Ciao a tutti, ho questo problema.
Un amico ha un server (s.o. win2000 server) con IP fisso che utilizza per gestire il suo sito.
Ultimamente la CPU va al collasso perchè si attiva un processo (e non abbiamo ancora capito come) che si mangia tutta la CPU.
Questo processo si chiama con un progressivo e estensione .tmp e risiede nella cartella Winnt\system32 con nomi tipo 1.tmp oppure B.tmp .
Non c'è modo di bloccarlo se non riavviando il server, perchè cercando di farlo dal task manager da "Accesso negato".
Ma anche riavviando il server, dopo un po' si "rigenera" di nuovo, chiamandosi con un progressivo successivo , ad esempio se il primo era b.tmp quello dopo si chiama c.tmp .
Avete qualche idea su cosa si possa fare ?
Grazie !!!

:( Sembra un virus...
Hai provato con qualche scansione online?

Io ho trovato riferimenti solo sul sito symantec.
Parla di un W32.Alcra.B (un worm) che genera un files a.temp nella cartella ProgramFiles%\winupdates\a.tmp

scansione online e una scansione da un antivirus aggiornato in locale

~§~ Sempre E Solo Lei ~§~

Stasera proviamo, grazie.
Per la verità il file tmp non viene creato nella cartella programmi ma direttamente in windows.
Comunque può essere una buona idea, anche perchè oggi ho saputo che quel frescone del mio amico aveva lasciato aperto l'accesso anonymous in ftp, e sulla root web del server erano stato "depositato" ogni genere di porcheria.
In teoria adesso la root è pulita, ma qualcosa potrebbe essersi già propagato.
Mi sa che dovrà riformattarlo quel server :( !

dimenticavo, quale mi consigliate come scansione on-line ?

Bitdefender (http://www.bitdefender.com) :D

symantec
panda

~§~ Sempre E Solo Lei ~§~

Allora ieri sera ho eseguito la scansione on line con Bitdefender.
Ha trovato una prima volta il file
c:\\winnt\system32\.exe (già il nome è strano), infected by
behavestlike:win32.irc-backdoor

L'ho cancellato ma subito dopo ha trovato anche il file ssl.exe (sempre in system32) "infettato" dallo stesso virus.
In questo caso però non è riuscito a cancellarlo, forse perchè in quel momento quel task era in esecuzione.
La cosa strana è che sono riuscito a rinominarlo in .txt, anche se il processo non sono riuscito a terminarlo.

Poi ho fatto una scansione on-line anche con McAfee, ma non mi ha trovato niente.

Mi sa che sarà meglio riformattare quel server ...

fai un log con hijackthis ;)

fai un log con hijackthis ;)
Ok, stasera ci provo.
Ne ho visti alcuni e mi sembrano un po' incasinati da interpretare : lo posso postare qui ?

Domanda:
ma dopo averlo rinominato hai rifatto la scansione online con bitdefender? L'ha trovato ancora?

Cmq appena hai il log postalo... :D

Ok, stasera ci provo.
Ne ho visti alcuni e mi sembrano un po' incasinati da interpretare : lo posso postare qui ?
tranquillo....ci pensiamo noi:D

No, l'ho fatta ma con McAfee, così per provare un altro antivirus.
Era tardi e non avevo voglia di aspettare un'altra scansione, comunque stasera riprovo.

Ok, stasera ci provo.
Ne ho visti alcuni e mi sembrano un po' incasinati da interpretare : lo posso postare qui ?
posta qui :D :D :D

Cmq appena hai il log postalo... :D
tranquillo....ci pensiamo noi:D
posta qui :D :D :D

Grasssie, grasssie !!!

Anch'io proprio oggi ho questo problema.

Ho provato in modalità provvisoria, ma il file C://WINNT/system32/ssl.exe non c'è...

Compare solo in modalità normale, in modalità provvisoria scompare..

Non si riesce a terminare, neanche con MSCONFIG..

