Precedente :: Successivo |
Autore |
Messaggio |
antonio3gg Mortale devoto
Registrato: 17/07/15 07:52 Messaggi: 10
|
Inviato: 03 Lug 2017 12:14 Oggetto: WPFFontCache_v0400.exe Problema |
|
|
Salve,
il mio PC da un pò di giorni è lentissimo e ho notato che il led sul case che segnala l'utilizzo della CPU è sempre fisso, ad indice che la CPU sta funzionando sempre al massimo.
Dal Task Manager risulta che l'unico processo "anomalo" attivo costantemente è questo "WPFFontCache_v0400.exe"
Ho fatto una scansione con Kaspersky ma non mi ha rilevato nessuna minaccia e il problema persiste.
Ho letto in un altro topic che uno dei metodi per ricercare il problema è l utilizzo di HIjackThis, quindi sperando sia utile vi posto il log:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12.59.45, on 03/07/2017
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\FreePDF_XP\fpassist.exe
C:\Programmi\Browny02\Brother\BrStMonW.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ControlCenter4\BrCtrlCntr.exe
C:\Programmi\Ditron\WinEcrCom 1.9\Drivers\SoEcrCom.exe
C:\Programmi\ControlCenter4\BrCcUxSys.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 16.0.1\avp.exe
C:\Programmi\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
C:\Programmi\Skype\Updater\Updater.exe
C:\Programmi\Samsung\USB Drivers\27_ssconn\conn\ss_conn_service.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Wondershare\WAF\2.3.1.1\WsAppService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Browny02\BrYNSvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.snapdo.com/?publisher=SnapdoOCYB&dpid=SnapdoOCYB&co=IT&userid=4caf1099-302e-c69a-ebb4-a04e957167bf&searchtype=ds&q={searchTerms}&installDate=28/10/2013
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.snapdo.com/?publisher=SnapdoOCYB&dpid=SnapdoOCYB&co=IT&userid=4caf1099-302e-c69a-ebb4-a04e957167bf&searchtype=ds&q={searchTerms}&installDate=28/10/2013
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: ScriptInjectionPluginBrowserHelperObject - {03993315-5CE9-4F00-8790-D14A94F1D91A} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 16.0.1\IEExt\ie_plugin.dll
O3 - Toolbar: Kaspersky Protection Toolbar - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 16.0.1\IEExt\ie_plugin.dll
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programmi\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dati applicazioni\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programmi\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ControlCenter4] C:\Programmi\ControlCenter4\BrCcBoot.exe /autorun
O4 - HKLM\..\Run: [BrStsMon00] C:\Programmi\Browny02\Brother\BrStMonW.exe /AUTORUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SoECRCom.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O15 - Trusted Zone: http://damora2013.faceaip.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{26EFD376-6DDF-4A2D-AE75-8A7D0A4F1B9F}: NameServer = 8.8.8.8,8.8.4.4
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio Kaspersky Anti-Virus 16.0.1 (AVP16.0.1) - AO Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 16.0.1\avp.exe
O23 - Service: BrYNSvc - Brother Industries, Ltd. - C:\Programmi\Browny02\BrYNSvc.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programmi\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programmi\Skype\Updater\Updater.exe
O23 - Service: SAMSUNG Mobile Connectivity Service (ss_conn_service) - DEVGURU Co., LTD. - C:\Programmi\Samsung\USB Drivers\27_ssconn\conn\ss_conn_service.exe
O23 - Service: Wondershare Application Framework Service (WsAppService) - Wondershare - C:\Programmi\Wondershare\WAF\2.3.1.1\WsAppService.exe
--
End of file - 6861 bytes
Spero in un vostro aiuto!
Grazie |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 03 Lug 2017 13:12 Oggetto: |
|
|
Ciao.
Citazione: | Ho letto in un altro topic che uno dei metodi |
Sì......e hai letto un topic che hai aperto tu nel 2015.
E per non far fatica a scrivere, hai fatto un copia\incolla.
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.snapdo.com/?publisher=SnapdoOCYB&dpid=SnapdoOCYB&co=IT&userid=4caf1099-302e-c69a-ebb4-a04e957167bf&searchtype=ds&q={searchTerms}&installDate=28/10/2013
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.snapdo.com/?publisher=SnapdoOCYB&dpid=SnapdoOCYB&co=IT&userid=4caf1099-302e-c69a-ebb4-a04e957167bf&searchtype=ds&q={searchTerms}&installDate=28/10/2013
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programmi\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dati applicazioni\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programmi\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ControlCenter4] C:\Programmi\ControlCenter4\BrCcBoot.exe /autorun
O4 - HKLM\..\Run: [BrStsMon00] C:\Programmi\Browny02\Brother\BrStMonW.exe /AUTORUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /minimized /regrun
O4 - Startup: SoECRCom.lnk = ?
Chiudi hijackthis.
Poi
Scarica Adwcleaner sul desktop:
link
Chiudi tutti i browser (è importante IE,Firefox Chrome ecc... siano chiusi)
Clicca sul pulsante "Analizza".
Finita la scansione clicca su "Pulisci"
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.
Fai una pulizia con CCleaner. (registro compreso)
Sempre con CCleaner:
Apri CCleaner.
Clicca su "Strumenti".
Clicca su "Ripristino Sistema"
Seleziona TUTTI i punti di ripristino e poi clicca "Rimuovi".
N.B:
Il punto segnalato in grigio (il primo) non lo puoi eliminare per motivi di sicurezza.
Vedi se ci sono miglioramenti.
