svchost

[epa]

guardavo su msconfig e ho trovato svchost in esecuzione automatica all'avvio. cercandolo ne trovo 2: 1 in C:windows e l'altro in C:windows/sistem32
vi posto anche un log:
Logfile of HijackThis v1.99.1
Scan saved at 12.06.25, on 27/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Premium\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trust\MD-3100 USB ADSL Modem\dslstat.exe
D:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Programmi\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\AntiVir PersonalEdition Premium\sched.exe
C:\Programmi\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
D:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
D:\Programmi\eMule\emule.exe
D:\Simone\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.utorrent.com/download.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Trust\MD-3100 USB ADSL Modem\dslstat.exe icon
O4 - HKLM\..\Run: [JeticoPFStartup] "D:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{696006B0-6AE2-4C1D-A1A6-F43272F7FD91}: NameServer = 193.12.150.2 212.247.152.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - D:\Programmi\Nero 7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
Sono andato anche su virus total e in effetti qualche antivirus me lo segnala come trojan. vorrei mettere l'immagine ma non ci riesco..

[Scarymiss]

Ciao Epa, il log sembra a posto eccezione fatta per
C:\Program Files\Trust\MD-3100 USB ADSL Modem\dslstat.exe

che desta qualche sospetto.

Per quanto riguarda svchost il rallentamento può essere determinato dagli aggiornamenti automatici di windows+microsoft

Prova a controllare con Process Explorer e vedi a quanti servizi del sistema è collegato uno dei due svchost.
Se i collegamenti sono davvero tanti, annulla Microsoft Update ed il pc dovrebbe rivelocizzarsi. Spero aiuti.

[epa]

C:\Program Files\Trust\MD-3100 USB ADSL Modem\dslstat.exe
Questo è il mio modem... comunque su virus total l'svchost che si trova in windows(no in system32) alcuni lo riconoscono come trojan o variante. adesso provo a seguire il tuo consiglio. Grazie

[Scarymiss]

Se svchost è un *dll allora potrebbe anche essere un virus ma se ti riferisci all *exe allora dovrebbero essere gli aggiornamenti automatici

A proposito, per disattivare gli aggiornamenti:

1) Apri la pagina di Windows Update
2) Dal menù di sinistra scegli Utilizza opzioni amministratore
3) Scegli il pulsante Disattiva Microsoft Update

In caso fai anche un riavvio

[epa]

questo pulsante non c'è... e se clicco su Windows Server Update Services mi dice che non è possibile connettersi al server... ma se li disattivo dalle impostazioni gli aggiornamenti non è uguale vero?

[Scarymiss]

Sì, dovrebbe funzionare ugualmente

[Bugs Bunny]

svchost va solo in system32.
l'altro dovrebbe essere un bel virus

[Chill-Out]

Quoto è un bel virus

[epa]

cancellato senza problemi.

[ste_95]

cancellato un virus senza problemi???mi sembra strano...secondo me poi si rigenererà
intanto comunque toglici il riferimento all'avvio...potrebbe solo rallentare l'avvio...poi dicci se se ne è andato completamente...

[Bugs Bunny]

hai disattivato ripr conf di sys prima di cancellarlo?

[epa]

L'ho semplicemente cancellato e il ripristino di sistema non l'ho toccato.. per ora sembra non esserci più...