Albis84
06-01-2009, 12:47
Salve a tutti,
premetto che prima di chiedere aiuto a voi ho perso 2 giorni cercando in rete una soluzione.
Il mio problema è il seguente : all'avvio del pc mi ritrovo con una serie di "processi" (in teoria non sono processi ma non so come chiamarli) che effettuano traffico di rete e muoiono nel giro di circa 5-10 secondi.
Questo traffico di rete è attestato al processo rundll32.exe, che dovrebbe essere di sistema, e all'IP 10.0.0.2, porta 80.
L'IP in questione è quello che uso per accedere al pannello di configurazione del mio modem ADSL : Modem Web Page (http://img185.imageshack.us/my.php?image=immagineqn1.png)
Questo problema me lo porto dietro da diversi giorni e ho formattato 2 volte, di cui l'ultima ieri sera. Prima di farlo ho eseguito, da modalità provvisoria, degli scan con : Antivir, Avast, Nod32, Ad Aware, SpyBot S&D, CCleaner e root-kit e HiJackThis, tutti ovviamente aggiornati al giorno stesso. Nessuna infezione rilevata.
Nonostante ciò il mio problema persisteva, vi allego qualche screen per chiarirvi la questione :
Fase 1) (http://img84.imageshack.us/my.php?image=immagine2ai9.png)
Fase 2) (http://img262.imageshack.us/my.php?image=immagine3qd5.png)
Fase 3) (http://img141.imageshack.us/my.php?image=immagine4jl0.png)
... in loop.
Questa è la situazione post-format, la connessione a internet l'ho configurata solo dopo aver installato nod32 (aggiornato all'ultima versione delle firme antivirali).
Il log di HiJackThis è il seguente :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.44.17, on 06/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
E:\NetLimiter 2 Pro\NLClient.exe
E:\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
E:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://10.0.0.2/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [DriverCD] F:\Run.exe
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DU Meter] E:\DU Meter\DUMeter.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231191276465
O23 - Service: NetLimiter (nlsvc) - Locktime Software - E:\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
--
End of file - 2834 bytes
L'ho analizzato anche sul sito del prodotto stesso e mi dice che non ci sono problemi di sorta.
A questo punto l'unica cosa che mi era venuta in mente era che fosse lo stesso windows a fare questi trasferimenti, probabilmente per aggiornamenti.
Pensato questo li ho disabilitati da Pannello di Controllo >> Sistema >> Aggiornamenti Automatici e ho riavviato il pc.
Niente, il problema persiste.
Ho un disperato aiuto delle vostre menti brillanti:help:
Grazie in anticipo per il vostro tempo,
Alberto
premetto che prima di chiedere aiuto a voi ho perso 2 giorni cercando in rete una soluzione.
Il mio problema è il seguente : all'avvio del pc mi ritrovo con una serie di "processi" (in teoria non sono processi ma non so come chiamarli) che effettuano traffico di rete e muoiono nel giro di circa 5-10 secondi.
Questo traffico di rete è attestato al processo rundll32.exe, che dovrebbe essere di sistema, e all'IP 10.0.0.2, porta 80.
L'IP in questione è quello che uso per accedere al pannello di configurazione del mio modem ADSL : Modem Web Page (http://img185.imageshack.us/my.php?image=immagineqn1.png)
Questo problema me lo porto dietro da diversi giorni e ho formattato 2 volte, di cui l'ultima ieri sera. Prima di farlo ho eseguito, da modalità provvisoria, degli scan con : Antivir, Avast, Nod32, Ad Aware, SpyBot S&D, CCleaner e root-kit e HiJackThis, tutti ovviamente aggiornati al giorno stesso. Nessuna infezione rilevata.
Nonostante ciò il mio problema persisteva, vi allego qualche screen per chiarirvi la questione :
Fase 1) (http://img84.imageshack.us/my.php?image=immagine2ai9.png)
Fase 2) (http://img262.imageshack.us/my.php?image=immagine3qd5.png)
Fase 3) (http://img141.imageshack.us/my.php?image=immagine4jl0.png)
... in loop.
Questa è la situazione post-format, la connessione a internet l'ho configurata solo dopo aver installato nod32 (aggiornato all'ultima versione delle firme antivirali).
Il log di HiJackThis è il seguente :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.44.17, on 06/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
E:\NetLimiter 2 Pro\NLClient.exe
E:\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
E:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://10.0.0.2/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [DriverCD] F:\Run.exe
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DU Meter] E:\DU Meter\DUMeter.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231191276465
O23 - Service: NetLimiter (nlsvc) - Locktime Software - E:\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
--
End of file - 2834 bytes
L'ho analizzato anche sul sito del prodotto stesso e mi dice che non ci sono problemi di sorta.
A questo punto l'unica cosa che mi era venuta in mente era che fosse lo stesso windows a fare questi trasferimenti, probabilmente per aggiornamenti.
Pensato questo li ho disabilitati da Pannello di Controllo >> Sistema >> Aggiornamenti Automatici e ho riavviato il pc.
Niente, il problema persiste.
Ho un disperato aiuto delle vostre menti brillanti:help:
Grazie in anticipo per il vostro tempo,
Alberto