Buongiorno ragazz*,

vengo a chiedere lumi alla collettività sperando avvenga quello scambio di informazioni che possa rimettermi sulla giusta via.

Vengo al dunque,

gestendo un parco di una decina di pc con win xpsp2 da qualche giorno ho notato un blocco, che giunge qualche tempo dopo l'avvio (da qualche minuto a qualche ora), che si manifesta con un carico costante sulla CPU del 90 e più %.

Analizzando con Process Analyzer i tasks, (e nello specifico, ovviamente, svchost hehe), ho scovato che tra le dll che girano all'interno, quella responsabile del carico di lavoro spropositato è 'RPCRT4.dll'

questo lo screen

http://img44.imageshack.us/img44/2286/rpcrt4qzdx.jpg (http://img44.imageshack.us/i/rpcrt4qzdx.jpg/)

ed infatti, fermando quella dll i processi tornano alla normalità. Ho già usato hijackthis ma non v'è nulla di anomalo (i pc sono praticamente vuoti di programmi).

Come dovrei agire?
Vi ringrazio per la pazienza,

buona giornata!

ciao

perchè quelle macchine non son0o aggiornate a sp3?
il sovraccarico della cpu potrebbe essere solo dovuto agli aggiornamenti automatici
quel file che segnali è più che normale
http://www.processlibrary.com/it/directory/files/rpcrt4/23580

ciao

perchè quelle macchine non son0o aggiornate a sp3?
il sovraccarico della cpu potrebbe essere solo dovuto agli aggiornamenti automatici
quel file che segnali è più che normale
http://www.processlibrary.com/it/directory/files/rpcrt4/23580

si avevo trovato anche io questa cosa, e li avevo disattivati. Però nulla.
Comunque dei 10 alcuni hanno sp3 ma il problema li affligge lo stesso.

ci sarà allora qualcosa che utilizza quella dll allora...

Allega come da Regole di sezione un log dei tool indicati al Punto 8 e 9 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

si avevo trovato anche io questa cosa, e li avevo disattivati. Però nulla.
Comunque dei 10 alcuni hanno sp3 ma il problema li affligge lo stesso.

ci sarà allora qualcosa che utilizza quella dll allora...

gli aggiornamenti deveno essere sempre attivati

grazie per i suggerimenti!

allora,

ho fatto lo scan con GMER e mi ha dato questo

come potete leggere mi segnale un rootkit,hidden, in svchost.

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-08 13:42:24
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\user\IMPOST~1\Temp\kwtdapow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF7BFF360, 0x3E57A5, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\System32\svchost.exe[960] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes JMP 0179ADDD
.text C:\WINDOWS\System32\svchost.exe[960] NETAPI32.dll!NetpwPathCanonicalize 5BC7A259 5 Bytes JMP 0179AD74
.text C:\WINDOWS\system32\svchost.exe[1012] ntdll.dll!NtQueryInformationProcess 7C91E01B 5 Bytes JMP 0078ADDD

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] rrfef <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\rrfef@DisplayName Installer Shell
Reg HKLM\SYSTEM\CurrentControlSet\Services\rrfef@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\rrfef@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\rrfef@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\rrfef@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\rrfef@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\rrfef@Description Attiva il servizio Supporto NetBIOS su TCP/IP (NetBT) e risoluzione nomi NetBIOS.
Reg HKLM\SYSTEM\CurrentControlSet\Services\rrfef\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\rrfef\Parameters@ServiceDll C:\WINDOWS\system32\fxpzn.dll
Reg HKLM\SYSTEM\ControlSet003\Services\rrfef@DisplayName Installer Shell
Reg HKLM\SYSTEM\ControlSet003\Services\rrfef@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\rrfef@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\rrfef@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\rrfef@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\rrfef@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\rrfef@Description Attiva il servizio Supporto NetBIOS su TCP/IP (NetBT) e risoluzione nomi NetBIOS.
Reg HKLM\SYSTEM\ControlSet003\Services\rrfef\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\rrfef\Parameters@ServiceDll C:\WINDOWS\system32\fxpzn.dll

EDIT

Praticamente mi sembra che il problema stia qui
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] rrfef

ho fatto qualche ricerca ma non ho trovato alcun risultato riguardo questo 'rrfef'..

e poi c'è quel fxpzn.dll.

segui qui (http://www.hwupgrade.it/forum/showthread.php?t=1984665) la guida per la rimozione di Conficker/Downadup/Kido e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Come sospettavo, segui quanto sopra indicato, chiudo.