Intenso utilizzo CPU inspiegabile, "hardware interrupts" e "services.exe" [WinXP]

[killerisme]

Il mio portatile subisce drastici rallentamenti da qualche tempo, con l'utilizzo della CPU che sale a picchi molto alti, improvvisamente e senza apparente motivo.
Il tutto procede a scatti piuttosto frequenti, con la temperatura che sale e la ventola che passa più tempo a lavorare che a riposare.
Monitorando la situazione con Process Explorer mi sono accorto che questi eventi accadono sempre in concomitanza con l'aumento della percentuale di utilizzo CPU da parte del processo SERVICES.EXE (a volte bassa, altre fino al 100%), questo succede in continuazione.
Nel peggiore dei casi, la connessione diviene inutilizzabile fino al riavvio del pc... e in questo caso una grossa fetta di % viene assegnata alla voce HARDWARE INTERRUPTS.
Vi posto uno screenshot del momento critico.



Ho seguito la guida e eseguito un primo scan con Malwarebytes.

Ecco il log:
mbam-log-2010-02-24 (23-54-43).txt

Premesso che ho già riparato tutti i 4 elementi del registro infetti ma non è cambiato nulla, volevo il vostro parere su alcune strane coincidenze realative ai file infetti.

Si tratta sempre del file UNWISE.EXE, ma la coincidenza sta nel fatto che si trovano solo in cartelle relative a plugin e software musicali che uso per lavoro, e mi chiedo come sia possibile dato che non sono pochi?
Il mio dubbio nasce anche dal fatto che in questa categoria di software esistono numerosi falsi positivi ben noti sulla rete.
Però, incuriosito, sono andato a controllare questi file: tutti pesano esattamente 331 Kb, e tutti sono stati modificati domenica 24 agosto 2003 alle 21.05 ...non penso che questa possa essere solo una coincidenza!!!
Cosa mi consigliate? Li cancello tutti?

[killerisme]

Volevo segnalarvi un'altra cosa strana. Verso la fine della scansione stavo seguendo i nomi dei file che avanzavano in ordine alfabetico...dopo la cartella C:\windows\eccetera non dovrebbe esserci più niente, in teoria.
E invece a colpo d'occhio ho notato per una frazione di secondo la presenza di un'ultimo file C:\Zolander\Polanda\box.exe

Questa cartella è invisibile, nonostante di default io abbia sempre visibili tutti i file e cartelle nascosti e di sistema.
Infatti, provare a creare la cartella omonima in C: è impossibile in quanto già esistente. Digitando sulla barra degli indirizzi il nome della cartella, sono riuscito ad accedere, e cliccando su proprietà, oltre a confermare che contiene un solo file creato il 3 dicembre 2009 da 4kb, sugli attributi della cartella c'è il simbolo di spunta su "sola lettura" e su "nascosto", e quest'ultimo è impossibile da togliere.
Entrando anche nella cartella Polanda, al posto di trovare il file, mi ritrovo esattamente nel CESTINO !!!
Infatti sopra appare l'icona relativa e posso visualizzarne tutto il contenuto, pur trovandomi nella cartella C:\Zolander\Polanda

Sono molto confuso......

[Chill-Out]

Se desideri fare un contrllo approfondito segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[killerisme]

Avira AntiVir: AVSCAN-20100301-180152-4130F3A4.LOG - (aggiornato 01/03/10)

Malwarebytes Anti-Malware: mbam-log-2010-03-02 (02-02-52).txt - (aggiornato 02/03/10)

A-Squared Free: a2scan_100226-124451.txt

F-Secure OnLine: fsecure.txt

Dr.Web CureIT: cureit filtrato.txt - (aggiornato 02/03/10)

ESET SysInspector: SysInspector-ALEX-100226-1626.xml

HiJackThis: hijackthis.log - (aggiornato 02/03/10)

Gmer: gmer.log
Questo programma mi ha dato parecchi problemi perchè rendeva il sistema molto instabile. Le prime due scansioni sono terminate senza nessun elemento evidenziato in rosso, anche se non ho potuto salvare il log a causa di schermate blu varie. L'ultima scansione che vi ho postato aveva un solo elemento rosso, vale a dire questa

Service C:\WINDOWS\system32\Drivers\PROCEXP113.SYS (*** hidden *** ) [MANUAL] PROCEXP113 <-- ROOTKIT !!!

Però sono stato io a lanciare ProceXP mentre il programma stava effettuando la scansione.

Prevx 3.0: prevx.log

[killerisme]

Oggi ho notato che Prevx aveva individuato 5 nuove infezioni che nella scansione di ieri non c'erano...



