[Curioso] XpSp2 e utilizzo cpu

[Henry_Dorsett_Case]

Buongiorno ragazz*,

vengo a chiedere lumi alla collettività sperando avvenga quello scambio di informazioni che possa rimettermi sulla giusta via.

Vengo al dunque,

gestendo un parco di una decina di pc con win xpsp2 da qualche giorno ho notato un blocco, che giunge qualche tempo dopo l'avvio (da qualche minuto a qualche ora), che si manifesta con un carico costante sulla CPU del 90 e più %.

Analizzando con Process Analyzer i tasks, (e nello specifico, ovviamente, svchost hehe), ho scovato che tra le dll che girano all'interno, quella responsabile del carico di lavoro spropositato è 'RPCRT4.dll'

questo lo screen



ed infatti, fermando quella dll i processi tornano alla normalità. Ho già usato hijackthis ma non v'è nulla di anomalo (i pc sono praticamente vuoti di programmi).

Come dovrei agire?
Vi ringrazio per la pazienza,

buona giornata!

[wjmat]

ciao

perchè quelle macchine non son0o aggiornate a sp3?
il sovraccarico della cpu potrebbe essere solo dovuto agli aggiornamenti automatici
quel file che segnali è più che normale
http://www.processlibrary.com/it/dir...s/rpcrt4/23580

[Henry_Dorsett_Case]

Quote:

Originariamente inviato da wjmat

ciao

perchè quelle macchine non son0o aggiornate a sp3?
il sovraccarico della cpu potrebbe essere solo dovuto agli aggiornamenti automatici
quel file che segnali è più che normale
http://www.processlibrary.com/it/dir...s/rpcrt4/23580

si avevo trovato anche io questa cosa, e li avevo disattivati. Però nulla.
Comunque dei 10 alcuni hanno sp3 ma il problema li affligge lo stesso.

ci sarà allora qualcosa che utilizza quella dll allora...

[Chill-Out]

Allega come da Regole di sezione un log dei tool indicati al Punto 8 e 9 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

[wjmat]

Quote:

Originariamente inviato da Henry_Dorsett_Case

si avevo trovato anche io questa cosa, e li avevo disattivati. Però nulla.
Comunque dei 10 alcuni hanno sp3 ma il problema li affligge lo stesso.

ci sarà allora qualcosa che utilizza quella dll allora...

gli aggiornamenti deveno essere sempre attivati

[Henry_Dorsett_Case]

grazie per i suggerimenti!

allora,

ho fatto lo scan con GMER e mi ha dato questo

come potete leggere mi segnale un rootkit,hidden, in svchost.

Codice:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-08 13:42:24
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\user\IMPOST~1\Temp\kwtdapow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text    C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                     section is writeable [0xF7BFF360, 0x3E57A5, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text    C:\WINDOWS\System32\svchost.exe[960] ntdll.dll!NtQueryInformationProcess     7C91E01B 5 Bytes  JMP 0179ADDD 
.text    C:\WINDOWS\System32\svchost.exe[960] NETAPI32.dll!NetpwPathCanonicalize      5BC7A259 5 Bytes  JMP 0179AD74 
.text    C:\WINDOWS\system32\svchost.exe[1012] ntdll.dll!NtQueryInformationProcess    7C91E01B 5 Bytes  JMP 0078ADDD 

---- Services - GMER 1.0.15 ----

Service  C:\WINDOWS\system32\svchost.exe (*** hidden *** )                            [AUTO] rrfef                                                                        <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\rrfef@DisplayName                     Installer Shell
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rrfef@Type                            32
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rrfef@Start                           2
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rrfef@ErrorControl                    0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rrfef@ImagePath                       %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rrfef@ObjectName                      LocalSystem
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rrfef@Description                     Attiva il servizio Supporto NetBIOS su TCP/IP (NetBT) e risoluzione nomi NetBIOS.
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rrfef\Parameters                      
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rrfef\Parameters@ServiceDll           C:\WINDOWS\system32\fxpzn.dll
Reg      HKLM\SYSTEM\ControlSet003\Services\rrfef@DisplayName                         Installer Shell
Reg      HKLM\SYSTEM\ControlSet003\Services\rrfef@Type                                32
Reg      HKLM\SYSTEM\ControlSet003\Services\rrfef@Start                               2
Reg      HKLM\SYSTEM\ControlSet003\Services\rrfef@ErrorControl                        0
Reg      HKLM\SYSTEM\ControlSet003\Services\rrfef@ImagePath                           %SystemRoot%\system32\svchost.exe -k netsvcs
Reg      HKLM\SYSTEM\ControlSet003\Services\rrfef@ObjectName                          LocalSystem
Reg      HKLM\SYSTEM\ControlSet003\Services\rrfef@Description                         Attiva il servizio Supporto NetBIOS su TCP/IP (NetBT) e risoluzione nomi NetBIOS.
Reg      HKLM\SYSTEM\ControlSet003\Services\rrfef\Parameters (not active ControlSet)  
Reg      HKLM\SYSTEM\ControlSet003\Services\rrfef\Parameters@ServiceDll               C:\WINDOWS\system32\fxpzn.dll

EDIT

Praticamente mi sembra che il problema stia qui
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] rrfef

ho fatto qualche ricerca ma non ho trovato alcun risultato riguardo questo 'rrfef'..

e poi c'è quel fxpzn.dll.

[wjmat]

segui qui la guida per la rimozione di Conficker/Downadup/Kido e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità

[Chill-Out]

Come sospettavo, segui quanto sopra indicato, chiudo.