la dimensione di RAM occupata all'avvio mi ha fortemente insospettito così ho fatto, dietro anche consiglio del gentilissimo ;) moderatore Chill-Out, la scansione con Prevx 3.0 allego il log

LogPrevx.log (http://wikisend.com/download/587134/LogPrevx.log)

Un ringraziamento a coloro che vorranno aiutarmi

P.S.

riporto le righe individuate da prevx come sospette
c:\windows\system32\30561.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\30561
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\30561

Procedo manualmente, quindi ad eliminare il file nella cartella di sistema ed eliminare le chiavi di registro sospette?

la dimensione di RAM occupata all'avvio mi ha fortemente insospettito così ho fatto, dietro anche consiglio del gentilissimo ;) moderatore Chill-Out, la scansione con Prevx 3.0 allego il log

LogPrevx.log (http://wikisend.com/download/587134/LogPrevx.log)

Un ringraziamento a coloro che vorranno aiutarmi

P.S.

riporto le righe individuate da prevx come sospette
c:\windows\system32\30561.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\30561
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\30561

Procedo manualmente, quindi ad eliminare il file nella cartella di sistema ed eliminare le chiavi di registro sospette?

Innazitutto sarebbe oportuno controllare su http://www.virustotal.com/it/ e http://virscan.org/ il suddeto file 30561.sys che trovi in questo percorso c:\windows\system32\ per farlo sarà necessario abilitare la visualizzazione del file nascosti.

NB: per i risultati è sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

Ecco le analisi dei su citati siti

http://www.virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html
http://www.virustotal.com/it/analisis/49d89bc1d4fb172fd758be1e0ae1e5ed

Comunque ho controllato la data di creazione del file ed è 02/07/2008 praticamente il giorno dopo che ho installato il sistema operativo, quindi non credo sia un file nocivo

Mi sa che l'URL di virscan non funziona a dovere, comunque non mi segnala alcuna infezione

Ho fatto anche una scansione ad-aware e mi ha segnalato come malware il file

C:\windows\SysWOW64\explorer.exe

dato che non mi sembrava il caso di eliminarlo e metterlo in quaratena tanto alla leggera ho fatto una scansione con i due siti e non è stato rilevato come nocivo da nessun antivirus.

Mmmm il tuo problema sembra molto simile al mio.Provo ad esporre quì la mia situazione:

Ho un problema.In pratica sono infetto da un worm o virus che nessun programma riesce a rilevare o quasi.Forse è una variante personalizzata che sfugge ai soliti database.Ho provato tanti programmi.Sto utilizzando Vista x64 e G.Data come AV non lo rileva.....e meno male che ha due engine con die database distinti.PrevX free dice che rileva il file certreq.exe (file windows) com e file sospetto...a volte anche nvLsp.dll (nvidia) oppure wscisvif.dll o msshsq.dll o a2contmenu.dll o wbemsvc.dll .Io credo che questi file non sino il worm stesso A parte l'ultimo che se vado a cercarlo non esiste neanche come nascosto) ma sino manipolati da esso per naasconode la sua identica.

- SpyBot non rileva niente.
- A Squared non rileva niente.
- Spysweeper senza sottoscrizione a rilevato un collegamento a 007guard.com una volta poi adesso non dice più nulla.
- Malawarebytes non rileva niente.
- Ad Aware non si istalla
- HijackThis.Il suo log appare normale.
- Windows Defender...neanche aparlarne.Per lui è tutto ok.

I dintimi sono in particolare due:

Un file svchost.exe che è arrivato anche a 230mb nel task manager.
Una serie di applicazioni di sistema che aprono delle porte altre come da immagine sottostante ma non solo.Anche Firefox e altre applicazion che uso solitamente usano delle porte alte.

Alla faccia di chi crede di essere al sicuro acnhe con gli AV blasonati.

