Aiuto, il pc si freeza

[taleboldi]

(la discussione iniziale è qui, ho chiesto ad un Mod di chiuderla per postare in questa sez.)

Riassumo:

da un paio di giorni utilizzare il pc (Vista Ultimate, 2gb ram, A64 3800x2) sta diventando un'impresa, ogni tanto l'utilizzo di entrambi i core (contemporaneamente) sale fino al 100% senza che faccia nulla di particolare.

A volte capita mentre uso word, excel, o con firefox o mentre masterizzo o semplicemente mentre sfoglio le cartelle dei file. Non c'è una regola.

con Process Explorer (di sysinternals.com) vedo che è un processo svchost.exe (ma qlch volta è il processo system)


Ho fatto una scansione con Nod32, e non rileva nulla.
Ho installato Spybot e Adaware e ha trovato qlch schifezza che ho tolto, ma non è cambiato nulla

il problema si è presentato la prima volta venerdì sera e non ho installato nulla
nè il giorno stesso nè nei 4/5 giorni prima (a parte qlch aggiornamento di Vista)

qlch idea ???
mi resta solo il formattone ?

Vi ringrazio in anticipo, saluti.

[xcdegasp]

ti chiedo di seguire da subito le Regole di Sezione cosi possiamo capire meglio da cosa sei affetto..
per il log HiJackThis ti chiedo di attendere per dare precedenza ai risultati delle scansioni dopo di che si procede con indicazioni precise..

attendo news

[Nuz]

Fai una scansione con qualche software anti-rootkit elencati qui: gmer e analisi dei suoi logs [tread ufficiale]
Puoi provare anche con Prevx CSI.

[Bugs Bunny]

dopo aver seguito le regole di sezione,se sei ancora infetto posta un log di hijackthis con l'ultima versione (2.0.2) la tua è molto vecchia

http://www.trendsecure.com/portal/en...kthis/download

[taleboldi]

pardon, non avevo visto che c'era tutta sta roba da controllare

proverò a seguire le guide indicate , anche se non sarà facile con il pc che si "blocca" di continuo

poi mi rifaccio vivo

grazie, ciauz

[taleboldi]

Quote:

Originariamente inviato da Bugs Bunny

dopo aver seguito le regole di sezione,se sei ancora infetto posta un log di hijackthis con l'ultima versione (2.0.2) la tua è molto vecchia

http://www.trendsecure.com/portal/en...kthis/download

uff ... il sito è down, qlch altro link per cortesia ?

tutti quelli che ho trovato con google o rimandano al sito o non sono dell'ultima versione (2.0.2)

grazie, ciauz

[Nuz]

Il sito non è down, almeno nel momento in cui scrivo.

Edit: Il link diretto è: http://www.trendsecure.com/portal/en...HJTInstall.exe

[taleboldi]

Quote:

Originariamente inviato da Nuz

Il sito non è down, almeno nel momento in cui scrivo.

Edit: Il link diretto è: http://www.trendsecure.com/portal/en...HJTInstall.exe

bho, a me da "impossibile visualizzare pagina", "indirizzo non trovato"
(PS sto usando il pc in ufficio, non quello di casa che ha problemi)

cmq l'ho trovato qui
http://www.bleepingcomputer.com/files/hijackthis.php

grazie, ciauz

[xcdegasp]

a me ha sempre funzionato quel link....
le varie scansioni hanno rilevato qualcosa?

[taleboldi]

Quote:

Originariamente inviato da xcdegasp

a me ha sempre funzionato quel link....
le varie scansioni hanno rilevato qualcosa?

bho stamattina non andava ma ora si, mah ?

cmq le scansioni non sono ancora riuscito a farle, ieri sera era un po' tardi, dopo aver messo a letto i bimbi, per leggersi (e capire) qlcs e oggi sono in ufficio
spero di riuscire a farle stasera

grazie cmq, ciauz

[Gle89]

Quote:

Originariamente inviato da taleboldi

spero di riuscire a farle stasera

vai tranquillo, non c'è furia, ti aspettiamo!

Quote:

grazie cmq, ciauz

Evita di usare, per favore, le parole abbreviate stile sms non è molto carino

[taleboldi]

ho fatto girare nell'ordine:

- CCleaner con i parametri indicati, ho pulito tutto ma non ha rilevato niente di particolare e il problema persiste

- ESET ADS Revealer -> nessun problema rilevato

- A-Squared Free v3.x -> trovato Riskware.Client-IRC.Win32.mIRC.621 che devo fare ?

