View Full Version : SYSTEM usa la CPU al 99%
mErLoZZo
28-09-2006, 18:40
ciao ragazzi, ho provato a cercare un po' in rete e ho visto che c' parecchia gente con questo problema.... un processo "system" che si sostituisce a "Idle Cycle", ho trovato parecchi posti dove chiedono aiuto ma niente soluzioni :(
tranne un certo bhodaemon da scaricare che peraltro, sul pc in questione, non si riesce ad aggiornare xk non vista la scheda di rete ma solo un certo "bus di gestione del sistema" con un bel pallino giallo....
su housecall.trendmicro non posso andare proprio per questo problema:(
ho provato a cercare nel forum ma non mi sembra di aver trovato molto, qualcuno ha lo stesso problema e/o sa come risolverlo?
vi sarei mooooOOOOOOooooOOOoooolto grato! ;)
juninho85
28-09-2006, 21:25
non parli del processo system visibile dal task manager vero?:stordita:
mErLoZZo
29-09-2006, 15:40
si, proprio quello.. e non venirmi a dire che normale, mai successo e inoltre il pc ha prestazioni paragonabili a un 486....
non capisco il senso di quello smile :|
Ma stai parlando del Ciclo idle del sistema?
se SI....lo credo che ti ha messo lo smile.
il ciclo idle , non so ben spiegartelo, come un ciclo a vuoto del processore, come se stesse misurando le risorse del PC... ciclo idle al 99% significa che il processore in realt e' caricato al 1%....in pratica piu' e' idle e meno sta lavorando la CPU e viceversa.
Quindi se il tuo computer gira come un 486...il problema sar un altro.
mErLoZZo
29-09-2006, 17:39
un processo "system" che si sostituisce a "Idle Cycle",
...mi pare di averlo scritto dal primo post che NON idle cycle....e cmq la seconda macchina che arriva qua in negozio con questo problema, e finora l'unica soluzione piallare. nessuno ha una soluzione? nelll afattispecie sembrerebbe un malware di qualche tipo perch altra gente ha questo problema.... se nessuno sa nulla andremo avanti a piallare dischi quando arrivano macchine con questo problema :)
ma sapere cosa cacchio lo provoca non sarebbe male!
...e magari sapere come si chiama questo processo? Non che puoi postare una schermata del task manager di un PC affetto da questa anomalia.
greengio
29-09-2006, 18:47
...e magari sapere come si chiama questo processo? Non che puoi postare una schermata del task manager di un PC affetto da questa anomalia.
Ehm... l'ha scritto nel primo post... il processo si chiama "System" ;)
Io lo lascerei dire a lui....perch ha detto che questo prcesso si sostituisce al Ciclo idle del sistema. Per capirci ultima voce del task manager.
le 2 ultime voci in genere sono:
Nome immagine - Nome utente - CPU - Memoria
System - SYSTEM - 00 - XXX
Ciclo idle del sistema - SYSTEM - 99 - XX
ora cerchiamo di capire qual' questo processo mangia CPU.
juninho85
29-09-2006, 23:29
hai provato a dare una passata con qualche antispyware?
mErLoZZo
30-09-2006, 14:15
spybot, adaware, nod32 aggiornati, con l'antivirus che era installato e gi andava al momento del problema :(
dico "si sostituisce" a idle cycle nel senso che mentre normalmente tutta la cpu non usata la prende idle, su questo pc tutta la cpu la prendeva tale SYSTEM (cos, senza estensioni n altro) e oltretutto NON con priorit idle, in pratica era come avere sul pc un dvdshrink o un xmpeg in esecuzione con priorit super alta, niente cpu disponibile per altri processi tipo aprire esplorara risorse o IE (questo intendevo con prestazioni da 486:))
inoltre dava collateralmente il problema della scheda di rete, che penso non sia direttamente collegato per, xk installando una scheda pci il pc poi la vedeva e si connetteva.
