei programmi ad escuzione automatica (la prima colonna ) e la lista della loro posizione ( la seconda colonna ) e dovresti postarmi il risultato.

ciao

taliesin2000
22-06-2004, 23:35
wow, direi che il problema è risolto!
ho seguito i tuoi consigli (in fondo ti scrivo i risultati che ho ottenuto con msconfig, anche se credo che sia tutto a posto...)
Lo sfondo selezionato era colline, quindi niente di strano. Però, quando ero in proprietà schermo - modulo desktop, ho provato anche a cliccare 'personalizza desktop' in basso a sinistra. Si apre una finestra dal nome 'oggetti desktop'. Scelgo il modulo 'Web'.
L'elenco delle pagine web, nella finestrella a sinistra, è tutto vuoto salvo che per una pagina dal nome 'Security', che è selezionata. La provo a deselezionare (non a cancellare), ed ecco che torna tutto a posto!
Adesso mi chiedo: è normale avere quel file in quella posizione?
Faccio una ricerca e mi vengono alcuni file dal nome security, posizionati nella cartella system 32 di Windows, che al solo nominarla mi viene la pelle d'oca, visto le recenti brutte esperienze...
però, di primo acchito, non mi sembrerebbero pericolosi...
C'è un security.dll , la cui data di creazione risulta però anteriore addirittura all'acquisto del computer (nuovo), perciò dubito che sia qualcosa che ho preso in Internet.
C'è anche un file HTML di nome security, con l'iconcina di Internet Explorer, la cui creazione sembra avvenuta nei primissimi giorni di acquisto del computer...

Beh, mi sono rincuorato, mi sono ricollegato a Internet e sembra che sia tutto a posto...
che ne dici? a proposito, grazie ancora
PS. la cosa positiva del prendere virus e schifezze varie -ebbene sì', una c'è- è che almeno ti spinge a imparare un bel po' di cose nuove sul PC!




WkUFind C:\Programmi\File com… HKLM\SOFTWARE\Microsoft\Windows\CurrentVer...
NeroCheck C:\WINDOWS\system… HKLM\SOFTWARE\Microsoft\Windows\CurrentVer...

ZLH C:\NORMAN\Nvc\BIN\... HKLM\SOFTWARE\Microsoft\Windows\CurrentVer...

regprot c:\documents and sett... HKLM\SOFTWARE\Microsoft\Windows\CurrentVer...

ctfmon C:\\WINDOWS\System... HKLM\SOFTWARE\Microsoft\Windows\CurrentVer...

Adobe Gamma Loader C:\PROGRA~1\FILEC… Common Startup
InterVideo WinCinema C:\PROGRA~1\INTER… Common Startup
Microsoft Office C:\PROGRA~1\MICR… Common Startup
PowerReg Schedul… C:\Documents and Set… Startup
PowerReg Scheduler C:\Documents and Set… Startup
Spyware Guard C:\PROGRA~1\SPYW… Startup