[WinXP SP3] svchost e cpu al 100%

benvenuto · 27-12-2009, 15:49

Informazioni di premessa:

Antivirus di serie: AVG 8.5
Firewall di serie: Zone Alarm
Software particolari: Emule plus e Skype
Aggiornamenti automatici windows attivati

Problema:

Di tanto in tanto (ciclicamente ogni 3 minuti), la cpu mi parte al 100%, con inevitabile rallentamento alle prestazioni. Consultando il task manager mi trovo che il file svchost.exe mi occupa gran parte della ram, e l'altra parte (per il raggiungimento del fatidico 100%) è occupato dal file vsmon.exe (processo di monitoraggio di ZA)

Come mi sono comportato:
scansioni attraverso vari sw: AVG (eliminato un po' di sporcizia), Spybot search&destroy (mi ha trovato il PC pulito), ccleaner (un po' di sporcizia anche qui), highjackthis (un elemento in O17 strano---->fixato), Malware bytes antimalware (2 trojan scoperti e subito dopo eliminati).

Risultato: ho pulito il Pc, ma nulla di più, il problema resta

Ancora: ho cominciato a googlare, e ho letto da varie parti che svchost.exe nn dovrebbe aver bisogno di comunicare con l'esterno, quindi gli ho bloccato l'accesso a internet (risultato: nn navigo più, nn leggo la posta con outlook, skype ed emule nn funzionano, quindi da me svchost deve avere l'accesso ad internet, problema o solo un eccezione?).
Ho analizzato la parte log di ZA perchè come ho detto metà cpu è di svchost e l'altra è di vsmon, perchè svchost tenta di comunicare con l'esterno, e vsmon glielo impedisce.
In particolare svchost (e anche winlogon.exe) tenta di INVIARE dati al DNS sohumx1.sohu.com e sohumx2.sohu.com, o cmq per la maggior parte a dns con suffissi sohu.com (in google nn ho trovato info. su questo DNS), IP: 61.135.132.110 porta 25. Mentre i dati in entrata (più rari) provengono da dns e ip risalenti a telecom italia (avendo connessione alice non mi sembra abbastanza ovvio).

Ah, mi sono dimenticato di dire che i file mi sembrano al loro posto (windows/system32)

Non so più che cosa fare, AIUTATEMI VI PREGO

wjmat · 28-12-2009, 00:29

Ciao

segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione
qui trovi ulteriori dettagli e consigli per una corretta esecuzione della procedura

link caricamento log generici ► fileqube.com ■ wikisend.com
link caricamento immagini ► fileqube.com ■ picoodle.com ■ imageshack.us

benvenuto · 30-12-2009, 16:39

Ok, ho seguito pian piano la procedura, ecco i LOGS:
http://www.megaupload.com/?d=NNAQSCM0

Una volta fatto la scansione con HiJackThis, sono passato alla scansione con il programma dopo, Gmer, l'ho provato più volte, ma inutilmente perchè mi bloccava il pc. L'unica soluzione era resettare.....
A quel punto sono andato a vedere se c'era qualche miglioria nel sistema: quindi sono andato a vedere i log d'accesso di ZA e mi sono accorto che il problema ora nn era più svchost.exe, ma l'ip alla quale si cercava di accedere (85.37.17.6:53) partiva ora dal file winlogon.exe.

A questo punto ho ricominciato la procedura, stavolta mbam ha dato esito nullo (PC pulito), ecco gli altri log:
http://www.megaupload.com/?d=FZEZOG7R

Il problema di winlogon.exe che cerca di connettersi a 85.37.17.6:53 rimane.

Due tre domande:
-questi files solo da me devono aver accesso a internet per potere navigare con internet?
-mi sono accorto che ora non riesco più a mandare le mail, le ricevo ma non riesco a mandarle
-ora posso a risistemare i DNS che avevo prima del settaggio vostro?

Grazie mille e buon capodanno a tutti

PS. Ogni volta che avvio il computer, facendo una scasione con highjackthis mi viene fuori questo oggetto sospetto in 017: O17 - HKLM\System\CCS\Services\Tcpip\..\{CDC0495D-DE57-4155-93FF-DAF28C6EEBE8}: NameServer = 85.37.17.6 85.38.28.89

Rinnovati auguri di buon 2010

benvenuto · 02-01-2010, 23:06

Allora? Non riesco più a mandare email, e il solito problema rimane con highjackthis, per quante volte io mi metta a fixarlo. Che devo fare?

**Chill-Out** · 04-01-2010, 11:28

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

benvenuto · 04-01-2010, 12:03

Allora, ci provo....

Malwarebytes Anti-Malware =>

Codice:

Malwarebytes' Anti-Malware 1.42
Versione del database: 3441
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28/12/2009 12.21.58
mbam-log-2009-12-28 (12-21-58).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 195087
Tempo trascorso: 2 hour(s), 14 minute(s), 4 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

A-Squared Free v4.x => http://wikisend.com/download/447170/...229-203445.txt

F-Secure OnLine => http://wikisend.com/download/605756/fsecure.txt

Dr.Web CureIT => http://wikisend.com/download/471538/cureit filtrato.txt

ESET SysInspector => http://wikisend.com/download/523914/...91230-1603.xml

HiJackThis => http://wikisend.com/download/616846/hijackthis2.log

Gmer => l'ho provato più volte, ma inutilmente perchè mi bloccava il pc. L'unica soluzione era resettare.....