non posso fare uno screen xk ormai il pc stato piallato, si sarebbe visto solo "system" col 99% di cpu e tutto il "tempo cpu" dall'accensione di windozz :( ho chiesto al capo e risulta inoltre che NON diceva se il processo era di tipo utente o di sistema, cazz :(
ripeto non credo sia un problema di windows xk non ce l'ho solo io, e si presentato su macchine normalissime, senza componenti nuovi o strani, con antivirus, e credo anche sp2 senza problemi...e il fatto che le scansioni non trovino nulla non vuol dire pi di tanto, magari c' qlcs di schifido che verr rilevato da settimana prossima x quel che ne sappiamo!
boh, il problema in s risolto, ma mi girano le palle di piallare un sistema se magari basterebbe scaricare un fix, una patch, o un remover :)
se avete idee....se no grazie cmq dell'interessamento!
e NON era idle cycle n! :D
TheOwl1982
28-10-2006, 07:35
Ciao,
cercavo informazioni sul tuo stesso problema, perch da qualche giorno il ciclo Idle si mangiava tutta la CPU (so che il ciclo idle ti dice la parte inutilizzata della ram, ma che voi ci crediate o no mi impallava tutto il sistema).
Vedendo dal task manager le applicazioni aperte da tutti gli utenti, dopo aver selezionato nella finestra "Processi" la voce "Mostra processi di tutti gli utenti" ho notato che c'era un applicazione dal nome wstcf.exe che andava e veniva.
Quell'applicazione era il mio problema, per non c'era verso di sapere dove fosse posizionata all'interno del computer e inoltre facendo Start>Esegui...>msconfig il processo veniva automaticamente rimesso in avvio ogni volta che si riaccendeva il coputer.
Allora usando una distro di linux Ubuntu, ho montato la partizione windows con permessi di scrittura ntfs (nel caso fossi interessato ti serve ntfs-3g per scrivere da linux su partizione ntfs windows) ho trovato il file in windows/system32 e l'ho elimintato.
Il problema perfettamente risolto.
Mi resta da capire:
1) perch il file wsctf.exe non comparisse su windows quando lo cercavo nella cartella windows/system32 anche con l'opzione "visualizza file e directory nascoste" e nemmeno in modalit provvisoria sono riuscito a trovarlo, da l l'idea di passare per linux.
2) perch nessun antivirus, spyware e roba simile riuscisse a trovare sto bip di processo... e non so nemmeno dove il l'abbia preso... solitamente non im capitano certe cose... :-(
Non so se possa esserti utile, o se il messaggio possa essere utile a qualcuno con il mio stesso porblema, ad ogni modo mi sembrava giusto segnalare una possibile soluzione del problema.
Un saluto,
Ame :stordita:
juninho85
28-10-2006, 11:46
strano....il file "wstcf.exe" parte del sistema operativo
blue_tech
28-10-2006, 13:16
strano....il file "wstcf.exe" parte del sistema operativo
magari era stato infettato :confused:
Mi resta da capire:
1) perch il file wsctf.exe non comparisse su windows quando lo cercavo nella cartella windows/system32 anche con l'opzione "visualizza file e directory nascoste" e nemmeno in modalit provvisoria sono riuscito a trovarlo, da l l'idea di passare per linux.
2) perch nessun antivirus, spyware e roba simile riuscisse a trovare sto bip di processo... e non so nemmeno dove il l'abbia preso... solitamente non im capitano certe cose... :-(
per il secondo non saprei per il primo perch devi deselezionare anche la voce "nascondi file protetti e di sistema" :D
TheOwl1982
30-10-2006, 03:16
Da quanto ho capito,
wscntfy.exe
un processo di sistema aggiunto dal Service Pack 2, mentre
wsctf.exe
un [qualcosa eseguibile ?__?] :confused: che parte non richiesto...
Per ora ci sono soltanto siti cinesi che trattano di questo file, ma altri 4 amici che sono con me in Cina hanno preso la stessa "??infezione??"
Giusto ora, mi viene in mente che la stessa cosa prima di agire sul ciclo idle agiva sullo spooler della stampante spoolv.exe, ma quello facilmente disaattivabile dalla sezione "Servizi".
Un saluto e fatemi sapere se qualcuno ha qualche idea su come eliminare sto coso o evitare di riprenderlo.
Grazie,
Ame
stesso problema anche io oggi
non vorrei dire una cazzata ma mi sa che va tramite il java...
ho dovuto piallare il sistema e il pc stato infettato domenica....
arriva qualche bel nuovo virus tipo il blaster .. speriam di no...
un saluto a tutti
maximus83
01-11-2006, 17:33
ciao a tutti, sono uno degli amici di theowl82 con il problema di wsctf.
Premesso che anche con la ricerca dei file nascosti questo benedetto coso non si trova in system32 (solo in prefetch), anche io ho avuto gli stessi problemi: pur disattivando il servizio si riavvia all'avvio di windows e non vi modo di farlo trovare dagli antivirus...
Quando apparso per la prima volta l'unico modo che ho trovato stato ripristinare la configurazione del sistema a 2 gg prima. Il problema stato risolto ma solo temporaneamente, dato che riapparso da qualche ora...
CI chiedevamo ieri io e owl se fosse possibile che un tal processo si attivi ad una scadenza... (magari halloween...hi hi hi)
cmq pare che i problemi nascano qui in estremo oriente...
guardate questo:
http://forum.hijackthis.de/showthread.php?p=110962
maximus83
03-11-2006, 05:09
cmq, se si blocca prima il processo EXPLORER (quello in maiuscolo) si riesce a chiudere wsctf e a risolvere temporaneamente i problemi.
Ovviamente al riavvio si ripresentano, nonostante io provi a bloccare i servizi e abbia cancellato tutte le voci del registro contenenti wsctf ed EXPLORER...
juninho85
04-11-2006, 19:03
cmq, se si blocca prima il processo EXPLORER (quello in maiuscolo) si riesce a chiudere wsctf e a risolvere temporaneamente i problemi.
Ovviamente al riavvio si ripresentano, nonostante io provi a bloccare i servizi e abbia cancellato tutte le voci del registro contenenti wsctf ed EXPLORER...
prova e digitare,su esegui:"%SystemRoot%\system32\secpol.msc /s"
applica una restrizione per questo wsctf
Soulbringer
03-12-2006, 10:26
Ciao a tutti!E' da 1 p di tempo che un pc che ho sottomano presenta questo problema...ho provato a cercare in rete ma niente..qualcuno ha trovato il modo di risolverlo senza formattare tutto?
Cmq ho notato che questo processo "system" che occupa il 99% di CPU si attiva principalmente quando si aprono tramite browser documenti pdf o si invia\riceve posta con outlook express..x ora nn ho visto per traccia del processo wsctf.exe ma forse nn ci ho fatto caso io..
Soulbringer
03-12-2006, 10:30
Ah dimenticavo!ho notato inoltre che se provo a terminare il processo spoolsv.exe mi si apre 1 finestra come se eseguissi il comando shutdown.exe -s -t 60; praticamente mi imposta 1 timer di 60 secondi alla fine dei quali si spegne il pc..
sampei.nihira
03-12-2006, 11:01
Se si tratta di un eventuale infezione perch limitarsi a spyware e virus,perch non cercare anche eventuali ROOTKIT nei pc ?
ivan10grazie
29-01-2007, 13:29
Anche a me venerd si presentato questo maledetto wsctf.
In particolare ho notato questo dopo il collegamento di un lettore mp3 comprato dal canada. Pensavo che il sistema stesse in aggiornamento per il lettore collegato. Poi l'ho collegato ad un altro pc e quindi subito la stessa cpsa. Poi ho visto che c'era questo programma che andava e veniva su entrambi i pc.
Adesso ho provato molti programmi antispy ma non riesco a farlo sparire quando si riavvia il pc.
Ho visto che nella cartella c:/windows/prefetch/ c' WSCTF.EXE-20027D06.pf.
Aperto con il blocco note c' questo:
"� SCCA� B& W S C T F . E X E ;@ \@]̹e�\̹8F@]̹�}� � � � P� �
h$ � � h$QC� G G l � 1 2 � 1 2 f 5 � c � 4 � h � <� 3 � k � � 5 � o � �� 2 � s c v� 5 � % � 3 � � J� 2 � �� � � 5 � "� � �� 3 � -� < � 2 � i� ( � 3 � � � R� 5 � � � � 2 � � � $� 4 � � � � 2 � � � � a � � � � a � � � |� a � � � @ a � � � �
a � � �
a � � � � a � � � P� a � � � � � � � � � � $ � � 4 � � D � � T � � d � t �
� � � � �
� � � � � � � � � � �� � � �� � � $� � � 4� � � D� � � T� � � d� � � t� � � � � � � � � � � � � � � � � � � � � � ! �� � " �� � # $� � $ 4� � % D� � & T� � ' d� � ( t� � ) � � * � � + � � , D� � - �� � . � � / � � 0 � � � � 2 � 3 � � 4 � � 5 $ � 6 4 � 7 D � 8 T � 9 d � : t � ; � < � = � > � ? � @ � A � B � C �� � D �� � E $� � F 4� � G D� � H T� � I d� � J t� � K � � L � � M � � N � � O �� � P � � Q � � R �� � S �� � T $� � U 4� � V D� � W T� � X t� � Y � � Z $� � [ 4� � \ � � ] �� � ^ � � _ �� � ` �� � a $� � b 4� � D� � d � e � � f p � g � � � i � j � � � l � m � n 0 � @ � p � � q � r 0 � @ � t � � u � v 0 � w @ � x P � y ` � z p � { � | � } * � ~ � � � � � � � �� � � � 0� � @� � P� � `� � p� � � � � � *� � � � � � � � � � � � � � �� � � � 0� � @� � P� � `� � � � *� � � � � � � � � � * � � � � � � 0� � @� � p� � � � � � *� � � � � � � � � � * �� � � � p� � � � � � *� � � � � � � � � � � � � � � � �� � � � @� � � � � � � � � � �� � `� � p� � � �
�
� � � � � � � � � � � � � �� � 0� � � � � � � � � � � � �� � 0� � @� � � � � � � $ � 4 � D � T � d � t � � � � � � � � � �� � �� � $� � t� � � � � � � � � � � � �� � � � � � � � T� � � � � � � � � � �� � n� � � � � � � $ � � 4 � �� D � �� T � �� d � �� t � �� � �� � �� � �� � � �
� � �� � � �� � �
� �� � �� �� � �� �� � (� � �� � � �� � � �� $ � �� 4 � �� D � �� T � �� d � �� t � �� � �� � �� D� � �� � � �� � � �� �� � �� 4� � � D� � !� H� � t� � #� � � $� � � %� $ � &� 4 � '� D � (� T � )� $� � *� �� � +� �� � ,� � � � � .� � � /� � � 0� � 1� � 2� � 3� � 4� � 5� � � 6� � � 7� � � 8� � � 9� � � :� � � ;� �� � <� �� � =� $� � >� 4� � ?� D� � @� T� � A� d� � B� t� � C� � � D� � � E� � � F� � � G� � � H� $� � I� � � J� � � K� � � L� �� � M� �� � N� $� � O� D� � P� � � Q� � � R� �� � S� �� � T� $� � U� 4� � V� D� � W� D� � X� � � Y� � � Z� d� � [� � � \� � � ]�
� ^� � � _� � � `� � � a� � � b� � � c� � � d� J� � e� Z� � f� j� � g� z� � h� � � � � j� � � k� � � l� $ � m� � n� � o� � p� t� � q� � � r� � � s� � � t� � � u� �� � v� $� � w� 4� � x� T� � y� d� � z� � � {� � � |� � � }� � � ~� � � � d� � � t� � � � � � � � � � � � � � � � � � � � � �� � � d� � � t� � � � � � � � � � � � � � � � � � � � � �� �
� � � � � � � � � $ � � 4 � � d � � � � � � � � � � � � � � � �� � � � � � � � � � � *� � � � � � � D� � � � � � �� � � $� � � 4� � � D� � � d� � � t� � � � � � � � � � � *� � � �
� � �� � � � � � � �
� % E �� �� �� \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ N T D L L . D L L \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ K E R N E L 3 2 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ U N I C O D E . N L S \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ L O C A L E . N L S \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ S O R T T B L S . N L S \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ W S C T F . E X E \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ M S V B V M 6 0 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ U S E R 3 2 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ G D I 3 2 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ A D V A P I 3 2 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ R P C R T 4 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ O L E 3 2 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ M S V C R T . D L L \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ O L E A U T 3 2 . D L L \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ C T Y P E . N L S \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ S O R T K E Y . N L S \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ R P C S S . D L L \ D E V I C E \ H A R D D I S K V O L U M E 1 \ D O C U M E N T S A N D S E T T I N G S \ A D M I N I S T R A T O R \ I M P O S T A Z I O N I L O C A L I \ T E M P \ ~ D F E 6 1 B . T M P \ D E V I C E \ H A R D D I S K V O L U M E 1 \ D O C U M E N T S A N D S E T T I N G S \ A D M I N I S T R A T O R \ I M P O S T A Z I O N I L O C A L I \ T E M P \ ~ D F 9 9 2 E . T M P \ D E V I C E \ H A R D D I S K V O L U M E 1 \ D O C U M E N T S A N D S E T T I N G S \ A D M I N I S T R A T O R \ I M P O S T A Z I O N I L O C A L I \ T E M P \ ~ D F 2 3 E 4 . T M P \ D E V I C E \ H A R D D I S K V O L U M E 1 \ D O C U M E N T S A N D S E T T I N G S \ A D M I N I S T R A T O R \ I M P O S T A Z I O N I L O C A L I \ T E M P \ ~ D F 1 D 7 9 . T M P \ D E V I C E \ H A R D D I S K V O L U M E 1 \ D O C U M E N T S A N D S E T T I N G S \ A D M I N I S T R A T O R \ I M P O S T A Z I O N I L O C A L I \ T E M P \ ~ D F 1 B C 1 . T M P \ D E V I C E \ H A R D D I S K V O L U M E 1 \ D O C U M E N T S A N D S E T T I N G S \ A D M I N I S T R A T O R \ I M P O S T A Z I O N I L O C A L I \ T E M P \ ~ D F 1 6 9 3 . T M P \ D E V I C E \ H A R D D I S K V O L U M E 1 \ D O C U M E N T S A N D S E T T I N G S \ A D M I N I S T R A T O R \ I M P O S T A Z I O N I L O C A L I \ T E M P \ ~ D F F 1 7 3 . T M P \ D E V I C E \ H A R D D I S K V O L U M E 1 \ D O C U M E N T S A N D S E T T I N G S \ A D M I N I S T R A T O R \ I M P O S T A Z I O N I L O C A L I \ T E M P \ ~ D F E E E E . T M P me S( � �H�X � � �
08\ D E V I C E \ H A R D D I S K V O L U M E 1 � � `[� �� #� � _� `*� ]� Z� '� \� @\� @'� `� @_� *�� `�� � |� @� � \ D E V I C E \ H A R D D I S K V O L U M E 1 \ \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ ) \ D E V I C E \ H A R D D I S K V O L U M E 1 \ W I N D O W S \ S Y S T E M 3 2 \ ����0��http"
Se cerco di eliminarlo quando non ho chiuso l'explorer di cui parlate non riesco ad eliminarli. Se chiudo e elimino ci riesco ma poi ricompare al riavvio.
