File sospetto e dimensione elevata processi svchost

[Rossi88]

la dimensione di RAM occupata all'avvio mi ha fortemente insospettito così ho fatto, dietro anche consiglio del gentilissimo moderatore Chill-Out, la scansione con Prevx 3.0 allego il log

LogPrevx.log

Un ringraziamento a coloro che vorranno aiutarmi

P.S.

riporto le righe individuate da prevx come sospette
c:\windows\system32\30561.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\30561
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\30561

Procedo manualmente, quindi ad eliminare il file nella cartella di sistema ed eliminare le chiavi di registro sospette?

[Chill-Out]

Quote:

Originariamente inviato da Rossi88

la dimensione di RAM occupata all'avvio mi ha fortemente insospettito così ho fatto, dietro anche consiglio del gentilissimo moderatore Chill-Out, la scansione con Prevx 3.0 allego il log

LogPrevx.log

Un ringraziamento a coloro che vorranno aiutarmi

P.S.

riporto le righe individuate da prevx come sospette
c:\windows\system32\30561.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\30561
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\30561

Procedo manualmente, quindi ad eliminare il file nella cartella di sistema ed eliminare le chiavi di registro sospette?

Innazitutto sarebbe oportuno controllare su http://www.virustotal.com/it/ e http://virscan.org/ il suddeto file 30561.sys che trovi in questo percorso c:\windows\system32\ per farlo sarà necessario abilitare la visualizzazione del file nascosti.

NB: per i risultati è sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

[Rossi88]

Ecco le analisi dei su citati siti

http://www.virscan.org/report/e8541b...aa9dfd4d2.html
http://www.virustotal.com/it/analisi...58be1e0ae1e5ed

Comunque ho controllato la data di creazione del file ed è 02/07/2008 praticamente il giorno dopo che ho installato il sistema operativo, quindi non credo sia un file nocivo

Mi sa che l'URL di virscan non funziona a dovere, comunque non mi segnala alcuna infezione

[Rossi88]

Ho fatto anche una scansione ad-aware e mi ha segnalato come malware il file

C:\windows\SysWOW64\explorer.exe

dato che non mi sembrava il caso di eliminarlo e metterlo in quaratena tanto alla leggera ho fatto una scansione con i due siti e non è stato rilevato come nocivo da nessun antivirus.

[Star trek]

Mmmm il tuo problema sembra molto simile al mio.Provo ad esporre quì la mia situazione:

Ho un problema.In pratica sono infetto da un worm o virus che nessun programma riesce a rilevare o quasi.Forse è una variante personalizzata che sfugge ai soliti database.Ho provato tanti programmi.Sto utilizzando Vista x64 e G.Data come AV non lo rileva.....e meno male che ha due engine con die database distinti.PrevX free dice che rileva il file certreq.exe (file windows) com e file sospetto...a volte anche nvLsp.dll (nvidia) oppure wscisvif.dll o msshsq.dll o a2contmenu.dll o wbemsvc.dll .Io credo che questi file non sino il worm stesso A parte l'ultimo che se vado a cercarlo non esiste neanche come nascosto) ma sino manipolati da esso per naasconode la sua identica.

- SpyBot non rileva niente.
- A Squared non rileva niente.
- Spysweeper senza sottoscrizione a rilevato un collegamento a 007guard.com una volta poi adesso non dice più nulla.
- Malawarebytes non rileva niente.
- Ad Aware non si istalla
- HijackThis.Il suo log appare normale.
- Windows Defender...neanche aparlarne.Per lui è tutto ok.

I dintimi sono in particolare due:

Un file svchost.exe che è arrivato anche a 230mb nel task manager.
Una serie di applicazioni di sistema che aprono delle porte altre come da immagine sottostante ma non solo.Anche Firefox e altre applicazion che uso solitamente usano delle porte alte.

Alla faccia di chi crede di essere al sicuro acnhe con gli AV blasonati.

Idee e consigli sono i benvenuti perchè non ho la più pallida idea di cosa possa essere e se sia un problema già trattato.E cmq ovvio che i processi di quel tipo normalmente non aprono quelle porte...

[Chill-Out]

Sarebbe opportuno seguire la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! ***

[Star trek]

Ok vedo cosa riesco a fare come log.

[Rossi88]

Dopo aver fatto una scansione anche con ad-aware e non aver rilevato nulla sono giunto alla conclusione che semplicemente deve esser colpa delle ultime cose che ho installato in questo periodo, OpenVPN, Hamachi ed altri, poi ho vari servizi attivi, Vmware ecc...