- Prevx CSI -> nessun problema rilevato

- gmer -> nessun problema rilevato

antivirus online
nanoscan -> nessun problema rilevato
ZoneAlarm Scanner Spyware -> nessun problema rilevato
(molti altri con Vista non vanno)

questo è il log di hijackthis 2.0.2

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.30.44, on 12/11/2007
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Programs\Eset\nod32kui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Programs\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\BitTorrent_DNA\dna.exe
C:\Programs\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Programs\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Programs\Firefox\firefox.exe
X:\x_ripristino_PC\adsr\ADSR.exe
C:\Programs\mIRC\mirc.exe
C:\Windows\System32\mobsync.exe
C:\Programs\rapget\rapget.exe
D:\DWN\Firefox\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programs\Spybot-S&D\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [StartCCC] C:\Programs\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programs\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programs\Spybot-S&D\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\AdobeReader8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\AdobeReader8.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programs\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programs\Spybot-S&D\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programs\Spybot-S&D\SDHelper.dll
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{6210D6B0-E476-4862-B904-11DB29DE78A3}: NameServer = 208.67.222.222,208.67.220.220
O22 - SharedTaskScheduler: Deskscapes - {EC654325-1273-C2A9-2B7C-45D29BCE68FB} - C:\Programs\DESKSC~1\deskscapes.dll
O22 - SharedTaskScheduler: Stardock Vista ControlPanel Extension - {EC654325-1273-C2A9-2B7C-45D29BCE68FD} - C:\Programs\DESKSC~1\DesktopControlPanel.dll
O22 - SharedTaskScheduler: StardockDreamController - {EC654325-1273-C2A9-2B7C-45D29BCE68FF} - C:\Programs\DESKSC~1\DreamControl.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programs\Ad-Aware2007\aawservice.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programs\Eset\nod32krn.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 5624 bytes

che faccio ora ?
grazie, ciauz

PS
durante la serata il pc mi si è bloccato solo un paio di volte (forse perchè era impegnato a fare altro ?)

[Nuz]

Il log risulta pulito.

Hai tutte le patch di Vista? Inoltre potresti provare con altri software anti-rootkit.

[Chill-Out]

Credo che questa non sia più la sezione idonea, il problema è da ricercare altrove Software/Hardware.

[Riverside]

Quote:

Originariamente inviato da taleboldi

ho fatto girare nell'ordine:
- A-Squared Free v3.x -> trovato Riskware.Client-IRC.Win32.mIRC.621 che devo fare?

Non lo rimuovere, altrimenti ti toccherà reinstallare MIrc.

Rilancia HThis e fixa queste voci (sono inutili):

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent

fai analizzare le voci contrassegnate in rosso voci su : VIRUSTOTAL
allega, per ognuna di essere, il Report che verrà rilasciato

O22 - SharedTaskScheduler: Deskscapes - {EC654325-1273-C2A9-2B7C-45D29BCE68FB} - C:\Programs\DESKSC~1\deskscapes.dll

O22 - SharedTaskScheduler: Stardock Vista ControlPanel Extension - {EC654325-1273-C2A9-2B7C-45D29BCE68FD} - C:\Programs\DESKSC~1\DesktopControlPanel.dll

O22 - SharedTaskScheduler: StardockDreamController - {EC654325-1273-C2A9-2B7C-45D29BCE68FF} - C:\Programs\DESKSC~1\DreamControl.dll

[taleboldi]

Quote:

Originariamente inviato da Riverside

Non lo rimuovere, altrimenti ti toccherà reinstallare MIrc.

Rilancia HThis e fixa queste voci (sono inutili):

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
...

ma se fixo soundman e steam poi funzionano ancora (scusa la domanda scema) ?

Quote:

Originariamente inviato da Nuz

Il log risulta pulito.

Hai tutte le patch di Vista? Inoltre potresti provare con altri software anti-rootkit.

quelle fondamentali si,
non ho installato quelle facoltative/consigliate, devo farlo ?
quali sw anti-rootkit ad es. ?

grazie, ciauz

[Riverside]

Quote:

Originariamente inviato da taleboldi

...ma se fixo soundman e steam poi funzionano ancora (scusa la domanda scema) ?

Secondo te?

[xcdegasp]

assolutamente sì

[taleboldi]

Quote:

Originariamente inviato da Riverside

Secondo te?

e vabbè il msg di hijack non è molto rassicurante eh ?

ora faccio ...

[Nuz]

Quote:

Originariamente inviato da Riverside

Non lo rimuovere, altrimenti ti toccherà reinstallare MIrc.

Rilancia HThis e fixa queste voci (sono inutili):

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent

fai analizzare le voci contrassegnate in rosso voci su : VIRUSTOTAL
allega, per ognuna di essere, il Report che verrà rilasciato

O22 - SharedTaskScheduler: Deskscapes - {EC654325-1273-C2A9-2B7C-45D29BCE68FB} - C:\Programs\DESKSC~1\deskscapes.dll

O22 - SharedTaskScheduler: Stardock Vista ControlPanel Extension - {EC654325-1273-C2A9-2B7C-45D29BCE68FD} - C:\Programs\DESKSC~1\DesktopControlPanel.dll

O22 - SharedTaskScheduler: StardockDreamController - {EC654325-1273-C2A9-2B7C-45D29BCE68FF} - C:\Programs\DESKSC~1\DreamControl.dll

Le ultime tre si riferiscono a Stradock Deskscapes. Non è un virus.