allora...
su un computer in rete presso un internet point ... BORDELLO!
cpu al 100%, con uno strano utilizzo di lsass e (uno degli)svchost...termino dal task svchost incriminato...tutto torna ok, sino al riavvio, ovviamente.
aggiornamenti win: ok
antivirus: avast aggiornato -> niente
av on line (trend micro -> netsky.x
patch varie ed eventuali : ok
ad-aware, spybot, cws..nada
come lo levo ' sto maledetto?

Scaricati Antivir PE e scontrolli con quello, poi scaricati tutte le patch di Windows XP dal WU. Aggiorna l'AV ora, avast è stato aggiornato oggi.
Comunque prova a vedere con Antivir che succede. Ciao.

P.S: firewall ne usi?

hai dato un occhiata con tasklist o procexplorer che servizi sono contenuti nel svchost.exe che da problemi?


se sono tutti validi è probabile stia facendo a cazzotti col firewall

allora...
antivir pe mi fa i complimenti x tanto che è pulito il sistema...
no firewall: i raga cha gestiscono iìinternet point non lo sanno usare e combinano puntualmente casini..
wu mi da tutti gli aggiornamenti ok
ho provato con il tool symantec..nada
ho reinstallato avast nada
quasi quasi lo brucio!
aiutoooooooooooooooooooooooo

anche un monitoraggio con process explorer non da risultati particolari..:muro: :muro:

per completezza, posto anche il solito log..mi pare, a parte un'eccessiva presenza della bar di google, di non vedere nulla di strano..sbaglio?
a Svchost chiuso:
Logfile of HijackThis v1.97.7
Scan saved at 23.25.09, on 21/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Client\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

prima di chiuderlo:
Logfile of HijackThis v1.97.7
Scan saved at 23.27.26, on 21/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Documents and Settings\Client\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

:mc:

strana cosa davvero

ci dici

quali sono i seevizi incriminati?

:\WINDOWS\System32\svchost.exe
ha un utillizzo della cpu variabile, che porta un super lavoro di lsass...terminandolo, tutto torna normale. peccato che ciò sia possibile solo da admin, e che una volta fatto, rifiuti di accedere agli altri account (internet e guest, entrambi limitati). sto provando di tutto ma..niente..
aiutooooooooooooooooooooooooo
(se era facile.. ti devo far bestemmiare ogni tanto, no? ;) )

capitano tutte a me! plos!!!

www.ilsoftware.it/av.asp?id=38

in effetti, ho scovato un processo con regedit che ha questo nome (firewallsvr.exe)..la procedura descritta è attendibile secondo voi?

ma hai quella voce in run?

adesso non più;)
ma continua la via crucis..
lo scan on line aveva individuato fuck_u_bagle.txt, e lo ha segato.
a mano ho levato firewall etc..ancora lo stesso dilemma...

la cosa strana è che i vari av provati non me lo rilevavano..

e tanto meno hijackthis... ?!??!


hai cancellato anche il file firewallsvr.exe

hijack non lo vedeva.."cerca" neppure.. solo cercando nel reg come da sito è uscito fuori sta bestiaccia!

sì ho visto che non veniva fuori in hijack (certo hai anche la versione vecchia :D )


il file lo hai eliminato?

si, il file (o meglio i files, visto che erano in 2) sono stati seccati..ma non è bastato...8 h su quel pc sono troppe!! domani formatto e reibstallo, poi lo ributto in rete..
un acuriosità (e adesso sgignazzerai):
come si formatta un hd con win xp sopra? cioè..ho fatto un tentativo alla "mordicchia (erano anche le 3.30 am!), m aniente format vecchio stile! ripara, correggi, sostituisci ma..io voglio un equivalente al vecchio format c: del dos!!ovviamente, niente console! devo x forza smontare l'hd e piazzarlo su un altro pc come slave. e formattarlo da lì?

http://www.tutorialpc.it/formattarexp.asp

sinceramente, questa richiesta non me l'ha fatta. è vero pure che ho provato solo a recuperare..devo scegliere installa, così mi vede il win vecchio e chiede se scrivere su u'altra cartella o formattare l'hd? ma era tanto bello il riavvio in ms-dos..:cry: :cry: :cry:

Se avvii l'installazione da cd di boot
Lui ti avviserà che è già presente Xp sul pc e ti chiederà se vuoi
ripristinare la precedente installazione oppure no.
Scegli di fare una nuova installazione.
Ad un certo punto ti chiederà se vuoi formattare prima di installare e quale
file system vuoi utilizzare.


se non erro...
(non l'ho usato quasi mai perchè sono di una vecchia scuola che dice "che formattare spesso non serve" di solito quando reinstallavo cancellavo con un file manager dos le cartelle di sistema e reisntallavo windows nuova, certo adesso con NTFS è tutto più complicato)

ciauz

bhè..son davvorco anche io..ma 2 anna x un hd "pubblico" non sono pochi credo...si calcolano come quelli dei cani! neanche a me è mai capitato di dover formattare un ntfs..tra 1 h 1/2 torno a combatterci (certo, ier era figo: su un pc smadonnavo, su quello accanto c'era il 3d aperto..faceva tanto summit!)

:D :)

ok, sono in loco
si riprende...

eliminate le partizioni, formattazione in corso.. (ps. ho trovato una partizione fantasma cioè non visualizzata da risorse del pc...imbroglio dei gestori o atipica conseguenza dell'infezione? spero la 1°, oppure avevano beccato qualcosa di sconosciuto!):D

strano...

non penso sia un virus (non ho mai sentito cose del genre)

penso più alla creazione originaria delle partizioni...

cmq ora stai rifacendo tutto no?

buon lavoro:oink:

formattato, installato win...ora sto "personalizzando"...tutto risolto - pare - , anche se in un modo che neanche io gradisco...
ora sto aggiornando da wu...il problema con svchost sembra superato..ma è rimasto irrisolto...!!
mi consolo pensando che su un pc pubblico non c'è modo di monitorare ogni singolo accesso..magari i ragazzi si sono dimenticati l'admin aperto...bho????

mah...

la prossima volta (la prima) che mi capita un svchost che ha problemi e non è un virus ti assicuro che mi ci metto davanti finchè non ci capisco qualcosa... :rolleyes:

ehi stai attento ai virus hai messo una protezione?

pensa il qui presente! ne ho viste davvero tante fino ad ora, ma questa mi mancava! ora, cmq, ho risolto, quindi il 3d può dirsi chiuso.
Grazie x l'assistenza passo passo, anche in orari atipici!!
:cincin: :happy: :vicini:

perchè che ora è? è già mattina? dove? quando?

:D :D

ciauz

P.S.

Hai fatto tutto tu.. non ti ho dato neanche un consiglio utilie...:oink:

coincidenza...rimane cmq che, ad ogni post, tempo 10 min, rispondevi! pare poco?:friend: :cincin: