Accedi per seguire   
Seguaci 0
milanforever

Corel-tool.exe - Aiuto!

43 messaggi in questa discussione

Salve, sono nuovissimo del forum, il mio problema e' questo: a volte mentre lavoro, il mio pc rallenta di brutto, vado a vedere nel task manager e trovo un processo chiamato corel-tool.exe che sta succhiando grandi quantita' di memoria, se cancello il lavoro, il pc ritorna veloce.Da cosa puo' dipendere ?? questo corel-tool puo' essere un virus ?? Se si si può eliminare?

Grazie a tutti quelli che vorranno rispondere.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

[ben]milanforever[/ben]

Ciao milanforever,

Apri il registro (Start / esegui / regedit / ok)

Portati in questa chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Seleziona la cartella in grassetto e trova nella finestra di destra la chiave "Userinit"

Cliccaci sopra due volte e riporta quanto scritto in "Dati valori"

se è presente questa voce:

c:\windows\system32\userinit.exe,"c:\windows\system32\coreltool.exe",

Scarica ed estrai AGVPFix

Disconnettiti da internet

Portati nella chiave Userinit

Cliccaci sopra due volte e in dati valori , evidenzia ed elimina SOLO "c:\windows\system32\coreltool.exe",

ATTENZIONE a non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi

Devi eliminare solo la voce infetta:

la chiave dopo la modifica deve rimanere cosi :

edit1un0.png

Chiudi il registro

Assicurati di avere accesso a file e cartelle nascosti

(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)

metti la spunta su: Visualizza file e cartelle nascoste

Disattiva: nascondi file protetti di sistema

Ora avvia il file AGVPFix.exe

clicca su Start

si aprirà una finestra simile a quella di esplora risorse , scorri l'albero fino al file in questione (c:\windows\system32\coreltool.exe)

selezionalo e dai l'ok

A questo punto dovresti riuscire ad usare Hijackthis quindi postarci un log.

Istruzioni e download>>>> http://forum.wininizio.it/index.php?showtopic=21584

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

i dati sono questi

c:\windows\system32\userinit.exe,c:\windows\tsi32\tsircusr.exe,"c:\windows\system32\compaqword.exe","c:\windows\system32\corel-tool.exe",

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

devi eliminare questo:

c:\windows\tsi32\tsircusr.exe,"c:\windows\system32\compaqword.exe","c:\windows\system32\corel-tool.exe",

la chiave dopo la modifica deve rimanere cosi :

edit1un0.png

infine segui i passaggi che ti ho indicato prima.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
devi eliminare questo:

infine segui i passaggi che ti ho indicato prima.

intanto ti ringrazio per l'interessamento, ma non c'è niente da fare, la chiave del registro ora è come hai detto tu, il file corel-tool.exe l'ho eliminato con agvpfix, ma non riesco a lanciare HJT.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

Cerca e se ci sono elimina anche gli altri file:

c:\windows\system32\compaqword.exe

c:\windows\system32\corel-tool.exe

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Per quello che riguarda questo:

c:\windows\tsi32\tsircusr.exe

Controlla se hai qualche problema ora che hai eliminato la chiave, ma per me si tratta di una voce legittima (client side process of Laplink Gold software)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Ciao...

Cerca e se ci sono elimina anche gli altri file:

c:\windows\system32\compaqword.exe

c:\windows\system32\corel-tool.exe

ho lasciato solo userinit, ma niente da fare, appena provo a lanciare HJT mi esce, ho provato anche a ridenominarlo da dos ma niente. Ho notato che nel task manager mi si apre un exe di nome 1228890 che molto probabilmente è la causa di tutto. I files non ci sono, coreltool lo avevo già eliminato

Modificato da milanforever

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Non intendevo nel registro, ma proprio il file che hai in C:\Windows\System32

Mi serve il percorso completo di quel file 1228890 per capire cos'è...

Non usare il Task MAnager di Windows che è una ciofeca, usa questo:

http://www.kuma215.it/Guide%20K&J/K/Pe...pl%20guida.html

dal menù View - Select Culums Seleziona Image Path in modo che il percorso dei file sia mostrato...

Allarga la finestra in modo che si visualizzi tutto (se le voci non ci stanno, allarga le colonne)

la visualizzazione deve essere simile a questa:

foto001eb6.jpg

Quindi allegami uno screenshot dei processi....

Comunque con questo puoi provare a killare il file sospetto, anche se per me Hijack non si apre per la presenza di quel compaqword.exe

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

di quei file non ne trovo più nessuno, molto probabilmente li ho cancellati con una delle procedure per la rimozione di gromozon, in effetti quel compaq e anche il 1228890 o qualcosa di similie fugurano sulla lista dei file con cui si presenta gromozon trovata su prevx.

lo screenshot che mi hai chiesto l'ho messo come allegato ma non so se ti è arrivato. ti allego inoltre due log di

VirIT eXplorer Lite Log

[sCANSIONE DELLA MEMORIA]

VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.I

--------------------------------------------------------

12/06/2007 - 07:58:52

[sCANSIONE DELLA MEMORIA]

VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.I

[sCANSIONE DEL REGISTRO]

{2a6af021-17a2-4014-8624-cf6015f82fad} Infetto da BHO.Agent.BA

* * * RIMOSSO * * *

SCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

12/06/2007 - 10:09:51

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

C:\Documents and Settings\ALVARO.BENEDETTI\Impostazioni locali\Temp\1228890.exe Infetto da Trojan.Win32.Small.PM

* * * RIMOSSO * * *

C:\Documents and Settings\ALVARO.BENEDETTI\Impostazioni locali\Temp\687921.exe Infetto da Trojan.Win32.Small.PM

* * * RIMOSSO * * *

C:\Documents and Settings\ALVARO.BENEDETTI\Impostazioni locali\Temp\704171.exe Infetto da Trojan.Win32.Small.PM

* * * RIMOSSO * * *

C:\Documents and Settings\ALVARO.BENEDETTI\Impostazioni locali\Temp\705468.exe Infetto da Trojan.Win32.Small.PM

* * * RIMOSSO * * *

C:\Documents and Settings\ALVARO.BENEDETTI\Impostazioni locali\Temp\723390.exe Infetto da Trojan.Win32.Small.PM

* * * RIMOSSO * * *

C:\Documents and Settings\ALVARO.BENEDETTI\Impostazioni locali\Temp\725218.exe Infetto da Trojan.Win32.Small.PM

* * * RIMOSSO * * *

C:\Documents and Settings\ALVARO.BENEDETTI\Impostazioni locali\Temp\748296.exe Infetto da Trojan.Win32.Small.PM

* * * RIMOSSO * * *

C:\Documents and Settings\ALVARO.BENEDETTI\Impostazioni locali\Temp\762250.exe Infetto da Trojan.Win32.Small.PM

* * * RIMOSSO * * *

C:\Documents and Settings\ALVARO.BENEDETTI\Impostazioni locali\Temp\764000.exe Infetto da Trojan.Win32.Small.PM

* * * RIMOSSO * * *

C:\Documents and Settings\ALVARO.BENEDETTI\Impostazioni locali\Temp\781328.exe Infetto da Trojan.Win32.Small.PM

* * * RIMOSSO * * *

C:\Documents and Settings\ALVARO.BENEDETTI\Impostazioni locali\Temp\850859.exe Infetto da Trojan.Win32.Small.PM

* * * RIMOSSO * * *

C:\Documents and Settings\ALVARO.BENEDETTI\Impostazioni locali\Temp\939203.exe Infetto da Trojan.Win32.Small.PM

* * * RIMOSSO * * *

C:\Documents and Settings\ALVARO.BENEDETTI\Impostazioni locali\Temp\964015.exe Infetto da Trojan.Win32.Small.PM

* * * RIMOSSO * * *

C:\Documents and Settings\ALVARO.BENEDETTI\Impostazioni locali\Temp\987640.exe Infetto da Trojan.Win32.Small.PM

* * * RIMOSSO * * *

C:\Programmi\CommView\fcd.dll Infetto da Backdoor.RBot.QK

* * * RIMOSSO * * *

C:\WINDOWS\system32\com3.pfz Infetto da Trojan.Win32.RootKit.I

* * * RIMOSSO * * *

C:\WINDOWS\system32\udsswvgf.dat Infetto da Trojan.Win32.Agent.ATA

* * * RIMOSSO * * *

Chiavi Registro infette: 0.

Files Infetti: 17.

Files Sospetti: 0.

Files Analizzati: 312117.

Files Totali: 312117.

Chiavi Registro rimosse: 0.

Modificato da milanforever

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

come faccio a mandarti lo screenshot

Modificato da milanforever

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Virit ha fatto una notevole pulizia :)

Dai comunque un'ulteriore passata con questo (serve per i files Temp)

ATF cleaner

http://www.atribune.org/ccount/click.php?id=1

Avvia ATF Cleaner (con i browser e le altre applicazioni chiuse)

(se usi Firefox o Opera, selezionali dal menu in alto)

metti la spunta su "Select All" per ogni browser

e clicca su "Empty Select"

COME POSTARE UN'IMMAGINE:

Se vuoi puoi mettere qui la schermata del programma con le minacce individuate...

Per catturare la schermata, puoi usare SHOTGENIUS

( http://shotgenius.wininizio.it/index_ita.html )

Poi una volta che hai l'immagine, fai l'upload su questo server: http://imageshack.us/

(clicca su "Sfoglia", seleziona l'immagine e poi clicca su "Host It")

foto002lr0.jpg

Una volta caricata l'immagine, copia tutta la riga del codice dove appare

"Thumbnail for forums (1)"

foto003mg9.jpg

ed incollala sul tuo post...

l'immagina apparirà dopo l'invio

_______________

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

ti allego lo screenshot

sgphoto20070612155332qc9.th.png

Modificato da milanforever

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Da questo screenshot è tutto regolare (oltretutto vedo che il consumo di CPU è molto basso ... ottima cosa)

Quindi il file 1228890 di cui parlavamo prima, è stato eliminato (o sta nella parte più sotto... quella non visualizzata?)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Da questo screenshot è tutto regolare (oltretutto vedo che il consumo di CPU è molto basso ... ottima cosa)

Quindi il file 1228890 di cui parlavamo prima, è stato eliminato (o sta nella parte più sotto... quella non visualizzata?)

non mandarmi a quel paese, confido nella tua pazienza, ma soluzioni per riuscire ad aprire HJT.