Ecco il nuovo log: prevx2.log

Il programma non le rimuove senza licenza, cosa mi consigliate di fare?
Grazie a tutti!

[killerisme]

Sono riuscito a completare anche la scansione online con F-secure.

Ho editato il post iniziale aggiungendo il log, non so se ho fatto bene o avrei dovuto postarlo di seguito per rispettare la cronologia? Meglio che aggiorno le eventuali varie scansioni nel primo post oppure fare ogni volta un post nuovo?

Non ho rimosso tutti i virus che ha rilevato, perchè sospetto falsi positivi.
Mi consigliate di cancellarli comunque oppure di aspettare?

[Chill-Out]

- Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

Quote:

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (file missing)
O23 - Service: FHHOKMZHR - Unknown owner - C:\DOCUME~1\Ale\IMPOST~1\Temp\FHHOKMZHR.exe (file missing)

- Apri MBAM -> TAB di Log - ed allega l'ultimo log in ordine di tempo

- Riallega il log di DrWeb CureIt non è completo

NB: devi necessariamente aggiornare il SO al SP3 e IE alla versione 8, inoltre la versione di AVG in uso è obsoleta.

[killerisme]

Ho fixato i problemi che mi hai indicato.

Ho rifatto gli scan con Malwarebytes e Dr.Web CureIt e li ho aggiornati sopra.

Ho installato il Service Pack 3 di XP, e l'ultima versione di Internet Explorer.

Ho disinstallato AVG e installato Avira AntiVir, come suggerito nella guida.

Intanto grazie mille per l'aiuto! Attendo notizie!

[Chill-Out]

Quote:

Originariamente inviato da killerisme

Ho fixato i problemi che mi hai indicato.

Ho rifatto gli scan con Malwarebytes e Dr.Web CureIt e li ho aggiornati sopra.

Ho installato il Service Pack 3 di XP, e l'ultima versione di Internet Explorer.

Ho disinstallato AVG e installato Avira AntiVir, come suggerito nella guida.

Intanto grazie mille per l'aiuto! Attendo notizie!

Dal log di CureIt

Quote:

Master Boot Record HDD1 infettato da BackDoor.MaosBoot.35

adesso allega nuovo log di HJT + log di una scansione completa con Avira

[killerisme]

aggiornate sopra!!!!

[Chill-Out]

Quote:

Originariamente inviato da killerisme

aggiornate sopra!!!!

Con il Browser chiuso fixa

Quote:

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

successivamente configura Antivir esattamente come indicato in Guida, per il resto siamo ok.

[killerisme]

Grazie mille Chill-Out sei stato gentilissimo!
Ora il pc non ha più problemi evidenti...

Mi rimane solo un ultimo problema legato al fatto che vorrei cancellare del tutto il file C:\Zolander\Polanda\desktop.ini e le relative cartelle... hai qualche consiglio su come fare?

E per le 5 minacce che mi ha rilevato Prevx mi devo preoccupare?

[Chill-Out]

http://support.microsoft.com/kb/330132/it

[Dom77]

premetto che ho già controllato con malwarebytes anti-malware (che non ha rilevato stranezze), ed ho già controllato con hjack (il quale rilevava solo sta cosa "R3 - URLSearchHook: (no name) - *{ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)" che ho già provveduto a rimuovere dal registro...).

poi ho fatto una bella pulizia con ccleaner.

il fatto è che ogni qualvolta accendo il pc anche senza far nulla mi si pianta la cpu fissa al 50%-56% di utilizzo, e quindi quando faccio qualcosa lo trovo lento...

se riavvio, subito o anche dopo 2 ore, poi tutto funge benissimo, la cpu appena caricato win si stabilizza al 2% di utilizzo...

qualcuno mi sa dire se un qualche virus può operare solo al 1°avvio?

[Dom77]

Quote:

Originariamente inviato da Dom77

premetto che ho già controllato con malwarebytes anti-malware (che non ha rilevato stranezze), ed ho già controllato con hjack (il quale rilevava solo sta cosa "R3 - URLSearchHook: (no name) - *{ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)" che ho già provveduto a rimuovere dal registro...).

poi ho fatto una bella pulizia con ccleaner.

il fatto è che ogni qualvolta accendo il pc anche senza far nulla mi si pianta la cpu fissa al 50%-56% di utilizzo, e quindi quando faccio qualcosa lo trovo lento...

se riavvio, subito o anche dopo 2 ore, poi tutto funge benissimo, la cpu appena caricato win si stabilizza al 2% di utilizzo...

qualcuno mi sa dire se un qualche virus può operare solo al 1°avvio?

