| Autore |
 Discussione  |
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 11/01/2008 : 13:52:22
|
ok, poi si vede cos'e'..
Solo se parli delle ricerche nel registro riferite a explorer.exe e userinit, fai cosi':
apri il file di testo, cerca Winlogon e posta quanto riferito a "userinit" e a "shell"
poi vedi se c'e' questa:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image file execution options
se si, la posti.
se proprio non ci riesci, mandami un pm con tutto il contenuto delle ricerche. Lo sistemo io sul sito. |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 11/01/2008 : 15:37:35
|
Nessun problema :)
Userinit, shell e il resto e' tutto ok..
C'e' pero' una cosa che mi ha incuriosita:
[HKEY_USERS\S-1-5-21-1417001333-1202660629-679477475-1001\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="explorer.exe"
Scusa.. cerca nel pc explorer.exe (start - cerca - tutti i file e cartelle - digiti explorer.exe; poi vai nelle opzioni di ricerca e selezioni "cerca anche tra i files nascosti"..).
Non e' cambiato nulla con l'eliminazione del file winconctrl.ini? Hai fatto una prova? |
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 11/01/2008 : 21:49:45
|
Citazione:
Messaggio inserito da Sibilla
[
Scusa.. cerca nel pc explorer.exe (start - cerca - tutti i file e cartelle - digiti explorer.exe; poi vai nelle opzioni di ricerca e selezioni "cerca anche tra i files nascosti"..).
Non e' cambiato nulla con l'eliminazione del file winconctrl.ini? Hai fatto una prova?
questo è quello che ho trovato:
explorer.exe c:\windows
explorer.exe c:\windows\$NtUnistallkb938828$
explorer.exe c:\windows\$hf_mig$\kb938828\SP2QFE
per quanto riguarda la tua domanda su winconctrl.ini ti faccio sapere domani che sono piu' libero
una domanda, ma tu che idea ti sei fatta in materia?
a me piacerebbe capirne di piu' perche' la cosa mi prende ma per ora tutto questo è ostrogoto.
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 12:24:49
|
che idea mi sono fatta?
che non si trova il problema. E' stato verificato di tutto di più.. ho letto e riletto systemscan, arrivando a controllare le dimensioni dei file :(
L'unico appiglio era wincometrl ma non si capisce quale modifica apportava e se l'apportava..
Rileggerò nuovamente tutta la discussione per capire cosa manca..
Nel fare la prova disattiva l'antivirus.
Devi ancora dirmi la valutazione di virustotal sul file compresso pncrt.dll. Nel frattempo cerco di capire cosa fa questo file (solo a te esce compresso).
Riguardo explorer.exe, hai un aggiornamento che non ho ma che sicuraemente è ok.
Ad ogni modo, apri il registro, segui il percorso
HKEY_USERS\S-1-5-21-1417001333-1202660629-679477475-1001\Software\Microsoft\Search Assistant\ACMru\5603
e nella finestra a destra elimina la voce riferita ad explorer:
"000"="explorer.exe"
è probabile che sia stata inserita x la ricerca fatta con regsrch su explorer.exe nel registro. In questo caso dovresti trovare anche "userinit".
Già che ti trovi in quella cartella, clicca contemporaneamente su ctrl+alt+stamp, apri il paint e incolla la foto. Poi caricala su freefilehosting e postrami il link.
In effetti dovresti poter cancellare tutta la cartella ACMru ma preferisco verificarlo. Intanto io non l'ho.. e non ricordo di averma mai eliminata.. boh |
Modificato da - Sibilla in data 12/01/2008 14:35:12 |
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 12/01/2008 : 20:10:07
|
Citazione:
Messaggio inserito da Sibilla
Nel fare la prova disattiva l'antivirus.
Devi ancora dirmi la valutazione di virustotal sul file compresso pncrt.dll. Nel frattempo cerco di capire cosa fa questo file (solo a te esce compresso).
Riguardo explorer.exe, hai un aggiornamento che non ho ma che sicuraemente è ok.
Ad ogni modo, apri il registro, segui il percorso
HKEY_USERS\S-1-5-21-1417001333-1202660629-679477475-1001\Software\Microsoft\Search Assistant\ACMru\5603
e nella finestra a destra elimina la voce riferita ad explorer:
"000"="explorer.exe"
è probabile che sia stata inserita x la ricerca fatta con regsrch su explorer.exe nel registro. In questo caso dovresti trovare anche "userinit".
Già che ti trovi in quella cartella, clicca contemporaneamente su ctrl+alt+stamp, apri il paint e incolla la foto. Poi caricala su freefilehosting e postrami il link.