Prevx 3.0 => http://wikisend.com/download/596896/prevx30logscan.log

In teoria dovrei aver fatto giusto, ditemi subito se ho sbagliato qualcosa....Almeno so cosa, e se posso andare alla procedura di pulizia post-disinfezione o cos'altro devo fare....

benvenuto · 04-01-2010, 21:36

Chill-Out, xcdegasp, cos'ho sbagliato stavolta? O il mio problema è banale, e nessuno me lo dice, oppure il mio è un grande problema, e nessuno riesce a risolverlo....

**Chill-Out** · 05-01-2010, 09:30

Ciao, con il Browser chiudo esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca asx delle sottoindicate voci e clicca su Fix checked

Quote:

F3 - REG:win.ini: load=C:\DOCUME~1\ADMINI~1\DATIAP~1\mqtgsvc.exe
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Mstsc] C:\WINDOWS\System32\drivers\mstsc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Mstsc] C:\WINDOWS\System32\drivers\mstsc.exe /waitservice (User 'Default user')
O16 - DPF: {22492231-AEF0-49FC-9180-CE8969AB1273} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/...fslauncher.cab
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) -
O16 - DPF: {4819DFDF-ABC4-488C-A323-919848C51175} (Conviva LivePass) -

per il resto non emerge nulla.

benvenuto · 10-01-2010, 21:18

Mah, comunque ho sistemato. Alla fine ho fatto una bella formattazione, e così mi sono anche ripulito e ben sistemato.

Ne approfitto per fare questa domanda: rimarrebbe il problema del non invio delle mail, mi spiego meglio, uso outlook express, ho la mail di tiscali, e mi collego a internet usando Alice ADSL. Ho puntato le configurazioni così:
posta in entrata: pop.tiscali.it (porta 25)
posta in uscita: out.alice.it (porta 110).

Ebbene: le mail le ricevo, ma non riesco a inviarle:
Impossibile connettersi al server. Account: 'pop.tiscali.it', Server: 'out.alice.it', Protocollo: SMTP, Porta: 25, Protezione (SSL): No, Errore socket: 10060, Numero di errore: 0x800CCC0E

L'errore rimane sia con l'autenticazione che no, sia con antivirus attivato che no. (Il Firewall lo devo ancora installare)

**Chill-Out** · 10-01-2010, 21:21

Quote:

Originariamente inviato da benvenuto

Mah, comunque ho sistemato. Alla fine ho fatto una bella formattazione, e così mi sono anche ripulito e ben sistemato.

Ne approfitto per fare questa domanda: rimarrebbe il problema del non invio delle mail, mi spiego meglio, uso outlook express, ho la mail di tiscali, e mi collego a internet usando Alice ADSL. Ho puntato le configurazioni così:
posta in entrata: pop.tiscali.it (porta 25)
posta in uscita: out.alice.it (porta 110).

Ebbene: le mail le ricevo, ma non riesco a inviarle:
Impossibile connettersi al server. Account: 'pop.tiscali.it', Server: 'out.alice.it', Protocollo: SMTP, Porta: 25, Protezione (SSL): No, Errore socket: 10060, Numero di errore: 0x800CCC0E

L'errore rimane sia con l'autenticazione che no, sia con antivirus attivato che no. (Il Firewall lo devo ancora installare)

Chiedi in sezione Networking

27-12-2009, 15:49	#1
benvenuto Junior Member Iscritto dal: Jun 2005 Città: padova Messaggi: 11	[WinXP SP3] svchost e cpu al 100% Informazioni di premessa: Antivirus di serie: AVG 8.5 Firewall di serie: Zone Alarm Software particolari: Emule plus e Skype Aggiornamenti automatici windows attivati Problema: Di tanto in tanto (ciclicamente ogni 3 minuti), la cpu mi parte al 100%, con inevitabile rallentamento alle prestazioni. Consultando il task manager mi trovo che il file svchost.exe mi occupa gran parte della ram, e l'altra parte (per il raggiungimento del fatidico 100%) è occupato dal file vsmon.exe (processo di monitoraggio di ZA) Come mi sono comportato: scansioni attraverso vari sw: AVG (eliminato un po' di sporcizia), Spybot search&destroy (mi ha trovato il PC pulito), ccleaner (un po' di sporcizia anche qui), highjackthis (un elemento in O17 strano---->fixato), Malware bytes antimalware (2 trojan scoperti e subito dopo eliminati). Risultato: ho pulito il Pc, ma nulla di più, il problema resta Ancora: ho cominciato a googlare, e ho letto da varie parti che svchost.exe nn dovrebbe aver bisogno di comunicare con l'esterno, quindi gli ho bloccato l'accesso a internet (risultato: nn navigo più, nn leggo la posta con outlook, skype ed emule nn funzionano, quindi da me svchost deve avere l'accesso ad internet, problema o solo un eccezione?). Ho analizzato la parte log di ZA perchè come ho detto metà cpu è di svchost e l'altra è di vsmon, perchè svchost tenta di comunicare con l'esterno, e vsmon glielo impedisce. In particolare svchost (e anche winlogon.exe) tenta di INVIARE dati al DNS sohumx1.sohu.com e sohumx2.sohu.com, o cmq per la maggior parte a dns con suffissi sohu.com (in google nn ho trovato info. su questo DNS), IP: 61.135.132.110 porta 25. Mentre i dati in entrata (più rari) provengono da dns e ip risalenti a telecom italia (avendo connessione alice non mi sembra abbastanza ovvio). Ah, mi sono dimenticato di dire che i file mi sembrano al loro posto (windows/system32) Non so più che cosa fare, AIUTATEMI VI PREGO

