Help!! svchost impazzito

[The Lenny]

allora...
su un computer in rete presso un internet point ... BORDELLO!
cpu al 100%, con uno strano utilizzo di lsass e (uno degli)svchost...termino dal task svchost incriminato...tutto torna ok, sino al riavvio, ovviamente.
aggiornamenti win: ok
antivirus: avast aggiornato -> niente
av on line (trend micro -> netsky.x
patch varie ed eventuali : ok
ad-aware, spybot, cws..nada
come lo levo ' sto maledetto?

[Alchimista]

Scaricati Antivir PE e scontrolli con quello, poi scaricati tutte le patch di Windows XP dal WU. Aggiorna l'AV ora, avast è stato aggiornato oggi.
Comunque prova a vedere con Antivir che succede. Ciao.

P.S: firewall ne usi?

[netquik]

hai dato un occhiata con tasklist o procexplorer che servizi sono contenuti nel svchost.exe che da problemi?


se sono tutti validi è probabile stia facendo a cazzotti col firewall

[The Lenny]

allora...
antivir pe mi fa i complimenti x tanto che è pulito il sistema...
no firewall: i raga cha gestiscono iìinternet point non lo sanno usare e combinano puntualmente casini..
wu mi da tutti gli aggiornamenti ok
ho provato con il tool symantec..nada
ho reinstallato avast nada
quasi quasi lo brucio!
aiutoooooooooooooooooooooooo

[The Lenny]

anche un monitoraggio con process explorer non da risultati particolari..

[The Lenny]

per completezza, posto anche il solito log..mi pare, a parte un'eccessiva presenza della bar di google, di non vedere nulla di strano..sbaglio?
a Svchost chiuso:
Logfile of HijackThis v1.97.7
Scan saved at 23.25.09, on 21/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Client\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

prima di chiuderlo:
Logfile of HijackThis v1.97.7
Scan saved at 23.27.26, on 21/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Documents and Settings\Client\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

[netquik]

strana cosa davvero

ci dici

quali sono i seevizi incriminati?

[The Lenny]

:\WINDOWS\System32\svchost.exe
ha un utillizzo della cpu variabile, che porta un super lavoro di lsass...terminandolo, tutto torna normale. peccato che ciò sia possibile solo da admin, e che una volta fatto, rifiuti di accedere agli altri account (internet e guest, entrambi limitati). sto provando di tutto ma..niente..
aiutooooooooooooooooooooooooo
(se era facile.. ti devo far bestemmiare ogni tanto, no? )

capitano tutte a me! plos!!!

[The Lenny]

www.ilsoftware.it/av.asp?id=38

in effetti, ho scovato un processo con regedit che ha questo nome (firewallsvr.exe)..la procedura descritta è attendibile secondo voi?

[netquik]

ma hai quella voce in run?

[The Lenny]

adesso non più
ma continua la via crucis..
lo scan on line aveva individuato fuck_u_bagle.txt, e lo ha segato.
a mano ho levato firewall etc..ancora lo stesso dilemma...

[The Lenny]

la cosa strana è che i vari av provati non me lo rilevavano..

[netquik]

e tanto meno hijackthis... ?!??!


hai cancellato anche il file firewallsvr.exe

[The Lenny]

hijack non lo vedeva.."cerca" neppure.. solo cercando nel reg come da sito è uscito fuori sta bestiaccia!

[netquik]

sì ho visto che non veniva fuori in hijack (certo hai anche la versione vecchia )


il file lo hai eliminato?

[The Lenny]

si, il file (o meglio i files, visto che erano in 2) sono stati seccati..ma non è bastato...8 h su quel pc sono troppe!! domani formatto e reibstallo, poi lo ributto in rete..
un acuriosità (e adesso sgignazzerai):
come si formatta un hd con win xp sopra? cioè..ho fatto un tentativo alla "mordicchia (erano anche le 3.30 am!), m aniente format vecchio stile! ripara, correggi, sostituisci ma..io voglio un equivalente al vecchio format c: del dos!!ovviamente, niente console! devo x forza smontare l'hd e piazzarlo su un altro pc come slave. e formattarlo da lì?

[The Lenny]

http://www.tutorialpc.it/formattarexp.asp

sinceramente, questa richiesta non me l'ha fatta. è vero pure che ho provato solo a recuperare..devo scegliere installa, così mi vede il win vecchio e chiede se scrivere su u'altra cartella o formattare l'hd? ma era tanto bello il riavvio in ms-dos..

[netquik]

Se avvii l'installazione da cd di boot
Lui ti avviserà che è già presente Xp sul pc e ti chiederà se vuoi
ripristinare la precedente installazione oppure no.
Scegli di fare una nuova installazione.
Ad un certo punto ti chiederà se vuoi formattare prima di installare e quale
file system vuoi utilizzare.


se non erro...
(non l'ho usato quasi mai perchè sono di una vecchia scuola che dice "che formattare spesso non serve" di solito quando reinstallavo cancellavo con un file manager dos le cartelle di sistema e reisntallavo windows nuova, certo adesso con NTFS è tutto più complicato)

ciauz

[The Lenny]

bhè..son davvorco anche io..ma 2 anna x un hd "pubblico" non sono pochi credo...si calcolano come quelli dei cani! neanche a me è mai capitato di dover formattare un ntfs..tra 1 h 1/2 torno a combatterci (certo, ier era figo: su un pc smadonnavo, su quello accanto c'era il 3d aperto..faceva tanto summit!)

[netquik]