Processo strano in esecuzione su server

[juninho85]

O4 - HKLM\..\Run: [Services] C:\WINNT\system32\10.tmp
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

essendo poco ferrato su windows 2000 mi sento di consigliarti soltanto questi...poi ci sarebbe questo:
O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe

che a leggere gli ultimi log postati sembrerebbe un trojan,però aspetta conferme
...infine un consiglio...ottimizza il sistema,per me hai troppa roba aperta

[FOXYLADY]

Quote:

Originariamente inviato da Blackage

Penso:
C:\WINNT\system32\10.tmp (banale, visto che blocca la cpu )

O17 - HKLM\System\CCS\Services\Tcpip\..\{5435FDAB-4D74-4D4D-A696-1C5579F5ED75}: NameServer = 213.140.2.12,213.140.2.21 (non so cosa sia)

O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe ( )

Cmq per una risposta più sicura vai a vedere qui

Dopo che hai bloccato quei processi io tenterei una nuova scansione on line (cmq se hai tempo la cosa migliore sarebbe formattare...ma so che non tutti condividono...)

Questo
O17 - HKLM\System\CCS\Services\Tcpip\..\{5435FDAB-4D74-4D4D-A696-1C5579F5ED75}: NameServer = 213.140.2.12,213.140.2.21 (non so cosa sia)
dovrebbe essere fastweb
Gli altri due non so, mai visti

[Blackage]

Quote:

Originariamente inviato da FOXYLADY
Questo
O17 - HKLM\System\CCS\Services\Tcpip\..\{5435FDAB-4D74-4D4D-A696-1C5579F5ED75}: NameServer = 213.140.2.12,213.140.2.21 (non so cosa sia)
dovrebbe essere fastweb

Non lo sapevo... si impara sempre...

Cmq facci sapere se hai risolto!

[max60]

Rieccomi.
Gli indirizzi IP corrispondono effettivamente a Fastweb e credo che questo non sia un problema perchè il server è su questa rete e ha un suo indirizzo IP unico (che non è comunque quello esposto).
Spybot S&D non mi ha rilevato niente di significativo, come peraltro Ad-Aware.
Allora ho scaricato e installato AVG7.
Qui già la prima scansione mi ha segnalato una bella quantità di file infettati, fra cui i vari .tmp , il solito ssl.exe e anche un file .exe (vale a dire senza nome prima dell'estensione) presente nella cartella system32 di windows.
I virus riscontrati sono di 2 tipi:
trojan horse: Proxy.YH
trojan horse: IRC/Backdoor.SDBOT.HLV

AVG li ha cancellati e poi ha chiesto di riavviare il sistema.
Al riavvio ho rifatto la scansione però mi ha trovato ancora presente il file .exe (infettato da IRC/Backdoor.SDBOT.HLV ) e lo ha cancellato di nuovo.
Ho poi schedulato un'altra scansione alle 4 di questa mattina e me ne sono andato a nanna.
Stamattina mi sono ricollegato per vedere il report della scansione, e ancora ha trovato .exe che secondo lui è stato cancellato di nuovo.
A quel punto ho rifatto una scansione della sola cartella system32, e effettivamente sembra tutto tranquillo, con il carico della CPU stabile sullo 0%.
Probabilmente c'è qualcosa al momento del riavvio oppure ogni tot, che rilancia quel task.
Mi sa che sia inevitabile un bel format, tanto per ora non c'è niente di importante su quel server.
Mi piacerebbe però andare un po' più a fondo, giusto per farmi un po' esperienza, e non lasciarla vinta a quei bastard*** !

[max60]

Ho trovato un anti trojan free (http://www.emsisoft.it/it/software/free/).
Questa sera lo provo !

[FOXYLADY]

Prova anche con ewido
http://www.ewido.net/en/

[FOXYLADY]

Ho ricontrollato il tuo log, ieri sera non avevo tempo perchè stavo andando a nanna.
Questi sono da fixare
O4 - HKLM\..\Run: [Services] C:\WINNT\system32\10.tmp
O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe
fixale in modalità provvisoria

Anche questi due che riguardano lo scan online del bitdefender li puoi togliere
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

Poi fai una scansione con A2 o Ewido e scarica e fagli fare una scansione anche bitdefender free solo scanner
http://www.bitdefender.com/PRODUCT-1...e-Edition.html
che non ha la protezione in tempo reale e quindi non entra in conflitto con l'altro AV che utilizzi.

Ciao

[max60]

Ragazzi è 2 giorni ormai che nei task attivi non c'è più traccia di quelle schifezze.
AVG gira tutte le notti e non rileva più nessun virus.
A-squared Personal mi ha trovato solo dei cookie che consigliava di cancellare.
La CPU è tornata sui livelli normali, vale a dire quasi sempre fissa al 0%.
Che sia finito tutto, o è ...la quiete prima della tempesta ?

[nicscics]

Quote:

Originariamente inviato da max60

Ciao a tutti, ho questo problema.
Un amico ha un server (s.o. win2000 server) con IP fisso che utilizza per gestire il suo sito.
Ultimamente la CPU va al collasso perchè si attiva un processo (e non abbiamo ancora capito come) che si mangia tutta la CPU.
Questo processo si chiama con un progressivo e estensione .tmp e risiede nella cartella Winnt\system32 con nomi tipo 1.tmp oppure B.tmp .
Non c'è modo di bloccarlo se non riavviando il server, perchè cercando di farlo dal task manager da "Accesso negato".
Ma anche riavviando il server, dopo un po' si "rigenera" di nuovo, chiamandosi con un progressivo successivo , ad esempio se il primo era b.tmp quello dopo si chiama c.tmp .
Avete qualche idea su cosa si possa fare ?
Grazie !!!

http://www.repubblica.it/2005/d/sezi...hi/rischi.html

http://www.fastserviceinformatica.it...enginering.htm