View Full Version : WINWORD.EXE
topastro89
19-02-2006, 23:08
Scusatemi, guru di HW upgrade...è un pò di tempo che guardando l'utilizzo della CPU su task manager vedo WINWORD.EXE che mi occupa un buon 50% fisso di CPU, anche appena riavviato. Ho fatto una scansione con Antivir e Spy sech and destroy e non mi hanno trovato niente. Secondo voi può trattarsi di un virus o di cos'altro?
Usando search WINWORD risulta nella cartella windows/prefetch e di tipo .pf
Grazie anticipate ragazzi! :rolleyes:
bisogna vedere i settaggi di office secondo me: quest'estate mi diede da fare quando lo usai assiduamente ;)
andorra24
19-02-2006, 23:11
WINWORD.EXE e' Microsoft word.
vabbè di office nello specifico word: è facile che la cpu sballi, specie con documenti di 70-80 pagine
topastro89
19-02-2006, 23:24
no, ragazzi non ci siamo capiti. Come io riavvio il pc e apro task manager, questo segna subito winword con un utilizzo fino al 70% e 12mb di ram! io non ho nessun documento aperto.. :mc:
puoi identificare la locazione del file? è sotto la directory WINDOWS? O sotto PROGRAMMI?
ciò non è bene: prima che andorra vada sui 2 metri orizzontali, posta un log di hijackthis
andorra24
19-02-2006, 23:29
no, ragazzi non ci siamo capiti. Come io riavvio il pc e apro task manager, questo segna subito winword con un utilizzo fino al 70% e 12mb di ram! io non ho nessun documento aperto.. :mc:
Scansiona quel file su www.virustotal.com perche' inizia a puzzarmi un po'. Infatti esiste anche un trojan omonimo: http://www.castlecops.com/s12510-WINWORD_exe.html
se comunque lo trovi sotto la directory di windows puoi anche spedirmelo attraverso il link che ho in sign
topastro89
19-02-2006, 23:44
Cercando winword.exe risulta proprio in c:windows/prefetch
Mi sa proprio che mi sono beccato quel virus omonimo e adesso provo a scannerizzare tutto con l'altro programma.
Nel caso che fosse proprio lui che faccio?
Vi ringrazio per quello che state facendo :D
Chissà se non me ne accorgevo...alla mia cpu non sarebbe piaciuto stare a metà powa senza fare niente una buona parte della giornata! :muro:
andorra24
19-02-2006, 23:48
Cercando winword.exe risulta proprio in c:windows/prefetch
Mi sa proprio che mi sono beccato quel virus omonimo e adesso provo a scannerizzare tutto con l'altro programma.
Nel caso che fosse proprio lui che faccio?
Vi ringrazio per quello che state facendo :D
Chissà se non me ne accorgevo...alla mia cpu non sarebbe piaciuto stare a metà powa senza fare niente una buona parte della giornata! :muro:
Scansionalo su www.virustotal.com e se risulta infetto eliminalo.
scansionalo su www.virustotal.com
chiaro no? ;)
ma scusami un attimo: se hai office installato, possibile che tu non trovi 2 istanze del file? una anche sotto office?
topastro89
19-02-2006, 23:51
va bene.proverò. Ma devo mandare solamente quel file che trovo?Facendo una scansione singola sul file con Antivir non trovo niente? :confused:
[EDIT] cercando winword da il file "sospetto" in wizozz e un file in office, ma solo di testo
serve come ulteriore "parere medico" ma mi piacerebbe sapere se hai un'altro file winword sotto office
come dicevo :rolleyes:
posta un log di hijackthis che controlliamo (che controlla... :D )
andorra24
19-02-2006, 23:54
va bene.proverò. Ma devo mandare solamente quel file che trovo?Facendo una scansione singola sul file con Antivir non trovo niente? :confused:
Virustotal e' un sito che mette a disposizione molti motori di scansione antivirus per poter scansionare singoli files. E' molto utile per avere un quadro piu' chiaro sulla sanita' o meno di un file.
andorra24
19-02-2006, 23:56
come dicevo :rolleyes:
posta un log di hijackthis che controlliamo (che controlla... :D )
Concordo, puo' postare anche il log di hijackthis cosi si controlla se ci sono altre anomalie.
Virustotal e' un sito che mette a disposizione molti motori di scansione antivirus per poter scansionare singoli files. E' molto utile per avere un quadro piu' chiaro sulla sanita' o meno di un file.
ho quasi l'impressione di trovarmi dentro una galleria :eek:
Concordo, puo' postare anche il log di hijackthis cosi si controlla se ci sono altre anomalie.
senza gli accenti.... una prof con la "S" maiuscola.... :D
andorra24
19-02-2006, 23:56
ho quasi l'impressione di trovarmi dentro una galleria :eek:
In che senso?