Ho già fatto scansione sia con Panda che con Symantec, non mi resta che provare e sperare in BitDefender

Beh probabilmente in modalità provvisoria non si attiva la schifezza che lo fa partire.
La scansione antivirus l'hai fatta in modalità provvisoria ?

La scansione online l'ho fatta in modalità normale.

2 gg fa ho fatto una scansione in mod provv, ma non mi aveva trovato questo virus..Probabilmente è comparso tra ieri e oggi.

Eccomi, ho eseguito Hijackthis e di seguito allego il log.
Posto anche un'immagine del Task Manager, con la CPU ancora al 100%.
Fra l'altro il file ssl.exe che avevo rinominato come .txt, è stato ricreato ed è sempre in esecuzione.
Intanto ho scaricato e sto eseguendo anche Spybot S & D.
Più tardi se riesco a terminare posto il risultato.

Logfile of HijackThis v1.99.1
Scan saved at 21.48.04, on 23/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\rdpclip.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINNT\system32\internat.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINNT\system32\logon.scr
C:\WINNT\system32\10.tmp
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\transito\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Services] C:\WINNT\system32\10.tmp
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4561/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5435FDAB-4D74-4D4D-A696-1C5579F5ED75}: NameServer = 213.140.2.12,213.140.2.21
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe


http://www.3wstyle.net/public/files_upload/utenti/max60/task_manager.gif

Penso:
C:\WINNT\system32\10.tmp (banale, visto che blocca la cpu :D )

O17 - HKLM\System\CCS\Services\Tcpip\..\{5435FDAB-4D74-4D4D-A696-1C5579F5ED75}: NameServer = 213.140.2.12,213.140.2.21 (non so cosa sia)

O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe ( :p )

Cmq per una risposta più sicura vai a vedere qui (http://hijackthis.de/it) ;)

Dopo che hai bloccato quei processi io tenterei una nuova scansione on line (cmq se hai tempo la cosa migliore sarebbe formattare...ma so che non tutti condividono...)

O4 - HKLM\..\Run: [Services] C:\WINNT\system32\10.tmp
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

essendo poco ferrato su windows 2000 mi sento di consigliarti soltanto questi...poi ci sarebbe questo:
O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe

che a leggere gli ultimi log postati sembrerebbe un trojan,però aspetta conferme;)
...infine un consiglio...ottimizza il sistema,per me hai troppa roba aperta :D

Penso:
C:\WINNT\system32\10.tmp (banale, visto che blocca la cpu :D )

O17 - HKLM\System\CCS\Services\Tcpip\..\{5435FDAB-4D74-4D4D-A696-1C5579F5ED75}: NameServer = 213.140.2.12,213.140.2.21 (non so cosa sia)

O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe ( :p )

Cmq per una risposta più sicura vai a vedere qui (http://hijackthis.de/it) ;)

Dopo che hai bloccato quei processi io tenterei una nuova scansione on line (cmq se hai tempo la cosa migliore sarebbe formattare...ma so che non tutti condividono...)

Questo
O17 - HKLM\System\CCS\Services\Tcpip\..\{5435FDAB-4D74-4D4D-A696-1C5579F5ED75}: NameServer = 213.140.2.12,213.140.2.21 (non so cosa sia)
dovrebbe essere fastweb
Gli altri due non so, mai visti :confused:

Originariamente inviato da FOXYLADY
Questo
O17 - HKLM\System\CCS\Services\Tcpip\..\{5435FDAB-4D74-4D4D-A696-1C5579F5ED75}: NameServer = 213.140.2.12,213.140.2.21 (non so cosa sia)
dovrebbe essere fastweb

:) Non lo sapevo... si impara sempre... :rolleyes:

Cmq facci sapere se hai risolto!