bmw320d136cv
29-01-2007, 13:38
si ho anche io qusto problema
come risolverlo :confused: :confused:
giannola
29-01-2007, 15:27
spybot, adaware, nod32 aggiornati, con l'antivirus che era installato e gi andava al momento del problema :(
dico "si sostituisce" a idle cycle nel senso che mentre normalmente tutta la cpu non usata la prende idle, su questo pc tutta la cpu la prendeva tale SYSTEM (cos, senza estensioni n altro) e oltretutto NON con priorit idle, in pratica era come avere sul pc un dvdshrink o un xmpeg in esecuzione con priorit super alta, niente cpu disponibile per altri processi tipo aprire esplorara risorse o IE (questo intendevo con prestazioni da 486:))
inoltre dava collateralmente il problema della scheda di rete, che penso non sia direttamente collegato per, xk installando una scheda pci il pc poi la vedeva e si connetteva.
non posso fare uno screen xk ormai il pc stato piallato, si sarebbe visto solo "system" col 99% di cpu e tutto il "tempo cpu" dall'accensione di windozz :( ho chiesto al capo e risulta inoltre che NON diceva se il processo era di tipo utente o di sistema, cazz :(
ripeto non credo sia un problema di windows xk non ce l'ho solo io, e si presentato su macchine normalissime, senza componenti nuovi o strani, con antivirus, e credo anche sp2 senza problemi...e il fatto che le scansioni non trovino nulla non vuol dire pi di tanto, magari c' qlcs di schifido che verr rilevato da settimana prossima x quel che ne sappiamo!
boh, il problema in s risolto, ma mi girano le palle di piallare un sistema se magari basterebbe scaricare un fix, una patch, o un remover :)
se avete idee....se no grazie cmq dell'interessamento!
e NON era idle cycle n! :D
avresti potuto postare un log di hijack nel 3d uff.
giannola
29-01-2007, 15:29
strano....il file "wstcf.exe" parte del sistema operativo
da quando parte del sistema operativo :mbe:
ivan10grazie
29-01-2007, 15:43
Questo il log mentre in esecuzione.
Ho provato con startup inspector, ho disabilitato l'avvio ma continua a riavviarsi alla riaccensione del pc.
Avevo provato anche RoatkitRevealer e sophos anti-rootkit ma non lo vedono...
Ho notato che l'explorer da chiudere in task manager di 3.664 kb...
Logfile of HijackThis v1.99.1
Scan saved at 16.20.08, on 29/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\EXPLORER.EXE
C:\WINDOWS\system32\wsctf.exe
C:\WINDOWS\Explorer.EXE
c:\programmi\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Documenti\File ricevuti\HijackThis.exe
C:\WINDOWS\system32\wsctf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O1 - Hosts: 205.238.40.51 www.winmx.com err.winmx.com
O1 - Hosts: 205.238.40.2 test3201.winmx.com test3205.winmx.com
O1 - Hosts: 205.238.40.2 test3202.winmx.com test3206.winmx.com
O1 - Hosts: 205.238.40.1 test3203.winmx.com test3207.winmx.com
O1 - Hosts: 82.43.224.20 test3204.winmx.com test3208.winmx.com
O1 - Hosts: 205.238.40.2 c3310.z1301.winmx.com c3310.z1302.winmx.com c3310.z1303.winmx.com c3310.z1304.winmx.com c3310.z1305.winmx.com c3310.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3313.z1301.winmx.com c3313.z1302.winmx.com c3313.z1303.winmx.com c3313.z1304.winmx.com c3313.z1305.winmx.com c3313.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3316.z1301.winmx.com c3316.z1302.winmx.com c3316.z1303.winmx.com c3316.z1304.winmx.com c3316.z1305.winmx.com c3316.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3311.z1301.winmx.com c3311.z1302.winmx.com c3311.z1303.winmx.com c3311.z1304.winmx.com c3311.z1305.winmx.com c3311.