SVCHOST.EXE al 99%

[pagghi]

Visto che da queste parti c'è gente che ne sa parecchio sull'argomento mi svelereste un'arcano??

Allora, ieri sera installo sulla una partizione il 2°s.o. (entrambi winXP home) da dedicare esclusivamente al gioco...

installo win e in ordine le seguenti cose:
- sp1
- eliminazione di tutti gli automatismi di winXP un pò manualmente e altri con antispyXP
- cambio swap di pagina su partizione apposita
- installazione di NOD32
- inst. Sygate 5.5 versione free
- inst. Spybot 1.3
- firfox 0.9

Procedo poi a passare spybot per eliminare eventuali spy installati.

Installo il modem adsl e come prima cosa aggiorno nod32. A parte l'incasinamento iniziale x configurare il firewall, tutto sembra partire bene. Dopo un attimo mi accorgo di una lentezza incredibile ed ecco appunto SVCHOST che impegna il processore.
Nod comincia ad aprire finestre di allerta su più file, navigare è impossibile e il pc nn risce ad aggiornarsi.

Riavvio il pc con il s.o. principale, scansiono, ripulisco la partizione da gioco che poi riavvio in modalità provvisoria x un'ulteriore pulizzia e tutto torna apposto.

Quello che mi chiedo è: nonostante sia stato particolarmente attento a proteggere il sistema prima di metterlo in rete, e non avendo installato nulla di warez come cavolo a fatto ad infettarsi durante la prima installazione?


ciao

[PentiumII]

Anche io ho lo stesso problema!
Mi date un'occhiata? Grazie...



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AlfaClock\AlfaClock.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Programmi\FSI\F-Prot\F-StopW.EXE
C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\mgabg.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\FSI\F-Prot\FP-Win.exe
C:\Documents and Settings\Stefano\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy-almanet.cib.unibo.it:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [100% Clock] C:\Programmi\AlfaClock\AlfaClock.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [F-StopW] C:\Programmi\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Ricerche (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - file://F:\install\AuthorwareFull\AwareWebPlayer\Download\Smart\Cab\awswaxf.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...ctor/swdir.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23ea10ff...p/RdxIE601.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {99D8AF4F-307A-461C-A404-BFA33D502B31} (APStartX Control) - http://217.169.119.216/resources/APStart.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{818D83BA-A844-452D-A6C2-06317CCEE4A9}: NameServer = 80.17.209.204 151.99.125.1


ciao

[PentiumII]

Uff adesso tutte le volte che accendo il pc mi sta al 100% per un paio di minuti svchost.exe, poi torna normale...

Cosa può essere, cosa devo fare?

[sparagnino]

Al momento attaccarti, penso...

Io è tutto il pomeriggio (quasi) che leggo news ed altro ma non trovo nulla.

Ho provato a vedere se fosse stato qualche netsky o skybot o quello che è: nulla.

Mi sa che bisogna aspettare qualche indizio utile...

[PentiumII]

Ho fatto una prova: ho riavviato il pc però l'esecuzione senza firewall all'avvio, e non si è piantato svchost al 100%...
Coincidenza?

Più tardi riprovo

[netquik]

ragazzi da quello che ho potuto notare il problema del svchost che si pianta è dovuto spesso a qualche servizio che non riesce ad avere i permessi dal Firewall...

questo ovviamente ammettendo un sistema pulito da virus...



e quello che sto notando sempre più spesso è il firewall più incriminato è sygate...

un caso?
non so non louso..

vi consiglio di controllare i settaggi di sygate...

[PentiumII]

Ho sygate...

[netquik]

ragazzi...

non so cosa consigliarvi...

potreste fare così...

1.
individuare quale svchost si pianta
(ricordatevi che questo file contiene solo alcuni dìservizi in gruppi, per questo ne avete diversi)
se avete XP PRO
da prompt
digitate Tasklist /SVC
avrete più informazioni sui svchost con il oro contenuto...

ora sta a voi riuscire a capire magari attraverso il PID quale gruppo di servizi si pianta...
controllate ora il contenuto di quel gruppo...
potete anche cercare ogni singolo nome di servizio con google e acertatevi che il gruppo sia SANO...

2.
Fatto questo potreste con più sicurezza tentare di dare tutte le autorizzazioni a quel gruppo dal firewall...
e se siete fortunati tuoo potrrebbbe risolversi..
vi allego un esempio di tasklist SANA
System Process 0 N/A
System 8 N/A
Smss.exe 132 N/A
Csrss.exe 160 N/A
Winlogon.exe 180 N/A
Services.exe 208 AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
Eventlog,LanmanServer,LanmanWorkstation,
LmHosts,Messenger,PlugPlay,ProtectedStorage,
Seclogon,TrkWks,W32Time,Wmi
Lsass.exe 220 Netlogon,PolicyAgent,SamSs
Svchost.exe 404 RpcSs
Spoolsv.exe 452 Spooler
Cisvc.exe 544 Cisvc
Svchost.exe 556 EventSystem,Netman,NtmsSvc,RasMan,
SENS,TapiSrv
Regsvc.exe 580 RemoteRegistry
Mstask.exe 596 Schedule
Snmp.exe 660 SNMP
Winmgmt.exe 728 WinMgmt
Explorer.exe 812 N/A
Cmd.exe 1300 N/A
Tasklist.exe 1144 N/A

[PentiumII]

Il PID è 856, e questo allegato è l'elenco di tutti i servizi che sono sotto questo PID


come faccio a capire il processo incriminato?

[netquik]

è questo il punto...

purtroppo non ho XP PRO...

comunque segui la sintassi e vedi di far uscire il memusage dei servizi

dovresti beccare quello che succhia tutto

http://www.microsoft.com/resources/d.../tasklist.mspx

[gia78]

Ciao con HiJackThis sono riuscito ad aliminare sia wininiro.exe sia svxhost.exe.Infatti se riavvio in modalità provvisoria,dopo aver abilitato lavisualizzazione dei file nascosti,facendo un search non li trovo.Poi dal taskmanager non sono più in funzione.Adesso c'è un altro problema:ogni volta che sono collegato ad internet sygate mi dice che qualcuno sta facendo lo sca delle mie porte.Facendo Whois non riesco ad identificare l'identità dell'ip.MI devo preoccupare?

[PentiumII]

Ho provato a impostare sygate sbloccando i programmi che avevo bloccato, e facendo in modo che mi chieda il permesso quando tentano l'accesso..

Ecco le richieste, sono lecite o qualcosa non va?

questo che processo è?

[PentiumII]

la seconda:

[PentiumII]

La terza:

(cosa c'entra microsoft?)

[PentiumII]

La quarta:

questo sarebbe il processo che riavvia il pc?
Il blaster?

[netquik]

per me dipende da molti fattori...
se hai un router... una lan...

comunque
ti do un in dirizzo utile dove fare ricerche

http://forums.sygatetech.com/vb/show...?threadid=2370


putroppo non ho sygate e non l'ho mai usato...

facci sapere cosa scopri

[sparagnino]

Io ho il scvhost che mi chiede un paio di volte di poter andare su internet.
Però questo si trova solo in windows/system32 . Quindi penso sia a posto.

Ho provato prima con un computer che dovrebbe essere a posto (pochissimi collegamenti in rete e niente p2p) e anche se non navigo l'attività continua, anche se pochissimo.

Ieir ho scaricato un programmino che dà con più precisione i vari processi del computer. Stasera vi sposto il nome.

A quanto, quindi, tutto sembrerebbe ok.

Facendo msconfig ho eliminato alcuni processi al boot. Per ora l'unico danno che ho fatto è stato quello di disabilitare i tasti speciali della tastiera. Per il resto tutto funziona.

Vi saprò dire meglio, comunque.

[Eschelon]

Anch'io ho un processo scvhost.exe sotto la cartella system32, però nessuno dei servizi che ho attivi sul taskmanager mi ha mai portato la cpu al 100%, è tutto ok?

[netquik]

forse intendi questo
http://www.sysinternals.com/ntw2k/fr.../procexp.shtml

[sparagnino]

Ho installato, di Lavasys, l' EVEREST Home Edition. Molto serio.

Avevo provato un monitor del traffico della rete ma... Non so usarlo (ethereal + WinPcap_3_0).