Idee e consigli sono i benvenuti perchè non ho la più pallida idea di cosa possa essere e se sia un problema già trattato.E cmq ovvio che i processi di quel tipo normalmente non aprono quelle porte...


http://i42.tinypic.com/2mhaf4x.jpg

Sarebbe opportuno seguire la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Ok vedo cosa riesco a fare come log. :sperem:

Dopo aver fatto una scansione anche con ad-aware e non aver rilevato nulla sono giunto alla conclusione che semplicemente deve esser colpa delle ultime cose che ho installato in questo periodo, OpenVPN, Hamachi ed altri, poi ho vari servizi attivi, Vmware ecc...

Considerando che su Seven che è più leggero di Vista (dalle mie prove sembra esser così, utilizzando un programma che utilizza anche oltre 10GB di memoria e swappa in continuazione il sistema rimane pressochè reattivo, oltre ad occupare complessivamente meno memoria il sistema, e guadagnare qualche decina di secondi su elaborazioni di 15-20 minuti) un file svchost occupa già 120MB e non ho installato niente, tranne Visual studio, quindi direi che probabilmente non sono infetto.

Dopo aver fatto una scansione anche con ad-aware e non aver rilevato nulla sono giunto alla conclusione che semplicemente deve esser colpa delle ultime cose che ho installato in questo periodo, OpenVPN, Hamachi ed altri, poi ho vari servizi attivi, Vmware ecc...

Considerando che su Seven che è più leggero di Vista (dalle mie prove sembra esser così, utilizzando un programma che utilizza anche oltre 10GB di memoria e swappa in continuazione il sistema rimane pressochè reattivo, oltre ad occupare complessivamente meno memoria il sistema, e guadagnare qualche decina di secondi su elaborazioni di 15-20 minuti) un file svchost occupa già 120MB e non ho installato niente, tranne Visual studio, quindi direi che probabilmente non sono infetto.

Infatti il tuo non mi sembra un problema legato ad una possibile infezione :)

Dopo aver fatto una scansione anche con ad-aware e non aver rilevato nulla sono giunto alla conclusione che semplicemente deve esser colpa delle ultime cose che ho installato in questo periodo, OpenVPN, Hamachi ed altri, poi ho vari servizi attivi, Vmware ecc...

Considerando che su Seven che è più leggero di Vista (dalle mie prove sembra esser così, utilizzando un programma che utilizza anche oltre 10GB di memoria e swappa in continuazione il sistema rimane pressochè reattivo, oltre ad occupare complessivamente meno memoria il sistema, e guadagnare qualche decina di secondi su elaborazioni di 15-20 minuti) un file svchost occupa già 120MB e non ho installato niente, tranne Visual studio, quindi direi che probabilmente non sono infetto.

Non è possibile che una applicazione come svchost possa occupare tanta memoria...stanne certo.Piuttosto è più probabile che tu abbia qualche forma virale personalizzata che non viene riconosciuta dagli AV.Anche perchè spesso i database vengono scopiazzati.Ci sono delle aplicazione che vanno a modificare i file disistema e aggiungono funzioni a quelle uffucuali.Questo significa che si possono trovare degli eseguibili apparentemente si sitema che assolvono le loro funzioni di base ma che oltre a queste svolgono la fuinziona virale.L'unica cosa che può essere utile in questi caso è la funzione euristica ma non è infallibile,soprattutto come in casi come questi che sembra trattarsi di exe modificati.

Per esempio io ho prevx che mi dice che il file certreq.exe è un file infetto come High Risk Cloaked Malware ossia un Malvare cammuffato.Detto questo penso sia sufficiente per capire di cosa si stia parlando.

Non è possibile che una applicazione come svchost possa occupare tanta memoria...stanne certo.Piuttosto è più probabile che tu abbia qualche forma virale personalizzata che non viene riconosciuta dagli AV.Anche perchè spesso i database vengono scopiazzati.Ci sono delle aplicazione che vanno a modificare i file disistema e aggiungono funzioni a quelle uffucuali.Questo significa che si possono trovare degli eseguibili apparentemente si sitema che assolvono le loro funzioni di base ma che oltre a queste svolgono la fuinziona virale.L'unica cosa che può essere utile in questi caso è la funzione euristica ma non è infallibile,soprattutto come in casi come questi che sembra trattarsi di exe modificati.