In effetti dovresti poter cancellare tutta la cartella ACMru ma preferisco verificarlo. Intanto io non l'ho.. e non ricordo di averma mai eliminata.. boh
in ordine ho fatto disattivato sia l'antivirus che il firewall e ho lanciato curei, risultato identico alle prove precedenti si spegne e si riavvia.
per quanto riguarda l'analisi del file pncrt.dll: sono andato su virustotal ho immesso il percorso del file e anche per questo mi dice che il file è gia' stato analizzato come ti avevo gia' scritto per l'altro.
per quanto riguarda l'eliminazione della voce "000"="explorer.exe"
sono andato nella cartella ma come tu puoi vedere dal file che ti allego risulta 001.htt*://[www].freefilehosting.net/show/3aaah
a piu' tardi |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 12/01/2008 : 20:30:55
|
| qualcuno sa cosa vuol dire che il file è stato già analizzato? |
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 13/01/2008 : 09:42:03
|
buon giorno,
ti invio l'immagine del task manager e di startup ispector, puo' essere che vedi qualcosa che non va' :
htt*://[www].freefilehosting.net/show/3aal1
htt*://[www].freefilehosting.net/show/3aal2
htt*://[www].freefilehosting.net/show/3aal3
per quanto riguarda startup ispector posso eliminare le voci:
avvio veloce acrobat 7
kernel faultcheck
nero filter
nbkey scan
p.s che ne pensi se cancello gmer lo scarico dai nuovo cosi' come cureit.ma se mi consigli di fare questo devo cancellare qualche altra cosa prima?
|
Modificato da - spybot in data 13/01/2008 09:46:49 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/01/2008 : 11:46:47
|
Non vedo nulla di strano. Suppongo ci siano sempre gli stessi problemi..
Vai nelle proprietà del file C:\WINDOWS\system32\pncrt.dll e dimmi la data di creazione, la dimensione e società....
|
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 13/01/2008 : 12:12:42
|
Citazione:
Messaggio inserito da Sibilla
Non vedo nulla di strano. Suppongo ci siano sempre gli stessi problemi..
Vai nelle proprietà del file C:\WINDOWS\system32\pncrt.dll e dimmi la data di creazione, la dimensione e società....
data di creazione : 26/11/2003
dimensione : 12o kb
societa' : real networks, inc
versione : 6.0.0.0
si i problemi sono sempre quelli
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/01/2008 : 16:09:22
|
Suppongo sia quello da 126 kb.. anche se ne ho trovati pochi con questa dimensione..
Ho trovato una scansione che potrebbe servire, anche se ci metterò tempo a leggerla, vediamo se te la fa fare (spero siano valide le indicazioni che ho trovato, io non l'ho mai usato).
Scarica (sul desktop) WinPFfind. e riavvia in modalità provvisoria.
Disattiva tutto (antivirus, firewall se spresente, spybot...) ed esegui WinPFind.exe. Clicca su Start e poi su scan. Finita la scansione, riavvia in modalità normale, riattiva antivirus ecc ecc e posta il rapporto che trovi nella cartella sul desktop.
GRRRRRR Ora vorrei dire.. ma a nessuno viene in mente cosa potrebbe bloccare una scansione? Perchè systemscan e gmer (autostart) funzionano e DrWeb ed altri programmi no? 1 idea.. anche piccola..  |
Modificato da - Sibilla in data 13/01/2008 16:14:01 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 13/01/2008 : 16:53:27
|
| Buonasera a tutti, risposta per sibilla, la butto senza troppa convinzione e quindi potete fustigarmi, system e gmer sono 2 eseguibili che non usano dll o sys di xp, presumo che gli altri programmi invece lo facciano. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/01/2008 : 17:03:35
|
| x death: uha.. Si potrebbe fare solo un controllo, magari, per vedere se ci sono dll mancanti.. Sai quanto dura? (=> scannow). |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 13/01/2008 : 17:08:45
|
Buona sera a tutti, se ha un pc performante, in 45 minuti fa tutta la procedura, sul mio l'ultima volta ci ho messo 20 minuti, non è eccessivamente lunga.
da start>esegui digitare
SFC /SCANNOW
tenere a portata di mano il cd originale di xp ed inserirlo nel lettore, il quale deve essere lo stesso della prima installazione,inteso come lettera di assegnazione
NB: una volta avviato SFC richiede il CD originale di Windows:
nel caso in cui vi venga continuamente richiesto anche dopo l'inserimento nel lettore, ciò sta ad indicare che è cambiata la lettera con cui è stato installato Windows.
La soluzione consiste nel riassegnare la giusta lettera al CD-Rom, e ciò è possibile da Gestione Disco in Gestione Periferiche.
Vedi tu se fargliela usare
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 13/01/2008 : 17:11:38
|
A parte il cd.. alla fine della procedura vengono indicate le dll mancanti? Come funziona? Io x 2 volte l'ho inziata e x 2 volte... ho annullato (sarà perchè già so che troverà dei problemi? hehe...)
EDIT: no aspetta però.. all'inizio viene fatta solo la verifica..
Cioè.. io ho digitato il comando e non mi è stato chiesto il cd. Quello che scansionava erano le dll... |
Modificato da - Sibilla in data 13/01/2008 17:17:51 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 13/01/2008 : 17:28:39
|
|
Buona sera a tutti di nuovo, la procedura scansiona tutti i file di sistema, dll,sys,ecc ecc, non ho mai visto report dei file danneggiati o dei file sostituiti. |
|
|
|
Discussione |
|
scansione con cureit "dott Web"
Forum Bloccato