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3314.z1301.winmx.com c3314.z1302.winmx.com c3314.z1303.winmx.com c3314.z1304.winmx.com c3314.z1305.winmx.com c3314.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3317.z1301.winmx.com c3317.z1302.winmx.com c3317.z1303.winmx.com c3317.z1304.winmx.com c3317.z1305.winmx.com c3317.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3312.z1301.winmx.com c3312.z1302.winmx.com c3312.z1303.winmx.com c3312.z1304.winmx.com c3312.z1305.winmx.com c3312.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3315.z1301.winmx.com c3315.z1302.winmx.com c3315.z1303.winmx.com c3315.z1304.winmx.com c3315.z1305.winmx.com c3315.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3318.z1301.winmx.com c3318.z1302.winmx.com c3318.z1303.winmx.com c3318.z1304.winmx.com c3318.z1305.winmx.com c3318.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3319.z1301.winmx.com c3319.z1302.winmx.com c3319.z1303.winmx.com c3319.z1304.winmx.com c3319.z1305.winmx.com c3319.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3520.z1301.winmx.com c3520.z1302.winmx.com c3520.z1303.winmx.com c3520.z1304.winmx.com c3520.z1305.winmx.com c3520.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3523.z1301.winmx.com c3523.z1302.winmx.com c3523.z1303.winmx.com c3523.z1304.winmx.com c3523.z1305.winmx.com c3523.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3526.z1301.winmx.com c3526.z1302.winmx.com c3526.z1303.winmx.com c3526.z1304.winmx.com c3526.z1305.winmx.com c3526.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3521.z1301.winmx.com c3521.z1302.winmx.com c3521.z1303.winmx.com c3521.z1304.winmx.com c3521.z1305.winmx.com c3521.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3524.z1301.winmx.com c3524.z1302.winmx.com c3524.z1303.winmx.com c3524.z1304.winmx.com c3524.z1305.winmx.com c3524.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3527.z1301.winmx.com c3527.z1302.winmx.com c3527.z1303.winmx.com c3527.z1304.winmx.com c3527.z1305.winmx.com c3527.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3522.z1301.winmx.com c3522.z1302.winmx.com c3522.z1303.winmx.com c3522.z1304.winmx.com c3522.z1305.winmx.com c3522.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3525.z1301.winmx.com c3525.z1302.winmx.com c3525.z1303.winmx.com c3525.z1304.winmx.com c3525.z1305.winmx.com c3525.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3528.z1301.winmx.com c3528.z1302.winmx.com c3528.z1303.winmx.com c3528.z1304.winmx.com c3528.z1305.winmx.com c3528.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3529.z1301.winmx.com c3529.z1302.winmx.com c3529.z1303.winmx.com c3529.z1304.winmx.com c3529.z1305.winmx.com c3529.z1306.winmx.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C606BA60-AB76-48B6-96A7-2C4D5C386F70} (PreQualifier Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{43892C71-2027-42CD-AD16-AC31BB008FFC}: NameServer = 193.12.150.2,212.247.152.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programmi\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
giannola
29-01-2007, 16:38
Questo il log mentre in esecuzione.
Ho provato con startup inspector, ho disabilitato l'avvio ma continua a riavviarsi alla riaccensione del pc.
Avevo provato anche RoatkitRevealer e sophos anti-rootkit ma non lo vedono...
Ho notato che l'explorer da chiudere in task manager di 3.664 kb...
