Salve a tutti.

Ho il PC che si è rallentato alla grande.
Quando provo a spegnerlo mi dice errore nel processo SYSTEM32ETOR.EXE.

Chi mi aiuta ?

Grazie

log di hijackthis con più applicazioni possibili chiuse(emule,bit torrent,word,wmplayer ecc..)scaricalo da QUI LINK (http://www.download.com/3001-8022_4-10379544.html) è stand alone (senza installazione)mettilo in una sua cartella dedicata, lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati, copi ed incolli nel prossimo post....
fai anche una scansione degli ads Così:apri hijackthis clicca "open the misc tools section",click su "open ads spy",leva la spunta a "quick scan",click sul tasto "scan" e riporta qui cosa ha rilevato,se c'è qualcosa.

Miazza,

quello che dice lancetta è giustissimo (come sempre) però te hai infranto una regola del forum: è vietato fare cross-postin e tu hai postato prima anche nella discussione di MSN.

Degasp deciderà

Salve a tutti.

Ho il PC che si è rallentato alla grande.
Quando provo a spegnerlo mi dice errore nel processo SYSTEM32ETOR.EXE.

Chi mi aiuta ?

Grazie

crossposting= inviare mes in più discussioni senza aver remore di attendere risposte.

la prossima volta potrei sospenderti ;)

Miazza,

quello che dice lancetta è giustissimo (come sempre) però te hai infranto una regola del forum: è vietato fare cross-postin e tu hai postato prima anche nella discussione di MSN.

Degasp deciderà

Hai ragione e chiedo umilmente venia ma sono inca**ato come una bestia per questo virus.

Adesso faccio il log e lo posto.

Grazie e susate.

miazza

log di hijackthis con più applicazioni possibili chiuse(emule,bit torrent,word,wmplayer ecc..)scaricalo da QUI LINK (http://www.download.com/3001-8022_4-10379544.html) è stand alone (senza installazione)mettilo in una sua cartella dedicata, lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati, copi ed incolli nel prossimo post....

Ecco il log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.11.48, on 22/09/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Seagate\Schedule2\schedul2.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINNT\system32\msiexec.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\miazza\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\WIRELE~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\WIRELE~1\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [system32ETOR Agent] C:\WINNT\system32ETOR.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [uTorrent] "C:\Programmi\uTorrent\uTorrent.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: SpeedFan.lnk = C:\Programmi\SpeedFan\speedfan.exe
O4 - Startup: Outlock.lnk = C:\WINNT\Outlock.exe
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134504481281
O17 - HKLM\System\CCS\Services\Tcpip\..\{570472F9-4F71-46BD-ADF7-DB513C790342}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{570472F9-4F71-46BD-ADF7-DB513C790342}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\..\{570472F9-4F71-46BD-ADF7-DB513C790342}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Seagate\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 7087 bytes


fai anche una scansione degli ads Così:apri hijackthis clicca "open the misc tools section",click su "open ads spy",leva la spunta a "quick scan",click sul tasto "scan" e riporta qui cosa ha rilevato,se c'è qualcosa.

Questo non va perchè non sono in NTFS :(

Grazie

miazza

Miazza

vai su VIRUSTOTAL (da google) e fai analizzare questo percorso:
C:\WINNT\system32ETOR.exe

se ti dice che è infetto, fissalo con hijackthis (riapri il programa clicci "DO A SYSTEM SCAN" poi selezioni sulla sinistra le voci che ti segnalo e fai in fondo "FIX CHECKED")

fissa pure queste voci (senza fare la scansione con virustota) cosi alleggeristi l'avvio del pc (non disinstalli nulla):

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

Adesso apri il task manager (CTRL + ALT + cANC) e dimmi quale è il processo (eccetto idle del sistema) che ha la + alta percentuale nella terza colonna denominata CPU!

Miazza

vai su VIRUSTOTAL (da google) e fai analizzare questo percorso:
C:\WINNT\system32ETOR.exe

se ti dice che è infetto, fissalo con hijackthis (riapri il programa clicci "DO A SYSTEM SCAN" poi selezioni sulla sinistra le voci che ti segnalo e fai in fondo "FIX CHECKED")

fissa pure queste voci (senza fare la scansione con virustota) cosi alleggeristi l'avvio del pc (non disinstalli nulla):

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

Adesso apri il task manager (CTRL + ALT + cANC) e dimmi quale è il processo (eccetto idle del sistema) che ha la + alta percentuale nella terza colonna denominata CPU!

Il file C:\WINNT\system32ETOR.exe l'ho cancellato a manina e quindi virustotal non lo trova.
Il fatto è che adesso il PC sembra andare bene però se lo lascio così per 1 ora lo trovo al 100% di attività anche se HD è fermo.

Di recente ho fatto la ca**ata di lanciare un eseguibile che si chiamava MSN8.3 Beta (arrivato per posta).
Da quel momento ho problemi.

La cartella WINNT non la vedo nemmeno più da esplora risorse.

Mannaggia.

Grazie per l'aiuto.

Ciao

miazza

appunto vorrei sapere il processo che ti fa andare al 100% la CPU...

inoltre puoi fare una scansione con A-SQUARED dalla mia firma in modalità DEEP SCAN

appunto vorrei sapere il processo che ti fa andare al 100% la CPU...

inoltre puoi fare una scansione con A-SQUARED dalla mia firma in modalità DEEP SCAN

Appena lo rivedo andare al 100 % te lo dico.
Grazie per l'assistenza.

Ciao

miazza

O4 - HKLM\..\Run: [system32ETOR Agent] C:\WINNT\system32ETOR.exe
puoi tranquillamente fixare la voce riavviare il pc rifare il log e vedere se c'è ancora.....dopo aver fixato vedi se ti dà ancora l'errore.Fammi sapere.

puoi tranquillamente fixare la voce riavviare il pc rifare il log e vedere se c'è ancora.....dopo aver fixato vedi se ti dà ancora l'errore.Fammi sapere.

Fatto. Adesso il PC funziona bene ma è un po' "squilibrato":
1) La cartella WINNT non è più visibile anche se ho impostato di visualizzare anche le cartelle nascoste.
2) quando premo un link in un doc, firefox parte 2 volte

Comunque almeno adesso il PC funziona.

Grazie

miazza