Ciao a tutti, innanzitutto mi presento...mi chiamo Daniele e mi sono appena iscritto in questo forum sperando che qualcuno mi aiuti a risolvere un grosso problema...

Avendo preso questo pc da mia zia pochi giorni fa..mi sono accorto che il computer è molto lento e andando a vedere nel Task Manager ho notato con grossa sorpresa che il processo Svchost.exe occupava una memoria che superava i 330.000kb...Cercando su vari siti ho visto che molti parlavano di MBR(penso si chiami così).infetto e provando a seguire alcuni consigli per vedere se lo era o no sono arrivato alla conclusione che lo è...
In questo caso non so proprio come comportarmi in quanto il pc risulta essere inutilizzabile visto il consumo elevato di CPU.

Se può servire sul pc gira Windows Vista...

Spero che mi possiate aiutare...vi ringrazio anticipatamente!!

Segui questa guida

http://www.hwupgrade.it/forum/showthread.php?t=1599737

Non essendo molto esperto...della lista precedente ho capito ben poco perciò l'unica cosa che posso allegare è il Log di hijackthis sperando che serva per farmi risolvere questo problema...

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13.05.17, on 23/10/2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\graziella\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\rundll32.exe
C:\Users\graziella\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\graziella\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=74&bd=smb&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=74&bd=smb&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73CAF2A4-7123-4877-B523-B65A4B9FEDCD}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe

--
End of file - 5579 bytes

Io non vedo niente di strano...
però c'è in esecuzione anche questo:
C:\Windows\system32\wuauclt.exe

altro non è che windows update... che a sua volta si appoggia a un paio di servizi lanciati da Svchost ("BITS, servizio di trasferimento intelligiente in background" e "aggiornamenti automatici").

queste combinazione di solito significa che windows update sta scaricando aggiornamenti o è pronto per installarne. su vista -non mi chiedere perchè- questa combinazione consuma molta piu ram che in XP o 7... prova a lanciare windows update a mano e installare tutti gli aggiornamenti disponibili..

Sisi, quello era in funzione perchè stavo installando degli aggiornamenti quando ho fatto il Log di Hijackthis...
Quindi non c'è nulla di strano? è possibile che due Svchost.exe occupano in questo momento 60.000kb uno e 45kb un altro?

Il controllo degli aggiornamenti inchioda un po' il pc all'avvio anche a me col vecchio xp, il solito svchost.exe. Non conosco soluzioni se non aspettare quel minuto o due.
Un'altro rompi disattivabile è il servizio WebService, questo lo puoi disattivare da pannello di controllo/strumenti di amministrazione/servizi.

Beh, in questo momento gli aggiornamenti hanno finito tuttavia il solito rompipalle di Svchost continua ad occupare tantissima CPU...e poi è mai possibile che ce ne sono 15 di questi processi!?

Questo non c'entra con il fatto che ho l'mbr infetto!?

Dagli una controllata anche con Process Explorer, installato basta passare col mouse sul svchost incriminato e hai la panoramica di tutti i processi dietro quel svchost

ce ne sono una tonnellata perche svchost serve a lanciare tutti i servizi di rete.
e quindi hai un svchost per ogni servizio in esecuzione.

tuttavia, a memoria no nricordo che un MBR infetto causi una roba del genere a svchost
fai cosi... vai nel registro di windows con il programma regedit e quindi muoviti nella seguente "chiave"

HK_LOCAL_MACHINE\microsoft\windows NT\currentVersion\svchost

clicca su "svchost".. sulla destra appare un elenco di chiavi di cui una ' netsvcs.
facci doppio click. si apre una finestra con un elenco di cose. copia e incolla questo elenco sul forum.

cosi vediamo quali servizi sono lanciati da svchost e vediamo se ce n'e' qualcuno di strano...

Seguendo alla lettera le tue istruzioni quello che mi è uscito è il seguente...


AeLookupSvc
wercplsupport
Themes
CertPropSvc
SCPolicySvc
lanmanserver
gpsvc
IKEEXT
AudioSrv
FastUserSwitchingCompatibility
Ias
Irmon
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
SENS
Sharedaccess
SRService
Tapisrv
Wmi
WmdmPmSp
TermService
wuauserv
BITS
ShellHWDetection
LogonHours
PCAudit
helpsvc
uploadmgr
iphlpsvc
seclogon
AppInfo
msiscsi
MMCSS
ProfSvc
EapHost
winmgmt
schedule
SessionEnv
browser
hkmsvc
AppMgmt

Ho sbagliato nome è il servizio WebClient che rompe le scatole. Prova a disattivare quello.

Ho sbagliato nome è il servizio WebClient che rompe le scatole. Prova a disattivare quello.

Ho fatto come mi hai consigliato...e ora?!

Amen. Riavvia vedi se migliora.
Vista stà a 7 come Millennium a Xp. Appena vedevo windows ME(rda) venivo colto da raptus e formattavo.

dopo aver visto l'elenco di netsvcs,
ti confermo che NON ci sono virus tra i servizi svchost... sono tutti legittimi.
non mi pare che ci sia un virus li in mezzo..

comunque puoi ancora fare un tentativo per assicurarti che il pc sia pulito:
prova a usare combofix, che devi prendere esclusivamente da questo link e da nessuna altra par5te:
http://www.bleepingcomputer.com/combofix/it/come-usare-combofix

se c'è qualcosa, lo trova e lo rimuove.

In certi casi anche lanmanserver può creare problemi, prova a killarlo