....

per i più smaliziati, invito a leggere quanto avevo riportato qui:
http://hwupgrade.it/forum/showpost.p...postcount=2250

così si capisce meglio la problematica...spero...

aggiungo inoltre che in rete son sicurissimo di non aver mai cercato cose strane, frequento sempre gli stessi siti da tempo, leggo la webmail, e guardo qualche video in rai replay..per il resto non inserisco mai e poi mai chiavette ne cd/dvd di altre persone. solo chiavette mie personali che uso nel pc a casa o in quello al lavoro (blindato con kis ed esente da infezioni)....

sul pc con questo fastidioso problema ho avg 8.5 aggiornato...

non riesco proprio a capire se il problema è software od hardware...l'unica cosa che ho fatto da 2 settimane è la sostituzione della sk madre, seguendo una procedura trovata qui per non dover reinstallare win xp pro sp3 o non ritrovarmi simpatiche schermate blu...però guardacaso il problema si sta presentando solo dopo qualche giorno da quella sostituzione...

potrebbe essere un conflitto con i vecchi driver della sk madre precedente? però ho pulito tutto con ccleaner...

potrebbe dipendere dal fatto che ho passato circa 2 mesi con crash di sistema, errori gravi, e frequenti riavvii per far andare windows normalmente a causa della vecchia sk madre guasta (alcuni elettrolitici gonfi...)?

[Dom77]

ho appena controllato il task qui sul vecchio pc al lavoro, e il system si ciuccia appena 248 KB di ram (win xp pro sp3 con athlon xp2400+ e 1,5Gb di ram)

quindi probabile che sul mio a casa (intel p4 2 Ghz con 1 Gb di ram, stesso s.o.) il problema son i 112.180 KB di ram ciucciati dal system...però la cosa è strana forte...:

al primo avvio che usa la cpu al 50% ed è lento dal task ho sto system che ciuccia 112.180 KB di memoria;

ma anche dopo che lo riavvio e la cpu sta sul 2-3% di utilizzo, il system ciuccia sempre i soliti 112.180 KB di memoria....

che devo fare per stanare il problema?

[Dom77]

oh ma ho fatto una richiesta ridicola o troppo complicata?

[Chill-Out]

Quote:

Originariamente inviato da Dom77

oh ma ho fatto una richiesta ridicola o troppo complicata?

Il problema non mi sembra legato ad una eventuale infezione, tra l'altro tu stesso affermi di aver fatto una seria di controlli che hanno dato esito negativo.

[Dom77]

Quote:

Originariamente inviato da Chill-Out

Il problema non mi sembra legato ad una eventuale infezione, tra l'altro tu stesso affermi di aver fatto una seria di controlli che hanno dato esito negativo.

grazie CHILL....
...ma come me la cavo? come scovo ed elimino sto problema alla radice e rifaccio andare degnamente sto pc?
stasera alla prima accensione la cpu stava normalmente a 2-4% di utilizzo, ma c'è sempre sto processo "system" che si succhia 112.000 KB di ram...

c'è da dire che però quando l'ho acceso son dapprima andato in modalità provvisoria a verificare quanto succhia da lì il system: succhia appena appena 108 KB di memoria....la cpu al 1-2%, ed ovviamente nessun rallentamento.

poi da lì ho riavviato, quindi di fatto è come faccio in questi ultimi giorni in cui devo riavviare almeno una volta per avere un pc decente senza rallentamenti a causa della cpu al 50% d'uso....

forse è un conflitto di driver che si scaricano riavviando?
c'è un modo per sbirciare "dentro" al processo system e capire perchè occupa 112.000 KB di ram?

[Chill-Out]

Quote:

Originariamente inviato da Dom77

grazie CHILL....
...ma come me la cavo? come scovo ed elimino sto problema alla radice e rifaccio andare degnamente sto pc?
stasera alla prima accensione la cpu stava normalmente a 2-4% di utilizzo, ma c'è sempre sto processo "system" che si succhia 112.000 KB di ram...

c'è da dire che però quando l'ho acceso son dapprima andato in modalità provvisoria a verificare quanto succhia da lì il system: succhia appena appena 108 KB di memoria....la cpu al 1-2%, ed ovviamente nessun rallentamento.

poi da lì ho riavviato, quindi di fatto è come faccio in questi ultimi giorni in cui devo riavviare almeno una volta per avere un pc decente senza rallentamenti a causa della cpu al 50% d'uso....

forse è un conflitto di driver che si scaricano riavviando?
c'è un modo per sbirciare "dentro" al processo system e capire perchè occupa 112.000 KB di ram?

http://technet.microsoft.com/en-us/s.../bb896653.aspx