All'avvio di XP services.exe occupa tutta la memoria.

TusT · 01-10-2009, 03:06

Come da topic da un po di giorni mi sono accorto che appena loggato su windows apro il task manager e il processo services.exe inizia ad occupare tutta la ram possibile, (arriva a 2 gb il massimo, ovviamente.) e appena raggiunto il massimo ritorna normale a occupare 8mb.

L'utilizzo del sistema è invariato, non crasha ne niente, gioco regolarmente a diversi giochi e non ho notato nulla di strano.

Suppongo sia un virus o qualcosa del genere, ma effettuando scansioni non mi risulta niente...

A qualcuno di voi è già capitato?
Cosa può essere? Avete qualche programma o sito da visitare per controllare il pc?
Utilizzo avast home e ho fatto una scansione con trend micro housecall online e spybot s&d, usato anche hijackthis che segna una cosa particolare :

O24 - Desktop Component 0: (no name) - (no file)

anche cancellandolo riappare alla successiva scansione.... sicuramente con questa descrizione non si capisce di cosa si tratti o dove si trovi (in caso fosse questo..)
per il resto tutte le scansioni a parte i soliti cookie e cavolatine varie non danno niente.

domattina rifaccio scansione che ora è tardi..

Edit, aggiungo avviando il teatimer di spybot mi becca un processo nascosto che va proprio sul services.exe.
..domattina ricontrollo.

aggiungo il log del teatimer di spybot.
01/10/2009 3.29.31 Encountered and terminated 2Search in C:\WINDOWS\system32\services.exe!

Aggiorno,
Decido di disabilitare anche tutti i servizi, msconfig, avvio diagnostico... clicco su ok.
carica... e addiruttura mi esce che non ho i permessi di farlo.
riavvio il pc, non accede a windows.
premo ctrl all'avvio e parto con l'ultima configurazione funzionante, accedo a windows...
fortunatamente è riuscito a disabilitarmi tutti i servizi tranne l'antivirus, ed in questo modo funziona correttamente!
per cui si tratta penso di un servizio di windows infettato o qualcosa di associato ad esso, devo provare stasera quando sono a casa a riattivare un servizio alla volta..

ezio · 01-10-2009, 18:54

Spostato.
Posta i log completi oltre le singole voci sospette come hai già fatto, seguendo queste indicazioni: REGOLE di SEZIONE - obbligatoria la lettura!!

TusT · 01-10-2009, 19:41

Grazie, dopo magari posto i log di gmer. (che sicuramente saranno piu utili)

edit, in allegato il file log generato sia da gmer che da hijckthis.
potete dargli un occhio?

grazie mille

TusT · 01-10-2009, 21:58

postati i log.

**Chill-Out** · 01-10-2009, 22:11

No log compressi, grazie.

TusT · 01-10-2009, 22:15

sistemo.

uppati su mediafire in formato .txt come da regole.

http://www.mediafire.com/?sharekey=9...779c37f0417e30

**Chill-Out** · 01-10-2009, 22:19

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt , deve essere hostato su uno dei server remoti elencati nelle Regole di sezione.

TusT · 01-10-2009, 22:35

chiedo scusa pensavo andasse bene lo stesso.
ho editato il post precedente.

Ho appena fatto una scansione online con F-secure e mi ha trovato un trojan. cancellato.
ora sto rifacendo la scansione.

**Chill-Out** · 01-10-2009, 22:51

Quote:

Originariamente inviato da TusT

chiedo scusa pensavo andasse bene lo stesso.
ho editato il post precedente.

Ho appena fatto una scansione online con F-secure e mi ha trovato un trojan. cancellato.
ora sto rifacendo la scansione.

Invece di ripetere scansione con F-Secure credo sia più opportuno seguire la Guida alla disinfezione

TusT · 01-10-2009, 23:34

sisi è quello che sto facendo passo passo

ma purtroppo niente ancora..

TusT · 02-10-2009, 19:55

qualcuno ha avuto modo di analizzare i log?
Grazie

tonycalbas · 02-10-2009, 20:34

Quote:

Originariamente inviato da TusT

aggiungo il log del teatimer di spybot.
01/10/2009 3.29.31 Encountered and terminated 2Search in C:\WINDOWS\system32\services.exe!

Provato a vedere qui? Edit

TusT · 03-10-2009, 01:27

Grandissimo ^^
Effettivamente controllando con il programma fornito anche se in versione trial ho trovato le chiavi e qualcuna faceva riferimento ad un servizio di sistema (helper ipv6) cancellato servizio e chiave di registro.
Ora finisco la scansione ed elimino le altre chiavi e riavvio.

Edit, una chiave non me la fa cancellare... provo a riavviare in modalità provvisoria

edit2

la chiave 4to6 (quella incriminata) non riesco ad elminarla, neanche in modalità provvisoria con l'utenza default admin.
Putroppo è proprio quello, poichè la ram viene ancora tutta occupata all'avvio anche se ho cancellato il servizio col comando "sc delete"
come fare?