In che senso?
mah, sento un certo rimbombo... come se la voce mi ritornasse indietro... :mbe:
topastro89
19-02-2006, 23:58
Perfetto, cioè, si fa per dire.... :cry:
ho appena inviato il file a virus total, ma mi daresti un link per hijackthis? cosi vi aggiorno anche su quel fronte!
Mi da un fastidio sapere che il mio bel pc ha qualcosa che non và.. :cry: :cry: :cry: :help:
andorra24
20-02-2006, 00:00
Perfetto, cioè, si fa per dire.... :cry:
ho appena inviato il file a virus total, ma mi daresti un link per hijackthis? cosi vi aggiorno anche su quel fronte!
Mi da un fastidio sapere che il mio bel pc ha qualcosa che non và.. :cry: :cry: :cry: :help:
Scaricalo da qua:http://majorgeeks.com/downloadget.php?id=3155&file=1&evp=3304750663b552982a8baee6434cfc13
link ad hijackthis:
http://80.237.140.193/downloads/hijackthis_199.zip
piazzalo in una cartella e lancia l'eseguibile fai do a scan only e save logfile poi ce lo copi e incolli qui ;)
topastro89
20-02-2006, 00:04
Ecco a voi...mi fido perchè non ci capisco un tubo! :rolleyes:
Logfile of HijackThis v1.99.1
Scan saved at 1.02.56, on 20/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\User\IMPOST~1\Temp\Directory temporanea 1 per hijackthis_199.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SplashDisplayer] C:\WINDOWS\system32\ISTHTB.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [{1290A33C-85F5-4164-A1BE-7DD299D4986A}] C:\Programmi\CyberLink\PowerBackup\PBKScheduler.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\Ereg.exe" -r "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\ereg.ini"
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127500897468
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Seekmo/ie/bridge-c24.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {E0051273-5988-41EC-A891-11D4A1BABF35} (KDreg class) - http://217.69.157.141/player/kdreg.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8353DA18-AA08-4C55-AF24-A5257A0E82DF}: NameServer = 213.205.32.70 213.205.36.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
topastro89
20-02-2006, 00:10
Scusate quello di prima è dopo che l'ho chiuso. Questo è fresco di restart:
Logfile of HijackThis v1.99.1
Scan saved at 1.09.21, on 20/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\User\IMPOST~1\Temp\Directory temporanea 2 per hijackthis_199.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SplashDisplayer] C:\WINDOWS\system32\ISTHTB.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [{1290A33C-85F5-4164-A1BE-7DD299D4986A}] C:\Programmi\CyberLink\PowerBackup\PBKScheduler.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\Ereg.exe" -r "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\ereg.ini"
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127500897468
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Seekmo/ie/bridge-c24.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {E0051273-5988-41EC-A891-11D4A1BABF35} (KDreg class) - http://217.69.157.141/player/kdreg.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8353DA18-AA08-4C55-AF24-A5257A0E82DF}: NameServer = 213.205.32.70 213.205.36.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
non voglio fare commenti.... :D
fixa cioè seleziona e premi fix checked:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
questi che cosa sono?
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
se non lo sai fixali
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/See.../bridge-c24.cab
O16 - DPF: {E0051273-5988-41EC-A891-11D4A1BABF35} (KDreg class) - http://217.69.157.141/player/kdreg.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe quest'ultimo prima killalo da taskmanager
andorra24
20-02-2006, 00:12
Fixa:
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
Controlla questi:
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/See.../bridge-c24.cab
O16 - DPF: {E0051273-5988-41EC-A891-11D4A1BABF35} (KDreg class) - http://217.69.157.141/player/kdreg.cab
sono diventato bravo :)
c'e' solo la questione dit.exe
topastro89
20-02-2006, 00:14
E adesso il caso si complica ancora di più, guardate che cosa mi ha risposto VirusTotal!! :muro:
Virus Total
_______________________________________________
Scan results
File: WINWORD.EXE-2798733C.pf
Date: 02/20/2006 00:58:39 (CET)
----
AntiVir 6.33.1.50/20060218 found nothing
Avast 4.6.695.0/20060216 found nothing
AVG 718/20060217 found nothing
Avira 6.33.1.50/20060218 found nothing
BitDefender 7.2/20060220 found nothing
