CPU AL 50% QUANDO DISCONNESSO!

[Fastbond82]

Scusate è la prima volta che posto qui ma ho un problema. Quando sono disconnesso la CPU è fissa al 50% circa, subito dopo la connessione ad internet si assesta sullo 0%, se poi mi disconnetto ritorna sul 50. Ho provato ad usare Process Explorer e la voce che occupa quel 50% è svchost.exe e se vado nelle proprietà dice che è collegato al file dnsrslvr.dll nei threads ci sono 3 voci kernel32 che occupano la cpu. Ho provato a disattivare dnsrslvr.dll e a cancellarlo ma benchè la voce non compaia tra i processi attivi la cpu è sempre sul 50%. Ho provato anche hijacthis ma non ci sono processi strani, ho fatto anche scansione antivirus, spyware e spybot ma niente. AIUTO!!

[Portocala]

start
esegui
services.msc
vai su Client DNS
alla voce Connessione
seleziona Account di sistema locale.

[Fastbond82]

niente, non va ma perchè mai quando non sono connesso la cpu lavora e quando mi connetto no?

[Fastbond82]

Ho scoperto una cosa. Se sospendo uno solo e precisamente uno in particolare dei 3 processi kernel32 legati a quell'svchost.exe gli altri si disattivano ma al riavvio ricompaiono.

[Fastbond82]

però ho appena notato che se chiudo quel kernel non mi carica le pagine internet

[Fastbond82]

Ragazzi il kernel che da problemi ha questo stack:

ntkrnlpa.exe+0x6dd2b
ntkrnlpa.exe!MmIsDriverVerifying+0xa08
hal.dll+0x2ef2
hal.dll!HalRequestSoftwareInterrupt+0x3c
ntkrnlpa.exe!PoQueueShutdownWorkItem+0x329
ntkrnlpa.exe!KeSynchronizeExecution+0x10c
ntdll.dll!KiFastSystemCallRet
iphlpapi.dll+0x25e6
iphlpapi.dll!GetIpStatsFromStack+0x64
iphlpapi.dll!GetInterfaceInfo+0x34
iphlpapi.dll!GetUniDirectionalAdapterInfo+0x81d
iphlpapi.dll!GetUniDirectionalAdapterInfo+0x87c
iphlpapi.dll!GetAdaptersInfo+0x6e
DNSAPI.dll!Dns_InitQueryTimeouts+0x7a6
DNSAPI.dll!NetInfo_Build+0x2c
dnsrslvr.dll+0x45a3
dnsrslvr.dll+0x36f7
dnsrslvr.dll+0x303f
RPCRT4.dll!CheckVerificationTrailer+0x70
RPCRT4.dll!NdrStubCall2+0x215
RPCRT4.dll!NdrServerCall2+0x19
RPCRT4.dll!NdrGetTypeFlags+0x1c9
RPCRT4.dll!NdrGetTypeFlags+0x12e
RPCRT4.dll!NdrGetTypeFlags+0x5a
RPCRT4.dll!NdrConformantArrayFree+0x42e
RPCRT4.dll!NdrConformantArrayFree+0x28b
RPCRT4.dll!I_RpcBCacheFree+0x14c
RPCRT4.dll!I_RpcBCacheFree+0x5e3
RPCRT4.dll!I_RpcBCacheFree+0x405
RPCRT4.dll!I_RpcBCacheFree+0x5cb
kernel32.dll!GetModuleFileNameA+0x1b4

Se lo disattivo la cpu torna normale ma non posso navigare. Cosa posso fare? HELP

[Fastbond82]

Ho utilizzato panda anti rootkit e ha risolto il problema cancellandomi l'icona di internet explorer. Così pensando fosse un problema di browser ne ho installato un altro (firefox) ma il problema si è ripresentato. Cosa posso fare?? questo processo si attacca ad ogni browser!

[Fastbond82]

ragazzi come si rimuovono i rootkit?

[SkunkWorks 68]

Ripeto la domanda(visto che il mio post si è perso causa crash del database).Hai fatto tutti gli aggiornamenti di Windows?
Ciao

[Fastbond82]

Si si, aggiornato tutto.

[SkunkWorks 68]

Molto strano.
Mai successo un inconveniente simile...
Cosa utilizzi per connetterti,curiosità?.
Sarebbe curioso vedere un log di Hijackthis.
Ciao

[SkunkWorks 68]

Anche qui:http://www.tek-tips.com/viewthread.c...1239575&page=1
Ciao

[Fastbond82]

Logfile of HijackThis v1.99.1
Scan saved at 12.02.52, on 16/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Microsoft IntelliType Pro\type32.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\FlyNet\CnxDslTb.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\ASUS\AASP\1.00.05\aaCenter.exe
C:\Programmi\ASUS\AI Suite\AiNap\AiNap.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\My Shared Folder\eMule Applejuice 2.0.1\eMule Applejuice\emule.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\My Shared Folder\Backup\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\FlyNet\CnxDslTb.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [kis] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/ca..._2.3.6.108.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1181849544171
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shoc...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CB82343-4FB3-4639-85E0-7EBDC18EFB67}: NameServer = 208.67.222.222 208.67.220.220
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\system32\catsrvut.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

[Fastbond82]

Uso un modem adsl. Come browser ho provato IE7 e firefox ma il rootkit si è attaccato ad entrambi.

[SkunkWorks 68]

Il log mi sembra pulito
Il modem è un USB?
Ciao

[Fastbond82]

si usb

[SkunkWorks 68]

Quote:

Originariamente inviato da Fastbond82

si usb

Sarebbe curioso vedere cosa succede(se fosse possibile),farselo cambiare con uno ethernet(consigliatissimo)e disinstallare il driver del modem vecchio.
Non ho proprio altre idee al momento
Ciao

[Fastbond82]

Caspita, mi sa che ho risolto! Kaspersky mi ha individuato un file tmpwin.exe sospetto. Sono andato in "Cerca" ma non ha trovato niente, fortunatamente c'era un opzione di kaspersky che mi ha portato direttamente al file nascosto così ho potuto cancellarlo. Ho riavviato e la cpu è normale! gmer non mi trova più quel rootkit di internet explorer e kaspersky non mi segnala processi sospetti in avvio. Faccio altri controlli per sicurezza. Grazie mille cmq.