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\system32\wsctf.exe
O1 - Hosts: 205.238.40.51 www.winmx.com err.winmx.com
O1 - Hosts: 205.238.40.2 test3201.winmx.com test3205.winmx.com
O1 - Hosts: 205.238.40.2 test3202.winmx.com test3206.winmx.com
O1 - Hosts: 205.238.40.1 test3203.winmx.com test3207.winmx.com
O1 - Hosts: 82.43.224.20 test3204.winmx.com test3208.winmx.com
O1 - Hosts: 205.238.40.2 c3310.z1301.winmx.com c3310.z1302.winmx.com c3310.z1303.winmx.com c3310.z1304.winmx.com c3310.z1305.winmx.com c3310.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3313.z1301.winmx.com c3313.z1302.winmx.com c3313.z1303.winmx.com c3313.z1304.winmx.com c3313.z1305.winmx.com c3313.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3316.z1301.winmx.com c3316.z1302.winmx.com c3316.z1303.winmx.com c3316.z1304.winmx.com c3316.z1305.winmx.com c3316.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3311.z1301.winmx.com c3311.z1302.winmx.com c3311.z1303.winmx.com c3311.z1304.winmx.com c3311.z1305.winmx.com c3311.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3314.z1301.winmx.com c3314.z1302.winmx.com c3314.z1303.winmx.com c3314.z1304.winmx.com c3314.z1305.winmx.com c3314.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3317.z1301.winmx.com c3317.z1302.winmx.com c3317.z1303.winmx.com c3317.z1304.winmx.com c3317.z1305.winmx.com c3317.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3312.z1301.winmx.com c3312.z1302.winmx.com c3312.z1303.winmx.com c3312.z1304.winmx.com c3312.z1305.winmx.com c3312.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3315.z1301.winmx.com c3315.z1302.winmx.com c3315.z1303.winmx.com c3315.z1304.winmx.com c3315.z1305.winmx.com c3315.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3318.z1301.winmx.com c3318.z1302.winmx.com c3318.z1303.winmx.com c3318.z1304.winmx.com c3318.z1305.winmx.com c3318.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3319.z1301.winmx.com c3319.z1302.winmx.com c3319.z1303.winmx.com c3319.z1304.winmx.com c3319.z1305.winmx.com c3319.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3520.z1301.winmx.com c3520.z1302.winmx.com c3520.z1303.winmx.com c3520.z1304.winmx.com c3520.z1305.winmx.com c3520.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3523.z1301.winmx.com c3523.z1302.winmx.com c3523.z1303.winmx.com c3523.z1304.winmx.com c3523.z1305.winmx.com c3523.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3526.z1301.winmx.com c3526.z1302.winmx.com c3526.z1303.winmx.com c3526.z1304.winmx.com c3526.z1305.winmx.com c3526.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3521.z1301.winmx.com c3521.z1302.winmx.com c3521.z1303.winmx.com c3521.z1304.winmx.com c3521.z1305.winmx.com c3521.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3524.z1301.winmx.com c3524.z1302.winmx.com c3524.z1303.winmx.com c3524.z1304.winmx.com c3524.z1305.winmx.com c3524.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3527.z1301.winmx.com c3527.z1302.winmx.com c3527.z1303.winmx.com c3527.z1304.winmx.com c3527.z1305.winmx.com c3527.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3522.z1301.winmx.com c3522.z1302.winmx.com c3522.z1303.winmx.com c3522.z1304.winmx.com c3522.z1305.winmx.com c3522.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3525.z1301.winmx.com c3525.z1302.winmx.com c3525.z1303.winmx.com c3525.z1304.winmx.com c3525.z1305.winmx.com c3525.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3528.z1301.winmx.com c3528.z1302.winmx.com c3528.z1303.winmx.com c3528.z1304.winmx.com c3528.z1305.winmx.com c3528.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3529.z1301.winmx.com c3529.z1302.winmx.com c3529.z1303.winmx.com c3529.z1304.winmx.com c3529.z1305.winmx.com c3529.z1306.winmx.com
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
juninho85
29-01-2007, 22:16
da quando parte del sistema operativo :mbe:
in effetti ho detto una grossa baggianata :what:
ivan10grazie
30-01-2007, 08:10
Ragazzi io ho risolto!
Vedete qui.
http://www.p2pforum.it/forum/showthread.php?t=156317
mErLoZZo
30-01-2007, 12:18
avresti potuto postare un log di hijack nel 3d uff.
peccato che meno di un giorno dopo aver postato ho dovuto formattare, e fino a quel momento non ho trovato molto riscontro qui su questo topic.... infatti in met dei post si parla d'altro se noti ;)
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.