CAT-QuickHeal 8.00/20060216 found nothing
ClamAV devel-20060126/20060219 found nothing
DrWeb 4.33/20060219 found nothing
eTrust-InoculateIT 23.71.81/20060219 found nothing
eTrust-Vet 12.4.2086/20060217 found nothing
Ewido 3.5/20060219 found nothing
Fortinet 2.69.0.0/20060220 found nothing
F-Prot 3.16c/20060219 found nothing
Ikarus 0.2.59.0/20060217 found nothing
Kaspersky 4.0.2.24/20060220 found nothing
McAfee 4700/20060217 found nothing
NOD32v2 1.1413/20060217 found nothing
Norman 5.70.10/20060217 found nothing
Panda 9.0.0.4/20060219 found nothing
Sophos 4.02.0/20060219 found nothing
Symantec 8.0/20060219 found nothing
TheHacker 5.9.4.098/20060218 found nothing
UNA 1.83/20060216 found nothing
VBA32 3.10.5/20060219 found nothing
Adesso mi chiedo... è possibile che non sia quello il file che rompe?che non lo possa trovare cercandolo? e se lo cancello di brutto cosa rischio, non è un file .ddl è un .pf :help: :help: :help:
andorra24
20-02-2006, 00:15
sono diventato bravo :)
c'e' solo la questione dit.exe
Si, dit.exe e' sicuro:http://www.bleepingcomputer.com/startups/dit.exe-1338.html
andorra24
20-02-2006, 00:17
Adesso mi chiedo... è possibile che non sia quello il file che rompe?che non lo possa trovare cercandolo? e se lo cancello di brutto cosa rischio, non è un file .ddl è un .pf :help: :help: :help:
Fai una scansione antivirus con bitdefender free per ulteriore sicurezza:
http://www.bitdefender.com/site/Download/downloadFile/340/EN/
secondo me non è quello la causa ma la conseguenza ;)
cmq puoi cancellarlo al massimo ritorna: quella è una cartella in cui vanno i file principalmente eseguiti per una loro esecuzione ottimale: una sorta di cache
prova a fixare e riavviare e vedi se torna
al massimo fai un ripristina di office
Fai una scansione antivirus con bitdefender free per ulteriore sicurezza:
http://www.bitdefender.com/site/Download/downloadFile/340/EN/
ma c'e' già nella lista :mbe:
assieme a un vecchio kaspersky perchè non lo aggiornano? :mbe:
cmq dit.exe io non ce l'ho anche se è vitale per il sistema
terro' presente il link per il futuro cmq
topastro89
20-02-2006, 00:23
Ho fatto come avete detto. Mi avete ripulito il pc da un bel pò di schifezze, ho cancellato pure dit.exe e va bene. Poi ho seccato Winword facendo "elimina struttura processi"...peccato che è sempre li!! :mad: Spero che abbiate altri assi nella manica.. :help:
andorra24
20-02-2006, 00:26
ma c'e' già nella lista :mbe:
assieme a un vecchio kaspersky perchè non lo aggiornano? :mbe:
Intendi la lista di virustotal? Io consigliavo uno scan completo del pc per assicurarsi che tutto sia pulito.
no, dit lo dovevi lasciare :muro:
cosi' mi fai sentire in colpa :cry:
l'ultima non l'ho capita: chi è rimasto e dove?
Intendi la lista di virustotal? Io consigliavo uno scan completo del pc per assicurarsi che tutto sia pulito.
ora è più chiaro: allora perchè non farla anche con EWIDO? ;)
sto perdendo di lucidità: forse è ora che vada... :ronf:
andorra24
20-02-2006, 00:30
Poi ho seccato Winword facendo "elimina struttura processi"...peccato che è sempre li!! :mad: Spero che abbiate altri assi nella manica.. :help:
Mi spieghi dove si trova per l'esattezza questo winword che ti affligge?
topastro89
20-02-2006, 00:31
Dit lo dovevo lasciare?cosa cambia adesso?
Fatto scan anche con bit torrent: tutto ok (approposito da ora in poi invece di super pi uso quello, cpu al 100% fissa!)
Rimasto li intendevo il maledetto WINWORD:EXE ciuccia CPU! :cry:
Datemi l'ultime dritte, poi ci sentiamo domani!
WINWORD è in WINDOWS--->prefetch
andorra24
20-02-2006, 00:35
Rimasto li intendevo il maledetto WINWORD:EXE ciuccia CPU! :cry:
Datemi l'ultime dritte, poi ci sentiamo domani!
WINWORD è in WINDOWS--->prefetch
Visto che ti sta affliggendo cosi tanto eliminalo con killbox:
http://www.bleepingcomputer.com/files/killbox.php
oppure con unlocker:
http://www.wintricks.it/news2/article.php?ID=11554
ps: sono esausta, vado a :ronf:
Fatto scan anche con bit torrent: tutto ok (approposito da ora in poi invece di super pi uso quello, cpu al 100% fissa!)
ma cosa stai dicendo?
forse non è meglio che la corte si aggiorni a domani? :mbe:
topastro89
20-02-2006, 00:38
A domani, cari virussologi! Provo a cancellare definitivamente quel coso! :D
gioran888
20-02-2006, 10:32
questi che cosa sono?
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
se non lo sai fixali
Frena.........sono driver del modem ADSL.......(o meglio del pannellino di controllo). Non cancellateli.