TusT · 03-10-2009, 02:26

ecco dal log l'unica chiave rimasta che non riesco a cancellare manualmente.

Scan Report
~~~~~~~~~~~

[Object Type : Registry Key]
----------------------------
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_6TO4 - (Action to be taken : Quarantine) - belongs to "Agent.TM"

**Chill-Out** · 03-10-2009, 09:06

Quote:

Originariamente inviato da TusT

qualcuno ha avuto modo di analizzare i log?
Grazie

Se allegassi i log inerenti la Guida http://www.hwupgrade.it/forum/showpo...40&postcount=9 sarebbe meglio, in quanto i log stessi ci consentono di avere una visione di insieme dell'eventuale problema.

TusT · 05-10-2009, 00:59

uppo log aggiornati di

scan spyware (l'unico che trova il malware)
gmer
hijackthis
sysinspector

http://www.mediafire.com/?sharekey=9...779c37f0417e30

prevx non trova niente,
dr web niente.
fsecure niente
a squared ci vogliono 2 ore per la scan completa, quella veloce non segna nulla, rifaccio domani se necessario.

xcdegasp · 05-10-2009, 11:26

Quote:

Originariamente inviato da TusT

uppo log aggiornati di

scan spyware (l'unico che trova il malware)
gmer
hijackthis
sysinspector

http://www.mediafire.com/?sharekey=9...779c37f0417e30

prevx non trova niente,
dr web niente.
fsecure niente
a squared ci vogliono 2 ore per la scan completa, quella veloce non segna nulla, rifaccio domani se necessario.

nel log di gmer emerge un'infezione da backdoor anche se gmer non la segnala:

Codice:

[DISABLED] ERSvc
Service         C:\DOCUME~1\ilbeppe\IMPOST~1\Temp\esihdrv.sys

nel log HiJackThis compaiono queste voci:

Codice:

O2 - BHO: (no name) - {4DD38410-7136-4F4F-9A20-1117AE3FB1B4} - (no file)
O16 tutte queste voci
O20 - Winlogon Notify: cbXQkiJc - C:\WINDOWS\
O24 - Desktop Component 0: (no name) - (no file)

ScanSpyware trova il Vundo che è appunto confermato anche in HiJackThis..

Spostati nel thread specifico per risolvere le infezioni da Vundo:
http://www.hwupgrade.it/forum/showthread.php?t=1933875

01-10-2009, 03:06	#1
TusT Senior Member Iscritto dal: Jun 2005 Messaggi: 1431	All'avvio di XP services.exe occupa tutta la memoria. Come da topic da un po di giorni mi sono accorto che appena loggato su windows apro il task manager e il processo services.exe inizia ad occupare tutta la ram possibile, (arriva a 2 gb il massimo, ovviamente.) e appena raggiunto il massimo ritorna normale a occupare 8mb. L'utilizzo del sistema è invariato, non crasha ne niente, gioco regolarmente a diversi giochi e non ho notato nulla di strano. Suppongo sia un virus o qualcosa del genere, ma effettuando scansioni non mi risulta niente... A qualcuno di voi è già capitato? Cosa può essere? Avete qualche programma o sito da visitare per controllare il pc? Utilizzo avast home e ho fatto una scansione con trend micro housecall online e spybot s&d, usato anche hijackthis che segna una cosa particolare : O24 - Desktop Component 0: (no name) - (no file) anche cancellandolo riappare alla successiva scansione.... sicuramente con questa descrizione non si capisce di cosa si tratti o dove si trovi (in caso fosse questo..) per il resto tutte le scansioni a parte i soliti cookie e cavolatine varie non danno niente. domattina rifaccio scansione che ora è tardi.. Edit, aggiungo avviando il teatimer di spybot mi becca un processo nascosto che va proprio sul services.exe. ..domattina ricontrollo. aggiungo il log del teatimer di spybot. 01/10/2009 3.29.31 Encountered and terminated 2Search in C:\WINDOWS\system32\services.exe! Aggiorno, Decido di disabilitare anche tutti i servizi, msconfig, avvio diagnostico... clicco su ok. carica... e addiruttura mi esce che non ho i permessi di farlo. riavvio il pc, non accede a windows. premo ctrl all'avvio e parto con l'ultima configurazione funzionante, accedo a windows... fortunatamente è riuscito a disabilitarmi tutti i servizi tranne l'antivirus, ed in questo modo funziona correttamente! per cui si tratta penso di un servizio di windows infettato o qualcosa di associato ad esso, devo provare stasera quando sono a casa a riattivare un servizio alla volta.. __________________ > oltre 15 ottimi feedback < Vendo: EA Games Dark Spore PC Ultima modifica di TusT : 01-10-2009 alle 16:44.

01-10-2009, 18:54	#2