28-12-2009, 00:29	#2
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Ciao segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione qui trovi ulteriori dettagli e consigli per una corretta esecuzione della procedura link caricamento log generici ► fileqube.com ■ wikisend.com link caricamento immagini ► fileqube.com ■ picoodle.com ■ imageshack.us __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

30-12-2009, 16:39	#3
benvenuto Junior Member Iscritto dal: Jun 2005 Città: padova Messaggi: 11	Ok, ho seguito pian piano la procedura, ecco i LOGS: http://www.megaupload.com/?d=NNAQSCM0 Una volta fatto la scansione con HiJackThis, sono passato alla scansione con il programma dopo, Gmer, l'ho provato più volte, ma inutilmente perchè mi bloccava il pc. L'unica soluzione era resettare..... A quel punto sono andato a vedere se c'era qualche miglioria nel sistema: quindi sono andato a vedere i log d'accesso di ZA e mi sono accorto che il problema ora nn era più svchost.exe, ma l'ip alla quale si cercava di accedere (85.37.17.6:53) partiva ora dal file winlogon.exe. A questo punto ho ricominciato la procedura, stavolta mbam ha dato esito nullo (PC pulito), ecco gli altri log: http://www.megaupload.com/?d=FZEZOG7R Il problema di winlogon.exe che cerca di connettersi a 85.37.17.6:53 rimane. Due tre domande: -questi files solo da me devono aver accesso a internet per potere navigare con internet? -mi sono accorto che ora non riesco più a mandare le mail, le ricevo ma non riesco a mandarle -ora posso a risistemare i DNS che avevo prima del settaggio vostro? Grazie mille e buon capodanno a tutti PS. Ogni volta che avvio il computer, facendo una scasione con highjackthis mi viene fuori questo oggetto sospetto in 017: O17 - HKLM\System\CCS\Services\Tcpip\..\{CDC0495D-DE57-4155-93FF-DAF28C6EEBE8}: NameServer = 85.37.17.6 85.38.28.89 Rinnovati auguri di buon 2010 Ultima modifica di benvenuto : 01-01-2010 alle 22:36. Motivo: Aggiornamento status del virus/malware/quello-che-è

04-01-2010, 11:28	#5
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Modalità di pubblicazione dei log: Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

02-01-2010, 23:06	#4
benvenuto Junior Member Iscritto dal: Jun 2005 Città: padova Messaggi: 11	Allora? Non riesco più a mandare email, e il solito problema rimane con highjackthis, per quante volte io mi metta a fixarlo. Che devo fare?

04-01-2010, 21:36	#7
benvenuto Junior Member Iscritto dal: Jun 2005 Città: padova Messaggi: 11	Chill-Out, xcdegasp, cos'ho sbagliato stavolta? O il mio problema è banale, e nessuno me lo dice, oppure il mio è un grande problema, e nessuno riesce a risolverlo....

10-01-2010, 21:18	#9
benvenuto Junior Member Iscritto dal: Jun 2005 Città: padova Messaggi: 11	Mah, comunque ho sistemato. Alla fine ho fatto una bella formattazione, e così mi sono anche ripulito e ben sistemato. Ne approfitto per fare questa domanda: rimarrebbe il problema del non invio delle mail, mi spiego meglio, uso outlook express, ho la mail di tiscali, e mi collego a internet usando Alice ADSL. Ho puntato le configurazioni così: posta in entrata: pop.tiscali.it (porta 25) posta in uscita: out.alice.it (porta 110). Ebbene: le mail le ricevo, ma non riesco a inviarle: Impossibile connettersi al server. Account: 'pop.tiscali.it', Server: 'out.alice.it', Protocollo: SMTP, Porta: 25, Protezione (SSL): No, Errore socket: 10060, Numero di errore: 0x800CCC0E L'errore rimane sia con l'autenticazione che no, sia con antivirus attivato che no. (Il Firewall lo devo ancora installare)

Strumenti
Mostra una versione stampabile Invia questa pagina per email