Processi DcomLaunch/TermService e CPU al 50% appena mi collego a Internet

[eugenio]

Ciao a tutti,
ho un problema di occupazione CPU del processo svchost.exe, in particolare (lo vedo attraverso il prgramma svchost viewer) l'svchost incriminato corrisponde ai servizi DcomLaunch, TermService.
Il problema non si presenta a pc appena avviato *se* non sono collegato a internet; non appena attivo la wi fi il processo in questione va al 50% di occupazione CPU e ci rimane; a questo punto anche scollegandomi da Internet il processo rimane sempre a circa 50%.

Il PC e' un MSI Wind acquistato l'anno scorso; win xp home SP3, antivirus trendmicro con firewall attivato, firewall di windows disattivato, aggiornamenti di windows attivati.

Mi sembra che il problema sia nato negli ultimi giorni ma non ne sono sicuro, notavo rallentamenti da tempo ma davo sempre la colpa al fatto di avere decine di tab aperte in chrome.
Negli ultimi giorni le attivita' particolari che ho svolto sono state:
- disinstallazione di Office
- installazione di abletone live trial
- disinstallazione di qualche programma che non usavo da tempo (Toad for Oracle e forse qualcun altro che non ricordo)
- cancellazione di tantissimi log di trenmicro per fare spazio su disco
- utilizzo frequente di Internet Explorer (normalmente uso chrome)

Ho provato a far girare lo strumento di rimozione malware di ms (solo scan veloce) e non e' stato rilevato nulla, stanotte ho fatto una scansione completa con trendmicro e da quanto vedo dal registro mi ha disinfettato diverse cavalli di troia e messo in quarantena diversi file (questi erano tutti file arrivati in allegato che non ho aperto).

Mi date una mano?

Grazie

Eugenio

[eugenio]

Dopo smanettamenti vari con hijackthis e dopo aver inviato il log al sito hijackthis.de credo che il problema sia dovuto a ALGQEH32.EXE, un processo sconosciuto che parrebeb essere un virus.
Su google non ho trovato moltissimo a riguardo...questo sito
Remove ALGQEH32.EXE ( Removal Process ) | SpywareRemovalBlog.com
sembra avere un tool per la rimozione ma....c'e' da fidarsi?

Anche questa discussione e' interessante:
http://forums.whirlpool.net.au/forum...m/1331077.html
io pero' a differenze dall'autore del post nella cartella windows\pss ho solo i file system.ini.backyup e win.ini.bakcup

Grazie.

[tonyqui]

Ho avuto lo stesso problema ed ora sembra essersi risolto.
Ho seguito una guida su un forum che spiegava come assegnare i servizi DcomLaunch, TermService a due processi svchost distinti.
La guida era finalizzata a capire quale dei due servizi desse più fastidio, e nel mio caso, era il servizio DcomLaunch.
Tra l'altro, tramite il software processexplorer avevo visto che in realtà, il processo WMI, necessario a windows, di tanto in tanto si manifestava in maniera prepotenet (si prendeva un intero core per l'esecuzione).
Per disperazione ho scaricato kaspersky virus removal too 2010 ed ha trovato una backdoor in un file denominato siszyd32.exe che veniva eseguita a tutte le esecuzioni nonostante aver utlizzato HijackThis diverse volte per rimuoverlo.
Morale della favola: tolta questa backdoor il sistema è tornato a funzionare correttamente.
Non mi sembra collegato a questo episodio, ma segnalo anche un episodio avvenuto qualche ora prima della definitiva pulizia del sistema. All'atto dell'accensione del pc, ho dovuto ripristinare anche l'mbr.

Da quanto ho potuto capire, avendo il sp3, il mio problema non era legato per niente agli aggiornamenti automatici (problema risolto appunto dopo l'introduzione del sp3) ma ad un virus, che tra l'altro non è stato riconosciuto da nod32.

[eugenio]

Quote:

Originariamente inviato da tonyqui

Ho avuto lo stesso problema ed ora sembra essersi risolto.
Ho seguito una guida su un forum che spiegava come assegnare i servizi DcomLaunch, TermService a due processi svchost distinti.
La guida era finalizzata a capire quale dei due servizi desse più fastidio, e nel mio caso, era il servizio DcomLaunch.
Tra l'altro, tramite il software processexplorer avevo visto che in realtà, il processo WMI, necessario a windows, di tanto in tanto si manifestava in maniera prepotenet (si prendeva un intero core per l'esecuzione).
Per disperazione ho scaricato kaspersky virus removal too 2010 ed ha trovato una backdoor in un file denominato siszyd32.exe che veniva eseguita a tutte le esecuzioni nonostante aver utlizzato HijackThis diverse volte per rimuoverlo.
Morale della favola: tolta questa backdoor il sistema è tornato a funzionare correttamente.
Non mi sembra collegato a questo episodio, ma segnalo anche un episodio avvenuto qualche ora prima della definitiva pulizia del sistema. All'atto dell'accensione del pc, ho dovuto ripristinare anche l'mbr.

Da quanto ho potuto capire, avendo il sp3, il mio problema non era legato per niente agli aggiornamenti automatici (problema risolto appunto dopo l'introduzione del sp3) ma ad un virus, che tra l'altro non è stato riconosciuto da nod32.

Ciao, grazie per le informazioni. Avevo risolto anch'io, anche nel mio caso si trattava di un virus, che trendmicro non aveva individuato (in realta' pochissimi siti ne parlavano credo fosse appena "nato")..cancellando un file exe di cui non ricordo il nome anche per me tutto si e' sistemato.

Grazie ancora.

Ciao.

E.

[tonyqui]

Aggiornamento del giorno dopo, utile soprattutto per i posteri. Il prolema non si era ancora risolto completamente, infatti al successivo riavvio il problema era nuovamente presente.

Da un forum ho letto la seguente notizia, che non ho potuto confermare in altro modo, ma nel mio caso potrebbe essere vera:

Quote:

The Sun Java jre1.6.0_02 and Adobe Acrobat 8.0 are way downlevel and very vulnerable to attack.

Ho utilizzato questa volta un altro programma chiamato Super Anti Spyware (free edition) che ha rilevato il problema e risolto almeno in apparenza. Per una conferma definitiva ci vorrebbe un riavvio.
Resta il fatto che mi ha rilevato la seguente infezione:

Quote:

Trojan.Agent/Gen
C:\DOCUMENTS AND SETTINGS\ANTONIO\MENU AVVIO\PROGRAMMI\ESECUZIONE AUTOMATICA\SISZYD32.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1EBB2296-5ABA-4CB3-9783-D52E6437CA09}\RP1663\A0081221.EXE

Rogue.Agent/Gen-Nullo[EXE]
C:\WINDOWS\SYSVXD.EXE

Potrebbe essere un modo per rendervi conto se siete stati infettati o meno.
Removal tool appositi non li ho trovati, soprattutto perchè è abbastanza nuovo (la notizia più vecchia che ho trovato a riguardo risale a fine novembre 2009).
Posterò eventuali aggiornamenti a riguardo.

[tonyqui]

Tutto risolto, probabilmente era una falla in una vecchia versione di abobe professional, da quando l'ho disinstallato il problema non si presenta più.