Problema utilizzo Cpu, assurdo.

[Chianill]

Ragazzi cerco un po il vostro aiuto, visto che siete molt preparati.
Il mio problema è il seguente.
Da un pao di giorni ho il pc che va a singiozzi, o meglio cè uno strano uso della Cpu.
Dalle foto che vi allego potete vedere prima l'andamento quasi da "elettrocardiogramma" del pc


DOpo lo strano utilizzo dell cpu da perte di System


e alternandosi in contiunuazione con " Ciclo idle del sistema"


I miei porblemi principali sono il rallentamnto a singhizzi del pc.
Penso che che sia un worm o qlkosa di simile, ma possibile che abbia attaccato il file System?
Resto in attesa...Grazie ragazzi!!!

[Stev-O]

il ciclo di idle è normale che resti a 99 a riposo del resto è in "idle" lo dice la parola: serve come "convenzione" del SO per far quadrare i conti sul monitor delle risorse e dei processi

piuttosto system no... diamo un occhiata meglio: fai una scansione con ewido tanto per scongiurare i rischi o con bitdefenderfree
e posta nel thread in rilievo un log di hijackthis

[Chianill]

Logfile of HijackThis v1.99.0
Scan saved at 15.12.20, on 15/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Norton Utilities\NPROTECT.EXE
C:\Programmi\Speed Disk\nopdb.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Libero\Adsl\dslstat.exe
C:\Program Files\Libero\Adsl\dslagent.exe
C:\Programmi\Softwin\BitDefender8\bdnagent.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
c:\programmi\softwin\bitdefender8\bdmcon.exe
c:\programmi\softwin\bitdefender8\bdlite.exe
C:\Documents and Settings\Gianni\Documenti\Gianni\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6F566735-7B1D-121E-30DB-1BE22E37C905} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Libero\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Libero\Adsl\dslagent.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programmi\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\programmi\softwin\bitdefender8\bdnagent.exe"
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{817B12A5-B07B-4034-8A3A-951ACF3310C6}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BitDefender Scan Server - Unknown - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Boonty Games - BOONTY - C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programmi\Norton Utilities\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programmi\Speed Disk\nopdb.exe
O23 - Service: BitDefender Communicator - Softwin - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe

[andorra24]

Fixa:
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {6F566735-7B1D-121E-30DB-1BE22E37C905} - (no file)

[Chianill]

ok
Ho tolto anche boonty games che penso sia uno di quei giochi presi dal web che portano solo rogne.
Il problema system persiste

[Stev-O]

quante e quali applicazioni fai partire in avvio? se lo killi da taskmanager sparisce? ovvero riesci?

[Chianill]

Termino il processo da Task manager (system) e tutte sembra tornare normale.
Ecco qui


All'inizio c'è sempre il solito sali e scendi...dopo si vede che termino il processo....faccio partre adobe photoshop e proprio alla fine si vede come tutto sembra tornare normale.
Ma da cosa è dovuto tutto ciò?

[Stev-O]

il log è normale
il fatto è che non dovrebbe esserci quel processo e poi l'id di processo cosi' basso... succede da molto tempo? hai cambiato toccato installato qualcosa nell'ultimo periodo?

[Chianill]

Siccome non lo uso soltanto io il pc, non vorrei che mio fratello abbia fatto qlk giretto in quei siti dove si prendono virus.
Faccio come il ladro e il guardiano...quindi penso che sia una cosa simile.
Potrei vedere di fare un po di pulizia nel registro con regseker.
O cmq può dipendere da qlkosa presa dal web, oppure da programmi vari?

[Stev-O]

i programmi vari: purtroppo quando non gli si tiene più dietro sono cose fastidiose: cmq se le scansioni le hai fatte e il log è pulito non dovrebbe essere una questione di infezioni: più probabilmente qualche programma/processo in avvio automatico che non fa il suo dovere: comincia a disinstallare casomai qualcosa di quello che va in avvio

[andorra24]

Hai provato a fare una passata con ewido?

[Chianill]

Ho fatto la scansione ed ha trovato 299 file infetti.
Ecco il log

LOG QUI

Ho fatto la scansione e rimozione non in modalità provvisoria, non pensavo trovasse tutto questo.
Adesso riavvio e vedo come va la situazione

[Stev-O]

Quote:

Originariamente inviato da Stev-O

il ciclo di idle è normale che resti a 99 a riposo del resto è in "idle" lo dice la parola: serve come "convenzione" del SO per far quadrare i conti sul monitor delle risorse e dei processi

piuttosto system no... diamo un occhiata meglio: fai una scansione con ewido tanto per scongiurare i rischi o con bitdefenderfree
e posta nel thread in rilievo un log di hijackthis

pero' ti avevo detto di farlo PRIMA

edit: il log è interessantissimo: è un file binario

[andorra24]

Quote:

Originariamente inviato da Stev-O

edit: il log è interessantissimo: è un file binario

Gia', infatti quel log non e' proprio di aiuto.

[Stev-O]

forse bisogna aprirlo con ewido

[Chianill]

Per adesso il problema "system" sembra risolto e il pc sembra andare come prima.
Mi sono soffermato sul task manager ed ho intravisto un po troppi Svchost.
Prima ne avevo 1 o 2 adesso ne sono addirittura 5!
Ci puo essere una correlazione con quello che mi è successo dovuto alle connessioni?
Ecco qui il il file di testo delle connessioni.

Log zippato


Nel frattemopo ecco i file in qurantena

[andorra24]

Quote:

Originariamente inviato da Chianill

Mi sono soffermato sul task manager ed ho intravisto un po troppi Svchost.
Prima ne avevo 1 o 2 adesso ne sono addirittura 5!

Avere 5 svchost.exe e' normale.

[Stev-O]

mamma mai Gianni quanta robaccia....

[Chianill]

eh lo so ragazzi, ma non immaginavo che ci fosse tutta quella schifezza dentro.
Bene o male riesco a capire se c'ho un trojan o qlk visrus, ma questa volta con il file system davvero mi sembrava strano.
Speriamo bene
Grazie ancora del vostro immediato aiuto.
Siete fantastici

[Stev-O]

e ricordati che " l'ottimismo è il profumo della vita..."