PDA

View Full Version : [WinXP SP3] svchost e cpu al 100%

benvenuto
27-12-2009, 15:49
Informazioni di premessa:

Antivirus di serie: AVG 8.5
Firewall di serie: Zone Alarm
Software particolari: Emule plus e Skype
Aggiornamenti automatici windows attivati

Problema:

Di tanto in tanto (ciclicamente ogni 3 minuti), la cpu mi parte al 100%, con inevitabile rallentamento alle prestazioni. Consultando il task manager mi trovo che il file svchost.exe mi occupa gran parte della ram, e l'altra parte (per il raggiungimento del fatidico 100%) è occupato dal file vsmon.exe (processo di monitoraggio di ZA)

Come mi sono comportato:
scansioni attraverso vari sw: AVG (eliminato un po' di sporcizia), Spybot search&destroy (mi ha trovato il PC pulito), ccleaner (un po' di sporcizia anche qui), highjackthis (un elemento in O17 strano---->fixato), Malware bytes antimalware (2 trojan scoperti e subito dopo eliminati).

Risultato: ho pulito il Pc, ma nulla di più, il problema resta

Ancora: ho cominciato a googlare, e ho letto da varie parti che svchost.exe nn dovrebbe aver bisogno di comunicare con l'esterno, quindi gli ho bloccato l'accesso a internet (risultato: nn navigo più, nn leggo la posta con outlook, skype ed emule nn funzionano, quindi da me svchost deve avere l'accesso ad internet, problema o solo un eccezione?).
Ho analizzato la parte log di ZA perchè come ho detto metà cpu è di svchost e l'altra è di vsmon, perchè svchost tenta di comunicare con l'esterno, e vsmon glielo impedisce.
In particolare svchost (e anche winlogon.exe) tenta di INVIARE dati al DNS sohumx1.sohu.com e sohumx2.sohu.com, o cmq per la maggior parte a dns con suffissi sohu.com (in google nn ho trovato info. su questo DNS), IP: 61.135.132.110 porta 25. Mentre i dati in entrata (più rari) provengono da dns e ip risalenti a telecom italia (avendo connessione alice non mi sembra abbastanza ovvio).

Ah, mi sono dimenticato di dire che i file mi sembrano al loro posto (windows/system32)

Non so più che cosa fare, AIUTATEMI VI PREGO
wjmat
28-12-2009, 00:29
Ciao

segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio) (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6), e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)
qui (http://www.hwupgrade.it/forum/showpost.php?p=24315070&postcount=27) trovi ulteriori dettagli e consigli per una corretta esecuzione della procedura

link caricamento log generici ► fileqube.com (http://fileqube.com/) ■ wikisend.com (http://wikisend.com/)
link caricamento immagini ► fileqube.com (http://fileqube.com/) ■ picoodle.com (http://www.picoodle.com/) ■ imageshack.us (http://imageshack.us/)
benvenuto
30-12-2009, 16:39
Ok, ho seguito pian piano la procedura, ecco i LOGS:
http://www.megaupload.com/?d=NNAQSCM0

Una volta fatto la scansione con HiJackThis, sono passato alla scansione con il programma dopo, Gmer, l'ho provato più volte, ma inutilmente perchè mi bloccava il pc. L'unica soluzione era resettare.....
A quel punto sono andato a vedere se c'era qualche miglioria nel sistema: quindi sono andato a vedere i log d'accesso di ZA e mi sono accorto che il problema ora nn era più svchost.exe, ma l'ip alla quale si cercava di accedere (85.37.17.6:53) partiva ora dal file winlogon.exe.


A questo punto ho ricominciato la procedura, stavolta mbam ha dato esito nullo (PC pulito), ecco gli altri log:
http://www.megaupload.com/?d=FZEZOG7R

Il problema di winlogon.exe che cerca di connettersi a 85.37.17.6:53 rimane.

Due tre domande:
-questi files solo da me devono aver accesso a internet per potere navigare con internet?
-mi sono accorto che ora non riesco più a mandare le mail, le ricevo ma non riesco a mandarle
-ora posso a risistemare i DNS che avevo prima del settaggio vostro?