Per esempio io ho prevx che mi dice che il file certreq.exe è un file infetto come High Risk Cloaked Malware ossia un Malvare cammuffato.Detto questo penso sia sufficiente per capire di cosa si stia parlando.

Anche a me Prevx dice che il file 30561 è un Malware camuffato, comunque Windows Seven l'ho installato ieri, non credo sia stato già infettato eppure nonostante è più leggero di Vista un file svchost occupa 120MB, mi correggo ora mentre scrivo ha dimensioni 135MB

nel sistema non installato niente di niente, neanche adobe flash per intenderci, solo visual studio 2008

considerando che Vista è installato da 11 mesi, ed ho installato e disinstallato molte cose, molti servizi si sono aggiunti potrebbe essere normale.

Ovviamente non escludo a priori di non avere malware e virus vari, quindi procederò a fare tutte le varie scansioni inserite in quella guida e vedo che cosa ne esce fuori.

Comunque se effettivamente i database con le definizioni di virus e malware sono scopiazzati non credo che qualcuno individuerà qualcosa, nel frattempo che esca Windows Seven comunque evito di formattare e reinstallare Vista

Anche a me Prevx dice che il file 30561 è un Malware camuffato, comunque Windows Seven l'ho installato ieri, non credo sia stato già infettato eppure nonostante è più leggero di Vista un file svchost occupa 120MB, mi correggo ora mentre scrivo ha dimensioni 135MB

nel sistema non installato niente di niente, neanche adobe flash per intenderci, solo visual studio 2008

Quel file è palesemente pulito http://www.virustotal.com/it/analisis/49d89bc1d4fb172fd758be1e0ae1e5ed

Infatti il tuo non mi sembra un problema legato ad una possibile infezione :)

Lo spero ;)

Ripeto.Non è possibile che l'svchost,diventi cos' grande .In vista sicuramente ma penso anche in seven.Mentre vi scrivo il il task manager aperto con il 96% di memoria ram occupata di 4gb.Io dico che non è normale.Ma facciamo presto.Chiedetelo alla MS se l'svchost può comportarsi in quel modo se non infetto.Dalla via che ci siene e lo dico soprattutto a rossi,scaricati cports e poi vedi se anche tu hai delle porte alte aperte.

Ecco le analisi dei su citati siti

http://www.virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html
http://www.virustotal.com/it/analisis/49d89bc1d4fb172fd758be1e0ae1e5ed

Comunque ho controllato la data di creazione del file ed è 02/07/2008 praticamente il giorno dopo che ho installato il sistema operativo, quindi non credo sia un file nocivo

Mi sa che l'URL di virscan non funziona a dovere, comunque non mi segnala alcuna infezione

non ti segnala infezioni? A me sembra di si!

non ti segnala infezioni? A me sembra di si!

Prevx è l'unico che lo rileva.Sarebbe facile dedurre che è un falso positivo....eppure seconod me non lo è.Tuttavia Prevx non dice molto a rigurado perchè per cloacked malware significa che è un malware nascosto ma neanche lui sa qual'è.Come se dicess "malvare nascosto ma non so qual'è".Difatti anche a me prevx mi segnala il file certreq.exe come cloaked ma nessun altro AV o simile lo rileva....

Cmq i miei log che ho fatto sono quì sotto:

wininit.ini (http://wikisend.com/download/616558/wininit.ini)

win.ini (http://wikisend.com/download/616814/win.ini)

mbam-log-2009-05-15 (23-08-52).txt (http://wikisend.com/download/494958/mbam-log-2009-05-15 (23-08-52).txt)

hijackthis.log (http://wikisend.com/download/476276/hijackthis.log)

adaware.txt (http://wikisend.com/download/478324/adaware.txt)

karspersky.txt (http://wikisend.com/download/467066/karspersky.txt)

FixSobr.log (http://wikisend.com/download/907908/FixSobr.log)

a2scan_090515-225628.txt (http://wikisend.com/download/436338/a2scan_090515-225628.txt)

In particolare date un'occhio a il win.ini perchè contiene delle chiavi di registro forse anomale...cioè che io sappia non dovrebbero esserci.Ho visto che con a squared i file svchost,crss e serveces.exe vengono utilizzati anche da dei vorus.Questo potrebbe essere il problema.