Rieccomi.
Gli indirizzi IP corrispondono effettivamente a Fastweb e credo che questo non sia un problema perchè il server è su questa rete e ha un suo indirizzo IP unico (che non è comunque quello esposto).
Spybot S&D non mi ha rilevato niente di significativo, come peraltro Ad-Aware.
Allora ho scaricato e installato AVG7.
Qui già la prima scansione mi ha segnalato una bella quantità di file infettati, fra cui i vari .tmp , il solito ssl.exe e anche un file .exe (vale a dire senza nome prima dell'estensione) presente nella cartella system32 di windows.
I virus riscontrati sono di 2 tipi:
trojan horse: Proxy.YH
trojan horse: IRC/Backdoor.SDBOT.HLV

AVG li ha cancellati e poi ha chiesto di riavviare il sistema.
Al riavvio ho rifatto la scansione però mi ha trovato ancora presente il file .exe (infettato da IRC/Backdoor.SDBOT.HLV ) e lo ha cancellato di nuovo.
Ho poi schedulato un'altra scansione alle 4 di questa mattina e me ne sono andato a nanna.
Stamattina mi sono ricollegato per vedere il report della scansione, e ancora ha trovato .exe che secondo lui è stato cancellato di nuovo.
A quel punto ho rifatto una scansione della sola cartella system32, e effettivamente sembra tutto tranquillo, con il carico della CPU stabile sullo 0%.
Probabilmente c'è qualcosa al momento del riavvio oppure ogni tot, che rilancia quel task.
Mi sa che sia inevitabile un bel format, tanto per ora non c'è niente di importante su quel server.
Mi piacerebbe però andare un po' più a fondo, giusto per farmi un po' esperienza, e non lasciarla vinta a quei bastard*** !

Ho trovato un anti trojan free (http://www.emsisoft.it/it/software/free/).
Questa sera lo provo !

Prova anche con ewido
http://www.ewido.net/en/

Ho ricontrollato il tuo log, ieri sera non avevo tempo perchè stavo andando a nanna.
Questi sono da fixare
O4 - HKLM\..\Run: [Services] C:\WINNT\system32\10.tmp
O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe
fixale in modalità provvisoria

Anche questi due che riguardano lo scan online del bitdefender li puoi togliere
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

Poi fai una scansione con A2 o Ewido e scarica e fagli fare una scansione anche bitdefender free solo scanner
http://www.bitdefender.com/PRODUCT-14-en--BitDefender-8-Free-Edition.html
che non ha la protezione in tempo reale e quindi non entra in conflitto con l'altro AV che utilizzi.

Ciao

Ragazzi è 2 giorni ormai che nei task attivi non c'è più traccia di quelle schifezze.
AVG gira tutte le notti e non rileva più nessun virus.
A-squared Personal mi ha trovato solo dei cookie che consigliava di cancellare.
La CPU è tornata sui livelli normali, vale a dire quasi sempre fissa al 0%.
Che sia finito tutto, o è ...la quiete prima della tempesta ?

Ciao a tutti, ho questo problema.
Un amico ha un server (s.o. win2000 server) con IP fisso che utilizza per gestire il suo sito.
Ultimamente la CPU va al collasso perchè si attiva un processo (e non abbiamo ancora capito come) che si mangia tutta la CPU.
Questo processo si chiama con un progressivo e estensione .tmp e risiede nella cartella Winnt\system32 con nomi tipo 1.tmp oppure B.tmp .
Non c'è modo di bloccarlo se non riavviando il server, perchè cercando di farlo dal task manager da "Accesso negato".
Ma anche riavviando il server, dopo un po' si "rigenera" di nuovo, chiamandosi con un progressivo successivo , ad esempio se il primo era b.tmp quello dopo si chiama c.tmp .
Avete qualche idea su cosa si possa fare ?
Grazie !!!


http://www.repubblica.it/2005/d/sezioni/scienza_e_tecnologia/p2p2/rischi/rischi.html

http://www.fastserviceinformatica.it/peer_to_peer_e_social_enginering.htm