Grazie di tutto comunque, sempre a disposizione per problematiche fiscali.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ricontrolla la chiave USERINIT e vedi se si è ricreata qualche voce,

nel frattempo cerco un'alternativa

::::::::::::::::

edit:

Ciao, scarica runanalyzer da qui (rilascia un rapporto stile hijackthis, anche se non propriamente uguale):

http://www.safer-networking.org/files/runalyz.exe

lasciagli caricare le informazioni, poi vai su "Rapporti" e clicca su "Crea Rapporto stile HJT",salvalo cliccando sull'icona apposita.

Poi lo alleghi in formato testo in un post.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Ricontrolla la chiave USERINIT e vedi se si è ricreata qualche voce,

nel frattempo cerco un'alternativa

tu non ci crederai, ma non parte nenche questo programma ossia parte ma appena scelgo la lingua e dò ok esce.

Certo che ne ho di fortuna. Mi sa che questo ci darà del filo da torgere.

P.S: la chiave userinit è ok.

Ciao

Modificato da milanforever

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao milanforever,

controlla la presenza della chiave di registro

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato]

Dimmi se hai il valore in rosso (e il nome del file che vedi)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Ciao milanforever,

controlla la presenza della chiave di registro

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato]

Dimmi se hai il valore in rosso (e il nome del file che vedi)

se è la chiave di explorer che devo controllare non è in rosso ed è questo : debugger c:\windows\system32\bqsohpus.log, cioè questo lo si ottiene cliccando explorer dopo aver cliccato su Image File Execution Options, se invece vuoi sapere cosa si ottiene cliccando su Image File Execution Options la chiave è vuota

ciao

Modificato da milanforever

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao ,

* Elimina il file c:\windows\system32\bqsohpus.log

( se non ci riesci dalla modalità normale fallo dalla provvisoria)

* Scarica ed estrai RegAssassin

- Avvia il file RegAssassin

- Assicurati che le 2 opzioni

Reset permissions e delete registry key and all subkeys siano spuntate

- nel box bianco copia il valore

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

- Clicca su delete

- rispondi SI ed aspetta l'avviso di avvenuta cancellazione

fai anche questi controlli;

* Dimmi cosa vedi in queste cartelle;

C:\Windows\Tasks

c:\Windows\Temp

* Poi apri il registro , start / esegui / regedit / ok

e controlla se ci sono le chiavi riportate in grassetto

- HKEY_LOCAL_MACHINE \Software\Micorsoft\RFC1156Agent

- HKEY_LOCAL_MACHINE\Software \Macromedia\ShockPlayer32

- HKEY_CURRENT_USER\Software\Macromedia\ShockPlayer32

- HKEY_CURRENT_USER\Software\Microsoft\RFC1156Agent

Qua devi cercare delle sottocartella con nomi strani a 5 lettere

- HKEY_LOCAL_MACHINE \Software\Microsoft\Internet Explorer \AdvancedOptions\[5 lettere a caso] esempio hkwcf

- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AdvancedOptions\[5 lettere a caso] esempio hknnf

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

ciao ,

:)

la chiave l'ho cancellata con agvpfix, in task non c'e' niente in temp inve ho due file perflib_perfdata_7cc.dat e wgaerrlog.txt

delle chiavi ho solo HKEY_LOCAL_MACHINE Software\Micorsoft\RFC1156Agent

ci sentiamo domani perchè ancora sono in ufficio e sono finito!!

ti ringrazio

Modificato da milanforever

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

la chiave l'ho cancellata con agvpfix, in task non c'e' niente in temp inve ho due file perflib_perfdata_7cc.dat e wgaerrlog.txt

delle chiavi ho solo HKEY_LOCAL_MACHINE Software\Micorsoft\RFC1156Agent

ci sentiamo domani perchè ancora sono in ufficio e sono finito!!

ti ringrazio

la chiave eliminata con AGVPfix??? il file vorrai dire ...

hai eliminato anche la chiave?

elimina anche RFC1156Agent e facci sapere come và.....

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

la chiave eliminata con AGVPfix??? il file vorrai dire ...

hai eliminato anche la chiave?

elimina anche RFC1156Agent e facci sapere come và.....

:)

scusa volevo dire il file, la chiave l'ho cancellata come mi hai detto con regassassin, ma stamattina ho un problema non parte più il desktop cioè non vedo più le icone e la barra di stato, riesco solo a lavorare facendo partire le applicazioni da taskmanager. cosa devo fare per risitemare il desktop.??'

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao...

devi eliminare anche il file

c:\windows\system32\bqsohpus.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0