No file compressi, per quanto concerne le modalità con le quali allegare i log, fare riferimento alle Regole di sezione in firma, thx.

edit...

Ripeto.Non è possibile che l'svchost,diventi cos' grande .In vista sicuramente ma penso anche in seven.Mentre vi scrivo il il task manager aperto con il 96% di memoria ram occupata di 4gb.Io dico che non è normale.Ma facciamo presto.Chiedetelo alla MS se l'svchost può comportarsi in quel modo se non infetto.Dalla via che ci siene e lo dico soprattutto a rossi,scaricati cports e poi vedi se anche tu hai delle porte alte aperte.

il 96% di 4GB di RAM è un po' preoccupante, :muro:

ma il file svchost continua ad aumentare di dimensioni nel tuo caso?
Comunque ti consiglio process explorer, è un interessante programma, magari puoi tirar fuori altre informazioni utili

Mi spieghi cortesemente da dove hai tirato fuori il SP2 di Vista?

Mi spieghi cortesemente da dove hai tirato fuori il SP2 di Vista?

Effettivamente nel log di Hijackthis c'è Vista SP2, lavori alla Microsoft Star trek? :D

Comunque ho provato quel programma CurrPorts ed effettivamente i vari file svchost ed altri di sistema sono in ascolto su porte molto alte, 40000 e passa tuttavia ho controllato i log del router, (faccio i log sia wan to lan che viceversa) e nel mio caso

1) negli ultimi minuti non c'è alcuna connessione in entrata
2) le porte sugli indirizzi di destinazione sono le classiche e sicure 53, 80 e 137

Consiglio a star trek di verificare le porte in uscite utilizzando il router se ne è in possesso e registra i log delle connessioni

Mi spieghi cortesemente da dove hai tirato fuori il SP2 di Vista?

Ovviamente è una integrazione.Perchè?

Ovviamente è una integrazione.Perchè?

Perchè non è stato ancora rilasciato, o sbaglio?

Perchè non è stato ancora rilasciato, o sbaglio?



A parte che c'è il modo di fargli scrivere anche Windows 95.

Cmq mi è stato passato il file....e io l'ho integrata...forse è la RC.Non saprei.Di certo la vede istallata.

Anzi ti dirò di più.Stamattina ho fatto anche degli aggiornamenti con Windows Update.

A parte che c'è il modo di fargli scrivere anche Windows 95.

Cmq mi è stato passato il file....e io l'ho integrata...forse è la RC.Non saprei.Di certo la vede istallata.

A parte il fatto che non è legale, pertanto non può essere prestata assistenza, certo che comprenderai la motivazione, ti invito alla lettura del Regolamento (http://www.hwupgrade.it/forum/regolamento.php)

1.1 - Comportamento
Non sono consentite:
a) Discussioni riguardanti pornografia, pirateria (niente crack, serials, warez o qualsiasi richiesta tecnica di natura illecita - in particolare quelle su radio, televisione, satelliti e telefonia -) e pubblicità di alcun tipo, oltre a qualsiasi attivita' illecita ai sensi delle vigenti leggi italiane.