Grazie mille e buon capodanno a tutti

PS. Ogni volta che avvio il computer, facendo una scasione con highjackthis mi viene fuori questo oggetto sospetto in 017: O17 - HKLM\System\CCS\Services\Tcpip\..\{CDC0495D-DE57-4155-93FF-DAF28C6EEBE8}: NameServer = 85.37.17.6 85.38.28.89

Rinnovati auguri di buon 2010
benvenuto
02-01-2010, 23:06
Allora? Non riesco più a mandare email, e il solito problema rimane con highjackthis, per quante volte io mi metta a fixarlo. Che devo fare?
Chill-Out
04-01-2010, 11:28
Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).
benvenuto
04-01-2010, 12:03
Allora, ci provo....

Malwarebytes Anti-Malware => Malwarebytes' Anti-Malware 1.42
Versione del database: 3441
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28/12/2009 12.21.58
mbam-log-2009-12-28 (12-21-58).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 195087
Tempo trascorso: 2 hour(s), 14 minute(s), 4 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)


A-Squared Free v4.x => http://wikisend.com/download/447170/a2scan_091229-203445.txt

F-Secure OnLine => http://wikisend.com/download/605756/fsecure.txt

Dr.Web CureIT => http://wikisend.com/download/471538/cureit filtrato.txt

ESET SysInspector => http://wikisend.com/download/523914/SysInspector-SONYK0-RADIOBUE-091230-1603.xml

HiJackThis => http://wikisend.com/download/616846/hijackthis2.log

Gmer => l'ho provato più volte, ma inutilmente perchè mi bloccava il pc. L'unica soluzione era resettare.....

Prevx 3.0 => http://wikisend.com/download/596896/prevx30logscan.log

In teoria dovrei aver fatto giusto, ditemi subito se ho sbagliato qualcosa....Almeno so cosa, e se posso andare alla procedura di pulizia post-disinfezione o cos'altro devo fare....
benvenuto
04-01-2010, 21:36
Chill-Out, xcdegasp, cos'ho sbagliato stavolta? O il mio problema è banale, e nessuno me lo dice, oppure il mio è un grande problema, e nessuno riesce a risolverlo....:cry: :help:
Chill-Out
05-01-2010, 09:30
Ciao, con il Browser chiudo esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca asx delle sottoindicate voci e clicca su Fix checked

F3 - REG:win.ini: load=C:\DOCUME~1\ADMINI~1\DATIAP~1\mqtgsvc.exe
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Mstsc] C:\WINDOWS\System32\drivers\mstsc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Mstsc] C:\WINDOWS\System32\drivers\mstsc.exe /waitservice (User 'Default user')
O16 - DPF: {22492231-AEF0-49FC-9180-CE8969AB1273} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) -
O16 - DPF: {4819DFDF-ABC4-488C-A323-919848C51175} (Conviva LivePass) -

per il resto non emerge nulla.
benvenuto
10-01-2010, 21:18
Mah, comunque ho sistemato. Alla fine ho fatto una bella formattazione, e così mi sono anche ripulito e ben sistemato.

Ne approfitto per fare questa domanda: rimarrebbe il problema del non invio delle mail, mi spiego meglio, uso outlook express, ho la mail di tiscali, e mi collego a internet usando Alice ADSL. Ho puntato le configurazioni così:
posta in entrata: pop.tiscali.it (porta 25)
posta in uscita: out.alice.it (porta 110).

Ebbene: le mail le ricevo, ma non riesco a inviarle:
Impossibile connettersi al server. Account: 'pop.tiscali.it', Server: 'out.alice.it', Protocollo: SMTP, Porta: 25, Protezione (SSL): No, Errore socket: 10060, Numero di errore: 0x800CCC0E


L'errore rimane sia con l'autenticazione che no, sia con antivirus attivato che no. (Il Firewall lo devo ancora installare)
Chill-Out
10-01-2010, 21:21
Mah, comunque ho sistemato. Alla fine ho fatto una bella formattazione, e così mi sono anche ripulito e ben sistemato.

Ne approfitto per fare questa domanda: rimarrebbe il problema del non invio delle mail, mi spiego meglio, uso outlook express, ho la mail di tiscali, e mi collego a internet usando Alice ADSL. Ho puntato le configurazioni così:
posta in entrata: pop.tiscali.it (porta 25)
posta in uscita: out.alice.it (porta 110).

Ebbene: le mail le ricevo, ma non riesco a inviarle:
Impossibile connettersi al server. Account: 'pop.tiscali.it', Server: 'out.alice.it', Protocollo: SMTP, Porta: 25, Protezione (SSL): No, Errore socket: 10060, Numero di errore: 0x800CCC0E


L'errore rimane sia con l'autenticazione che no, sia con antivirus attivato che no. (Il Firewall lo devo ancora installare)

Chiedi in sezione Networking ;)