Considerando che su Seven che è più leggero di Vista (dalle mie prove sembra esser così, utilizzando un programma che utilizza anche oltre 10GB di memoria e swappa in continuazione il sistema rimane pressochè reattivo, oltre ad occupare complessivamente meno memoria il sistema, e guadagnare qualche decina di secondi su elaborazioni di 15-20 minuti) un file svchost occupa già 120MB e non ho installato niente, tranne Visual studio, quindi direi che probabilmente non sono infetto.

[Chill-Out]

Quote:

Originariamente inviato da Rossi88

Dopo aver fatto una scansione anche con ad-aware e non aver rilevato nulla sono giunto alla conclusione che semplicemente deve esser colpa delle ultime cose che ho installato in questo periodo, OpenVPN, Hamachi ed altri, poi ho vari servizi attivi, Vmware ecc...

Considerando che su Seven che è più leggero di Vista (dalle mie prove sembra esser così, utilizzando un programma che utilizza anche oltre 10GB di memoria e swappa in continuazione il sistema rimane pressochè reattivo, oltre ad occupare complessivamente meno memoria il sistema, e guadagnare qualche decina di secondi su elaborazioni di 15-20 minuti) un file svchost occupa già 120MB e non ho installato niente, tranne Visual studio, quindi direi che probabilmente non sono infetto.

Infatti il tuo non mi sembra un problema legato ad una possibile infezione

[Star trek]

Quote:

Originariamente inviato da Rossi88

Dopo aver fatto una scansione anche con ad-aware e non aver rilevato nulla sono giunto alla conclusione che semplicemente deve esser colpa delle ultime cose che ho installato in questo periodo, OpenVPN, Hamachi ed altri, poi ho vari servizi attivi, Vmware ecc...

Considerando che su Seven che è più leggero di Vista (dalle mie prove sembra esser così, utilizzando un programma che utilizza anche oltre 10GB di memoria e swappa in continuazione il sistema rimane pressochè reattivo, oltre ad occupare complessivamente meno memoria il sistema, e guadagnare qualche decina di secondi su elaborazioni di 15-20 minuti) un file svchost occupa già 120MB e non ho installato niente, tranne Visual studio, quindi direi che probabilmente non sono infetto.

Non è possibile che una applicazione come svchost possa occupare tanta memoria...stanne certo.Piuttosto è più probabile che tu abbia qualche forma virale personalizzata che non viene riconosciuta dagli AV.Anche perchè spesso i database vengono scopiazzati.Ci sono delle aplicazione che vanno a modificare i file disistema e aggiungono funzioni a quelle uffucuali.Questo significa che si possono trovare degli eseguibili apparentemente si sitema che assolvono le loro funzioni di base ma che oltre a queste svolgono la fuinziona virale.L'unica cosa che può essere utile in questi caso è la funzione euristica ma non è infallibile,soprattutto come in casi come questi che sembra trattarsi di exe modificati.

Per esempio io ho prevx che mi dice che il file certreq.exe è un file infetto come High Risk Cloaked Malware ossia un Malvare cammuffato.Detto questo penso sia sufficiente per capire di cosa si stia parlando.

[Rossi88]

Quote:

Originariamente inviato da Star trek

Non è possibile che una applicazione come svchost possa occupare tanta memoria...stanne certo.Piuttosto è più probabile che tu abbia qualche forma virale personalizzata che non viene riconosciuta dagli AV.Anche perchè spesso i database vengono scopiazzati.Ci sono delle aplicazione che vanno a modificare i file disistema e aggiungono funzioni a quelle uffucuali.Questo significa che si possono trovare degli eseguibili apparentemente si sitema che assolvono le loro funzioni di base ma che oltre a queste svolgono la fuinziona virale.L'unica cosa che può essere utile in questi caso è la funzione euristica ma non è infallibile,soprattutto come in casi come questi che sembra trattarsi di exe modificati.

Per esempio io ho prevx che mi dice che il file certreq.exe è un file infetto come High Risk Cloaked Malware ossia un Malvare cammuffato.Detto questo penso sia sufficiente per capire di cosa si stia parlando.

Anche a me Prevx dice che il file 30561 è un Malware camuffato, comunque Windows Seven l'ho installato ieri, non credo sia stato già infettato eppure nonostante è più leggero di Vista un file svchost occupa 120MB, mi correggo ora mentre scrivo ha dimensioni 135MB

nel sistema non installato niente di niente, neanche adobe flash per intenderci, solo visual studio 2008

considerando che Vista è installato da 11 mesi, ed ho installato e disinstallato molte cose, molti servizi si sono aggiunti potrebbe essere normale.