A parte il fatto che non è legale, pertanto non può essere prestata assistenza, certo che comprenderai la motivazione, ti invito alla lettura del Regolamento (http://www.hwupgrade.it/forum/regolamento.php)

Va bene Chill comprendo.Cmq io la licenza di Windows Vista ce l'ho e vivo sereno cmq.:p

vivo sereno cmq.:p

Questo a prescindere da tutto :)

Comunque in Seven la somma del Working set di tutti i file svchost dopo più di un'ora di utilizzo era di 140MB, mentre in Vista dopo aver atteso la fine del processo di cache (quindi memoria libera qualche decina di MB), la stessa somma era di 310MB, una bella differenza:doh:

Se qualcuno ha voglia può postare i suoi dati sull'occupazione totale di memoria (utilizzando la colonna working set) di tutti i file svchost.

Comunque in Seven la somma del Working set di tutti i file svchost dopo più di un'ora di utilizzo era di 140MB, mentre in Vista dopo aver atteso la fine del processo di cache (quindi memoria libera qualche decina di MB), la stessa somma era di 310MB, una bella differenza:doh:

Se qualcuno ha voglia può postare i suoi dati sull'occupazione totale di memoria (utilizzando la colonna working set) di tutti i file svchost.

La Sezione è dedicata solo ed esclusivamente alla rimozione di eventuali virus, per quanto concerne altre problematiche è opportuno utilizzare la Sezione dedicata http://www.hwupgrade.it/forum/forumdisplay.php?f=127

Grazie

La Sezione è dedicata solo ed esclusivamente alla rimozione di eventuali virus, per quanto concerne altre problematiche è opportuno utilizzare la Sezione dedicata http://www.hwupgrade.it/forum/forumdisplay.php?f=127

Grazie

ok, nel caso aprirò un thread in quella sezione

Dicevo di virustotal e virscan...lo segnalano come una backdoor quel file...cioè permette ad altri di entrare nel tuo pc...

-.-'

Dicevo di virustotal e virscan...lo segnalano come una backdoor quel file...cioè permette ad altri di entrare nel tuo pc...

-.-'

su virustotal è segnalato come High Risk Cloaked Malware solo da Prevx

mentre su virscan il link è sbagliato, infatti se noti il file a cui fa riferimento quella pagina (oltre a cambiare con il passare del tempo) è diverso dal file 30561.sys

Dicevo di virustotal e virscan...lo segnalano come una backdoor quel file...cioè permette ad altri di entrare nel tuo pc...

-.-'

http://www.virustotal.com/it/analisis/49d89bc1d4fb172fd758be1e0ae1e5ed

il link a Virscan è errato, fa riferimento ad un altro file :)

situazione simile su http://www.hwupgrade.it/forum/showthread.php?p=27476174

situazione simile su http://www.hwupgrade.it/forum/showthread.php?p=27476174

In quel caso si tratta di Conficker

Non è cmq il mio caso...Ho provato la versione con SP1 su CD e non mi sembra avere lo stesso problema....O è una configurazione che ha SP2 oppure è davvero un VR ma mi sembra strano poiché non si sono i presupposti per ritenere che il VR sia stato occultato nell'istallazione data la provenienza dei dati.Rossi però sembra aver visto anche lui delle porte alte aperte.


Comunque ho provato quel programma CurrPorts ed effettivamente i vari file svchost ed altri di sistema sono in ascolto su porte molto alte, 40000 e passa tuttavia ho controllato i log del router, (faccio i log sia wan to lan che viceversa) e nel mio caso

1) negli ultimi minuti non c'è alcuna connessione in entrata
2) le porte sugli indirizzi di destinazione sono le classiche e sicure 53, 80 e 137


Anche a me non vi è traffico ma le porte sono in ascolto su gli Ip locali o LAN tipo 192.168.xxx.xxx oppure 127.0.0.1.

Non vorrei che fosse la conseguenza di un aggiornamento post SP1 .Il controllo che ho fatto io è su Vista SP1 senza ulteriori aggiornamenti.

Prevx da i numeri. Ho cancellato il file che lui dava per infetto.....e me lo rileva ancora in cartella.Subito pensavo si fosse auto replicato...poi vado a vedere...e non c'è in nessun modo....

Cmq per ora ho chiuso il range di porte alte che non conosco.A meno che non impari a cambiare porta....mi sa che buono buono...