Ciao
appunto: non li conoscevo, lui immagino di si' l'ho messo con riserva ;)
gioran888
20-02-2006, 11:10
appunto: non li conoscevo, lui immagino di si' l'ho messo con riserva ;)
Sono intervenuto perchè magari non li consceva neanche lui ;)
Ciao
queli non li ha tolti credo: ha tolto invece dit(colpa mia) ma non credo che l'economia generale ne risenta più di tanto al limite ripristina da mod provvisoria
topastro89
20-02-2006, 13:13
Non vi preoccupate, sapevo che quelli erano del modem!
Questa cosa ha dell'incredibile, le ho provate tutte, poi preso dalla disperazione ho pure disinstallato Misocroft Office, che non usavo da mesi, (a dire il vero non so nemmeno se l'ho mai usato da quando ho comprato il pc. :Prrr: ). Ebbene, mi si è spento il pc all'improvviso, da solo, e quando si è riacceso non c'era più!Siete mitici! :p
Adesso l'unica cosa che vi chiedo è se devo ripristinare l'exe che ho cancellato..a cosa serve di preciso? :mbe:
"Drive Icon and Label Utility" - assigns drive icons and names to flash memory cards. Required
usi flash memory cards? se non le usi non ti serve
andorra24
20-02-2006, 13:18
Adesso l'unica cosa che vi chiedo è se devo ripristinare l'exe che ho cancellato..a cosa serve di preciso? :mbe:
Se l'avevi fixato tramite hijackthis allora dovresti avere anche il backup.
se l'ha eliminato a mano no pero' :(
non si può recuperare dal cd del sistema operativo?
topastro89
20-02-2006, 13:22
L'ho fixato con hijack, quindi dovrei avere il backup. Purtroppo si, uso le memory cards. Per non combinare ulteriori casini, credete che potrò usarle comunque?anche senza farle apparire tra i dischi removibili?
andorra24
20-02-2006, 13:26
L'ho fixato con hijack, quindi dovrei avere il backup. Purtroppo si, uso le memory cards. Per non combinare ulteriori casini, credete che potrò usarle comunque?anche senza farle apparire tra i dischi removibili?
Se riesci a ripristinare il backup fatto da hijackthis sarebbe una buona cosa. Pero' se c'e' il rischio di ripristinare anche le infezioni precedentemente rimosse allora non farlo.
meglio che ripristini: ma se fai un cerca dit.exe trovi qualcosa?
possibile che non si trovi un backup? qualche cabinet? :muro:
ma soprattutto: non sarebbe dovuto intervenire il windows file protection?
topastro89
20-02-2006, 14:28
Ho ripristinato col backup e ho eliminato subito i files che mi avevate detto. Adesso sembra andare! ;)
Penso che si possa chiudere qui, grazie!
bene :)
la prossima volta se devo scegliere se includere una voce o meno non la includo, altrimenti vado a lezione da andorra a 35 euro l'ora ;)
doris580
23-11-2008, 09:33
Anch'io ho lo stesso problema con winword.exe. Ho controllato, e ho visto che è presente un file nella cartella di office e altri 2 nella cartella windows->prefetch, con nomi WINWORD.exe-1EAA55E3.pf e WINWORD.exe-2798733C.pf, che tra l'altro erano stati creati proprio ieri quando per la prima volta ho notato che il computer in standby lavorava quasi a pieno regime. Penso proprio che siano dei virus, quindi li ho cancellati e ho creato delle cartelle vuote con lo stesso nome, in modo che non si ripresentino...
In ogni caso ho fatto una scansione con Hijackthis e vi pregherei di dare un'occhiata per vedere se è tutto a posto
Log rimosso leggere le Regole di sezione
Chill-Out
23-11-2008, 10:02
Anch'io ho lo stesso problema con winword.exe. Ho controllato, e ho visto che è presente un file nella cartella di office e altri 2 nella cartella windows->prefetch, con nomi WINWORD.exe-1EAA55E3.pf e WINWORD.exe-2798733C.pf, che tra l'altro erano stati creati proprio ieri quando per la prima volta ho notato che il computer in standby lavorava quasi a pieno regime. Penso proprio che siano dei virus, quindi li ho cancellati e ho creato delle cartelle vuote con lo stesso nome, in modo che non si ripresentino...
In ogni caso ho fatto una scansione con Hijackthis e vi pregherei di dare un'occhiata per vedere se è tutto a posto
Log rimosso leggere le Regole di sezione
Ciao e benvenuto/a questa è una discussione di 2 anni fà, se desideri il controllo del log di HijackThis devi allegarlo secondo le modalità riportate nel 3D dedicato
http://www.hwupgrade.it/forum/showthread.php?t=937676
NB: la versione di HJT che hai usato è obsoleta, scarica il tool aggiornato da qui http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Ciao
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.