svchost.exe cpu 100% dopo essermi connesso a internet!

[ibra28]

salve ragazzi!sono nuovo del forum,,,o tentato di cercare tra i vari post,su tutti i siti possibili(anche esteri)la soluzione al mio problema..ma pare che non ci sia verso di risolvere nulla....ho windows xp professional SP2

Dunque:appena mi connetto a internet,,diciamo circa 3/4 minuti dopo essere connesso,la cpu va al 100% e svchost ne usa il 99%(è il svchost con due "service":dcomLaunch e TermService) ho fatto scansioni malware e antivirus sia online che con software installati,ma sono stati rivelati alcuni virus che però dopo essere stati cancellati non si è risolta la situazione...
a quanto pare è qualcos'altro che mi impedisce di risolvere ciò,vi posto ed allego il .log di hijackthis fatto in modalità provvisoria:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.ro
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.ro
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.ro
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.ro
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.ro
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = >>> 'Full Speed' Enabled <<<
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Programmi\BitComet\tools\BitCometBHO_1.3.7.16.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - D:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [snp2std] D:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nwiz] D:\Programmi\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [GAINWARD] D:\Programmi\EXPERTool\TBPanel.exe /A
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: updugt32.exe
O8 - Extra context menu item: &Clean Traces - D:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica tutti i video usando BitComet - res://D:\Programmi\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Scarica tutto usando BitComet - res://D:\Programmi\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Scarica usando &BitComet - res://D:\Programmi\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MIC273~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - D:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - D:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - D:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - D:\Programmi\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - D:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: UI Assistant Service - Unknown owner - D:\Programmi\ZTE Join Air\AssistantServices.exe

[live_killers]

Eppure deve per forza trattarsi di un bel "virussino"

che software antivirus hai usato per fare la scansione? hai fatto dalla modalità provvisoria vero?

un ottimo antimalware è malwarebyte!!! prova con quello... oppure anche adaware!!! come antivirus potrei consigliarti di usare antivir-avira.

hai detto di aver trovato ed eliminato dei virus ma il problema non è stato risolto... come si chiamavano le minacce che hai rimosso?? magari non basta eliminarli usando il software antivirus... bisognerà andare manualmente ad eliminare eventuali chiavi di registro e finchè non le elimini ad ogni riavvio il problema si ripresenta!! (ipotizzo...)

poi oh .. l'ultima spiaggia è sempre il caro e vecchio formattino!!!

[Styb]

Controlla updugt32.exe e casomai rimuovi l'avvio dallo startup.
Prova a disattivare il servizio AssistantServices.exe.

[ibra28]

uso avira antivirus e SUPERantyspyware come antimalware...o tolto con hijackthis anche ugt.exe startup...pare che dai THREADS sia kernel32dll!CreateThread+0x27 a occupare tutta questa CPU...dopo che metto KILL la cpu torna normale...e al riavvio il problema si ripresenta puntualmente..inoltre ho anche cancella to o rinominato kernel32 per vedere cosa succede,,,a quanto pare si ricrea automaticamente dopo essermi connesso a iternet...Ho notato che Avira mi da al riavvio Profile not found,o quacosa simile..sto pensando che sia prorprio l'antivirus il problema,,,ma ho anche impedito di attivarsi al riavvio del pc...la cpu va sempre al 100%...non so più che pesci pigliare...

[tallines]

Quote:

Originariamente inviato da ibra28

salve ragazzi!sono nuovo del forum,,,o tentato di cercare tra i vari post,su tutti i siti possibili(anche esteri)la soluzione al mio problema..ma pare che non ci sia verso di risolvere nulla....ho windows xp professional SP2

Le voci strane sembrano essere queste:


O4 - Startup: updugt32.exe

O23 - Service: UI Assistant Service - Unknown owner - D:\Programmi\ZTE Join Air\AssistantServices.exe

Dai il comando sfc /scannow dalla finestra Start/Esegui che prevede l'inserimento del cd originale del SO.

Poi lancia Combofix.

Lo dowloadi sul desktop, disattivi Ripristino configurazione di sistema e lo lanci da modalità provvisoria (chiaramente scollegato da internet) .

Disattiva il tuo antivirus in quanto è meglio per i risultati dello scan stesso.
Combofix vedrai che ti dirà che ha individuato la presenza del tuo antivirus (anche se lo disattivi, in quanto ti individua l'icona sul desktop): dagli ok e continua.
Lui stesso prima dello scan crea un punto di ripristino ed effettua un backup del registro di sistema .

Poi ti chiederà se vuoi installare la console di ripristino (se non ce l'hai già) : digli di no, tanto non serve


Alla fine dello scan creerà due file di report:

- Combofix che trovi in C

- Combofix-quarantined-files che trovi in C/Qoobox (Qoobox e la cartella che crea Combofix stesso alla fine dello scan, prima del report) .


Postali su www.wikisend.com


PS: Combofix funziona solo su SO a 32 bit.

Per vedere se il tuo SO è a 32 bit o a 64 basta aprire la scheda “Proprietà del sistema”, Risorse del computer/tasto dx del mouse/Proprietà, o per farlo più velocemente scrivi nella finestra Start/esegui il comando sysdm.cpl + Ok .

All’inizio della scheda Generale, alla voce Sistema, se c’è scritto :

Microsoft Windows XP Professional Versione – anno - , significa che il SO è a 32 bit

Se hai scritto:

Microsoft Windows Xp Professional X64 Versione - anno - il SO è a 64 bit .


Guida di Combofix :

http://www.bleepingcomputer.com/comb...usare-combofix

Download diretto :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

[tallines]

Ho notato anche che hai troppe toolbar, almeno: yahoo, IE, BitComet......

Sarebbe meglio non averle.

Prima di disinstallarle, se vuoi disinstallarle, vediamo cosa dice Combofix

Altro consiglio per il pc: meglio usare Firefox rispetto a IE per svariati motivi sempre di sicurezza e stabilità, poi.......

[ibra28]

http://wikisend.com/download/542650/ComboFix.txt

a quanto pare la cpu non va più al 100%..per adesso...quel programa mi ha praticamente riparato il registro sistema?

[ibra28]

Problema risolto,Grazie a tut ti ragazzi!

[tallines]

Quote:

Originariamente inviato da ibra28

http://wikisend.com/download/542650/ComboFix.txt

quel programa mi ha praticamente riparato il registro sistema?

Diciamo che ti ha liberato il pc da tante costrizioni se parli di Combofix.

Guardando il file di report solo alla voce altre eliminazioni.....ha fatto man bassa eh .

Però non hai postato il file di report di Combofix-quarantined-files che trovi in C/Qoobox .

Se lo potessi postare

Ciao