Per postare il log: (TUTTI i log richiesti)
Collegati ad internet e vai alla pagina WikiSend:
link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum. |
|
Top |
|
|
antonio3gg Mortale devoto
Registrato: 17/07/15 07:52 Messaggi: 10
|
Inviato: 03 Lug 2017 14:06 Oggetto: |
|
|
Copia e incolla solo perchè il problema era lo stesso
solo che la soluzione è un po diversa stavolta.
La 017 che l'altra volta era un problema, ora è ancora presente. Non devo eliminarla?
Inoltre in queste che tu mi hai elencato di eliminare, riconosco i nomi di programmi che utilizzo. So che devo fidarmi della tua esperienza, ma non vorrei fare danni...
|
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 03 Lug 2017 18:46 Oggetto: |
|
|
Citazione: | solo che la soluzione è un po diversa stavolta. |
Perchè ci sono infezioni diverse.
Citazione: | La 017 che l'altra volta era un problema, ora è ancora presente. Non devo eliminarla? |
No perchè i DNS sono legittimi. (Google)
Per me eliminerei anche questa voce:
Citazione: | O15 - Trusted Zone: http://damora2013.faceaip.net |
Ma l'altra volta mi hai detto che la conosci....
Citazione: | Inoltre in queste che tu mi hai elencato di eliminare, riconosco i nomi di programmi che utilizzo. So che devo fidarmi della tua esperienza, ma non vorrei fare danni... |
Tu stai riscontrando la lentezza del pc.
Tutte le voci che ho elencato, sono in parte responsabili di detta lentezza.
Quindi a mio parere le dovresti "fixare", poi se riscontri problemi, mi dici quali e vedo di sistemarli.
Esegui anche Adwcleaner, perchè è probabile che ci siano altre infezioni da adware. |
|
Top |
|
|
antonio3gg Mortale devoto
Registrato: 17/07/15 07:52 Messaggi: 10
|
Inviato: 04 Lug 2017 08:10 Oggetto: |
|
|
Buongiorno
ho "fixato" tutto quello che mi hai indicato.
Ho scaricato Adwcleaner e dall'analisi mi ha detto che non c'era nessuna infezione e quindi non mi ha eliminato nulla, non si è riavviato il pc e non ha creato nessun log.
Dal Task Manager all'avvio risulta sempre presente il processo dal nome "WPFFontCache_v0400.exe" che riempie costantemente dal 50% al 75% della CPU causando la lentezza e la rumorosità della ventola di raffreddamento in quanto è sempre al massimo.
Eliminando il processo manualmente dal Task Manager, ho notato che ricompare per due volte tra i processi attivi per poi scomparire.
Cosa posso fare ora? |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 04 Lug 2017 17:05 Oggetto: |
|
|
Scarica FRST sul desktop: (è obligatorio)
link
Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )
Avvialo e clicca Esegui.
Sulla finestra che ti compare clicca SI.
Clicca Scan.
Aspetta pazientemente la fine della scansione.
Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt) |
|
Top |
|
|
antonio3gg Mortale devoto
Registrato: 17/07/15 07:52 Messaggi: 10
|
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 06 Lug 2017 17:27 Oggetto: |
|
|
Scarica questo file sul desktop: (dove si trova FRST)
link
Avvia FRST e clicca su FIX una sola volta.
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt. |
|
Top |
|
|
antonio3gg Mortale devoto
Registrato: 17/07/15 07:52 Messaggi: 10
|
Inviato: 06 Lug 2017 19:05 Oggetto: |
|
|
ecco
Fixlog.txt
|
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 06 Lug 2017 19:34 Oggetto: |
|
|
Come funziona il pc? |
|
Top |
|
|
antonio3gg Mortale devoto
Registrato: 17/07/15 07:52 Messaggi: 10
|
Inviato: 07 Lug 2017 07:53 Oggetto: |
|
|
Molto meglio, ma il problema del processo "WPFFontCache_v0400.exe" all'avvio non si è risolto.
Sono andato nella Utilità di Configurazione di sistema tramite il comando MSCONFIG, e ho disabilitato il servizio con il nome di quel processo.
Dall'ultimo riavvio non è più presente.
Cosa ne pensi?
Può essere una soluzione? |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 07 Lug 2017 17:54 Oggetto: |
|
|
Citazione: | Cosa ne pensi?
Può essere una soluzione? |
Sì , può essere una soluzione.
Comunque il pc aveva un'infezione da Zero Access che è un rootkit piuttosto fastidioso.
Poi hai circa 30 punti di ripristino, che sono un po troppi per XP.
Per eliminarli segui le indicazioni di questo link:
link
Ricorda poi di riattivare Ripristino configurazione di sistema. |
|
Top |
|
|
antonio3gg Mortale devoto
Registrato: 17/07/15 07:52 Messaggi: 10
|
Inviato: 08 Lug 2017 11:47 Oggetto: |
|
|
OK. Fatto tutto.
Grazie mille! |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 08 Lug 2017 12:38 Oggetto: |
|
|
Segui questo percorso e elimina la cartella FRST;
C:\FRST
Elimina tutti i log compreso l'eseguibile di FRST che hai sul desktop.
Fai una pulizia con CCleaner compreso il registro.
Se il pc funziona decentemente abbiamo concluso.
|
|
Top |
|
|
antonio3gg Mortale devoto
Registrato: 17/07/15 07:52 Messaggi: 10
|
Inviato: 10 Lug 2017 08:01 Oggetto: |
|
|
Buongiorno!
Ho provato a eliminare la cartella FRST, ma mi dice che è impossibile rimuovere una cartella (con un nome alfanumerico lunghissimo) perché la directory non è vuota.
cosa faccio? |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 10 Lug 2017 16:28 Oggetto: |
|
|
Non ho capito il discorso della directory che non è vuota.....
Prova a eliminare la cartella FRST in Modalità provvisoria. |
|
Top |
|
|
|