Ovviamente non escludo a priori di non avere malware e virus vari, quindi procederò a fare tutte le varie scansioni inserite in quella guida e vedo che cosa ne esce fuori.

Comunque se effettivamente i database con le definizioni di virus e malware sono scopiazzati non credo che qualcuno individuerà qualcosa, nel frattempo che esca Windows Seven comunque evito di formattare e reinstallare Vista

[Chill-Out]

Quote:

Originariamente inviato da Rossi88

Anche a me Prevx dice che il file 30561 è un Malware camuffato, comunque Windows Seven l'ho installato ieri, non credo sia stato già infettato eppure nonostante è più leggero di Vista un file svchost occupa 120MB, mi correggo ora mentre scrivo ha dimensioni 135MB

nel sistema non installato niente di niente, neanche adobe flash per intenderci, solo visual studio 2008

Quel file è palesemente pulito http://www.virustotal.com/it/analisi...58be1e0ae1e5ed

[Rossi88]

Quote:

Originariamente inviato da Chill-Out

Infatti il tuo non mi sembra un problema legato ad una possibile infezione

Lo spero

[Star trek]

Ripeto.Non è possibile che l'svchost,diventi cos' grande .In vista sicuramente ma penso anche in seven.Mentre vi scrivo il il task manager aperto con il 96% di memoria ram occupata di 4gb.Io dico che non è normale.Ma facciamo presto.Chiedetelo alla MS se l'svchost può comportarsi in quel modo se non infetto.Dalla via che ci siene e lo dico soprattutto a rossi,scaricati cports e poi vedi se anche tu hai delle porte alte aperte.

[bozzato]

Quote:

Originariamente inviato da Rossi88

Ecco le analisi dei su citati siti

http://www.virscan.org/report/e8541b...aa9dfd4d2.html
http://www.virustotal.com/it/analisi...58be1e0ae1e5ed

Comunque ho controllato la data di creazione del file ed è 02/07/2008 praticamente il giorno dopo che ho installato il sistema operativo, quindi non credo sia un file nocivo

Mi sa che l'URL di virscan non funziona a dovere, comunque non mi segnala alcuna infezione

non ti segnala infezioni? A me sembra di si!

[Star trek]

Quote:

Originariamente inviato da bozzato

non ti segnala infezioni? A me sembra di si!

Prevx è l'unico che lo rileva.Sarebbe facile dedurre che è un falso positivo....eppure seconod me non lo è.Tuttavia Prevx non dice molto a rigurado perchè per cloacked malware significa che è un malware nascosto ma neanche lui sa qual'è.Come se dicess "malvare nascosto ma non so qual'è".Difatti anche a me prevx mi segnala il file certreq.exe come cloaked ma nessun altro AV o simile lo rileva....

Cmq i miei log che ho fatto sono quì sotto:

wininit.ini

win.ini

mbam-log-2009-05-15 (23-08-52).txt

hijackthis.log

adaware.txt

karspersky.txt

FixSobr.log

a2scan_090515-225628.txt

In particolare date un'occhio a il win.ini perchè contiene delle chiavi di registro forse anomale...cioè che io sappia non dovrebbero esserci.Ho visto che con a squared i file svchost,crss e serveces.exe vengono utilizzati anche da dei vorus.Questo potrebbe essere il problema.

[Chill-Out]

No file compressi, per quanto concerne le modalità con le quali allegare i log, fare riferimento alle Regole di sezione in firma, thx.

[Star trek]

edit...

[Rossi88]

Quote:

Originariamente inviato da Star trek

Ripeto.Non è possibile che l'svchost,diventi cos' grande .In vista sicuramente ma penso anche in seven.Mentre vi scrivo il il task manager aperto con il 96% di memoria ram occupata di 4gb.Io dico che non è normale.Ma facciamo presto.Chiedetelo alla MS se l'svchost può comportarsi in quel modo se non infetto.Dalla via che ci siene e lo dico soprattutto a rossi,scaricati cports e poi vedi se anche tu hai delle porte alte aperte.

il 96% di 4GB di RAM è un po' preoccupante,

ma il file svchost continua ad aumentare di dimensioni nel tuo caso?
Comunque ti consiglio process explorer, è un interessante programma, magari puoi tirar fuori altre informazioni utili

[Chill-Out]

Mi spieghi cortesemente da dove hai tirato fuori il SP2 di Vista?