ezio Senior Member Iscritto dal: Apr 2001 Città: Giovinazzo(BA) ...bella città, riso patat e cozz a volontà! Messaggi: 26492	Spostato. Posta i log completi oltre le singole voci sospette come hai già fatto, seguendo queste indicazioni: REGOLE di SEZIONE - obbligatoria la lettura!! __________________ Ezio Lacandia on DeviantArt \| Slimkat mod per N4 e N5 \| Trattative mercatino HWU \| Driver nForce NET Framework [Guida] \| BSOD individuazione cause \| Guida Sintetica Strap/Divisori P45 \| Fix associazioni Vista/7 Problemi Win Installer \| Avviare programmi senza richiesta UAC \| Problemi Font \| Guida Raccolte 7 \| Win 32/64bit come perchè

01-10-2009, 19:41	#3
TusT Senior Member Iscritto dal: Jun 2005 Messaggi: 1431	Grazie, dopo magari posto i log di gmer. (che sicuramente saranno piu utili) edit, in allegato il file log generato sia da gmer che da hijckthis. potete dargli un occhio? grazie mille __________________ > oltre 15 ottimi feedback < Vendo: EA Games Dark Spore PC Ultima modifica di TusT : 01-10-2009 alle 22:19.

01-10-2009, 21:58	#4
TusT Senior Member Iscritto dal: Jun 2005 Messaggi: 1431	postati i log. __________________ > oltre 15 ottimi feedback < Vendo: EA Games Dark Spore PC

01-10-2009, 22:11	#5
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	No log compressi, grazie. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

01-10-2009, 22:15	#6
TusT Senior Member Iscritto dal: Jun 2005 Messaggi: 1431	sistemo. uppati su mediafire in formato .txt come da regole. http://www.mediafire.com/?sharekey=9...779c37f0417e30 __________________ > oltre 15 ottimi feedback < Vendo: EA Games Dark Spore PC Ultima modifica di TusT : 01-10-2009 alle 22:25.

01-10-2009, 22:19	#7
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Modalità di pubblicazione dei log: Ogni singolo log, esclusivamente in formato .txt , deve essere hostato su uno dei server remoti elencati nelle Regole di sezione. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

01-10-2009, 22:35	#8
TusT Senior Member Iscritto dal: Jun 2005 Messaggi: 1431	chiedo scusa pensavo andasse bene lo stesso. ho editato il post precedente. Ho appena fatto una scansione online con F-secure e mi ha trovato un trojan. cancellato. ora sto rifacendo la scansione. __________________ > oltre 15 ottimi feedback < Vendo: EA Games Dark Spore PC Ultima modifica di TusT : 01-10-2009 alle 22:37.

01-10-2009, 23:34	#10
TusT Senior Member Iscritto dal: Jun 2005 Messaggi: 1431	sisi è quello che sto facendo passo passo ma purtroppo niente ancora.. __________________ > oltre 15 ottimi feedback < Vendo: EA Games Dark Spore PC

02-10-2009, 19:55	#11
TusT Senior Member Iscritto dal: Jun 2005 Messaggi: 1431	qualcuno ha avuto modo di analizzare i log? Grazie __________________ > oltre 15 ottimi feedback < Vendo: EA Games Dark Spore PC

03-10-2009, 01:27	#13
TusT Senior Member Iscritto dal: Jun 2005 Messaggi: 1431	Grandissimo ^^ Effettivamente controllando con il programma fornito anche se in versione trial ho trovato le chiavi e qualcuna faceva riferimento ad un servizio di sistema (helper ipv6) cancellato servizio e chiave di registro. Ora finisco la scansione ed elimino le altre chiavi e riavvio. Edit, una chiave non me la fa cancellare... provo a riavviare in modalità provvisoria edit2 la chiave 4to6 (quella incriminata) non riesco ad elminarla, neanche in modalità provvisoria con l'utenza default admin. Putroppo è proprio quello, poichè la ram viene ancora tutta occupata all'avvio anche se ho cancellato il servizio col comando "sc delete" come fare? __________________ > oltre 15 ottimi feedback < Vendo: EA Games Dark Spore PC Ultima modifica di TusT : 03-10-2009 alle 02:13.

03-10-2009, 02:26	#14
TusT Senior Member Iscritto dal: Jun 2005 Messaggi: 1431	ecco dal log l'unica chiave rimasta che non riesco a cancellare manualmente. Scan Report ~~~~~~~~~~~ [Object Type : Registry Key] ---------------------------- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_6TO4 - (Action to be taken : Quarantine) - belongs to "Agent.TM" __________________ > oltre 15 ottimi feedback < Vendo: EA Games Dark Spore PC

05-10-2009, 00:59	#16
TusT Senior Member Iscritto dal: Jun 2005 Messaggi: 1431	uppo log aggiornati di scan spyware (l'unico che trova il malware) gmer hijackthis sysinspector http://www.mediafire.com/?sharekey=9...779c37f0417e30 prevx non trova niente, dr web niente. fsecure niente a squared ci vogliono 2 ore per la scan completa, quella veloce non segna nulla, rifaccio domani se necessario. __________________ > oltre 15 ottimi feedback < Vendo: EA Games Dark Spore PC Ultima modifica di TusT : 05-10-2009 alle 01:05.

Strumenti
Mostra una versione stampabile Invia questa pagina per email