|
|||||||
|
|
|
 |
|
|
Strumenti |
22-08-2005, 11:33
|
#1 |
|
Senior Member
Iscritto dal: Dec 2003
Città: MB
Messaggi: 4524
|
Processo strano in esecuzione su server
Ciao a tutti, ho questo problema.
Un amico ha un server (s.o. win2000 server) con IP fisso che utilizza per gestire il suo sito. Ultimamente la CPU va al collasso perchè si attiva un processo (e non abbiamo ancora capito come) che si mangia tutta la CPU. Questo processo si chiama con un progressivo e estensione .tmp e risiede nella cartella Winnt\system32 con nomi tipo 1.tmp oppure B.tmp . Non c'è modo di bloccarlo se non riavviando il server, perchè cercando di farlo dal task manager da "Accesso negato". Ma anche riavviando il server, dopo un po' si "rigenera" di nuovo, chiamandosi con un progressivo successivo , ad esempio se il primo era b.tmp quello dopo si chiama c.tmp . Avete qualche idea su cosa si possa fare ? Grazie !!! |
|
|
|
22-08-2005, 14:42
|
#2 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Provincia di Milano
Messaggi: 362
|
 Sembra un virus...Hai provato con qualche scansione online? Io ho trovato riferimenti solo sul sito symantec. Parla di un W32.Alcra.B (un worm) che genera un files a.temp nella cartella ProgramFiles%\winupdates\a.tmp |
|
|
|
|
22-08-2005, 14:46
|
#3 |
|
Senior Member
Iscritto dal: Jun 2002
Città:
Provincia De VaRéSe ~ § ~ Lat.: 45° 51' 7" N Long.: 8° 50' 21" E ~§~ Magica Inter ~ § ~ Detto: A Chi Più Amiamo Meno Dire Sappiamo ~ § ~ ~ § ~ Hobby: Divertimento allo Stato Puro ~ § ~ ~ § ~ You Must Go Out ~ § ~
Messaggi: 8895
|
scansione online e una scansione da un antivirus aggiornato in locale
~§~ Sempre E Solo Lei ~§~
__________________
Meglio essere protagonisti della propria tragedia che spettatori della propria vita
Si dovrebbe pensare più a far bene che a stare bene: e così si finirebbe anche a star meglio. Non preoccuparti solo di essere migliore dei tuoi contemporanei o dei tuoi predecessori.Cerca solo di essere migliore di te stesso |
|
|
|
|
22-08-2005, 14:49
|
#4 |
|
Senior Member
Iscritto dal: Dec 2003
Città: MB
Messaggi: 4524
|
Stasera proviamo, grazie.
Per la verità il file tmp non viene creato nella cartella programmi ma direttamente in windows. Comunque può essere una buona idea, anche perchè oggi ho saputo che quel frescone del mio amico aveva lasciato aperto l'accesso anonymous in ftp, e sulla root web del server erano stato "depositato" ogni genere di porcheria. In teoria adesso la root è pulita, ma qualcosa potrebbe essersi già propagato. Mi sa che dovrà riformattarlo quel server !
|
|
|
|
|
22-08-2005, 14:50
|
#5 |
|
Senior Member
Iscritto dal: Dec 2003
Città: MB
Messaggi: 4524
|
dimenticavo, quale mi consigliate come scansione on-line ?
|
|
|
|
|
22-08-2005, 14:54
|
#6 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Provincia di Milano
Messaggi: 362
|
|
|
|
|
|
22-08-2005, 15:02
|
#7 |
|
Senior Member
Iscritto dal: Jun 2002
Città:
Provincia De VaRéSe ~ § ~ Lat.: 45° 51' 7" N Long.: 8° 50' 21" E ~§~ Magica Inter ~ § ~ Detto: A Chi Più Amiamo Meno Dire Sappiamo ~ § ~ ~ § ~ Hobby: Divertimento allo Stato Puro ~ § ~ ~ § ~ You Must Go Out ~ § ~
Messaggi: 8895
|
symantec
panda ~§~ Sempre E Solo Lei ~§~
__________________
Meglio essere protagonisti della propria tragedia che spettatori della propria vita
Si dovrebbe pensare più a far bene che a stare bene: e così si finirebbe anche a star meglio. Non preoccuparti solo di essere migliore dei tuoi contemporanei o dei tuoi predecessori.Cerca solo di essere migliore di te stesso |
|
|
|
|
23-08-2005, 07:31
|
#8 |
|
Senior Member
Iscritto dal: Dec 2003
Città: MB
Messaggi: 4524
|
Allora ieri sera ho eseguito la scansione on line con Bitdefender.
Ha trovato una prima volta il file c:\\winnt\system32\.exe (già il nome è strano), infected by behavestlike:win32.irc-backdoor L'ho cancellato ma subito dopo ha trovato anche il file ssl.exe (sempre in system32) "infettato" dallo stesso virus. In questo caso però non è riuscito a cancellarlo, forse perchè in quel momento quel task era in esecuzione. La cosa strana è che sono riuscito a rinominarlo in .txt, anche se il processo non sono riuscito a terminarlo. Poi ho fatto una scansione on-line anche con McAfee, ma non mi ha trovato niente. Mi sa che sarà meglio riformattare quel server ... |
|
|
|
|
23-08-2005, 07:51
|
#9 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
fai un log con hijackthis
|
|
|
|
|
23-08-2005, 08:00
|
#10 | |
|
Senior Member
Iscritto dal: Dec 2003
Città: MB
Messaggi: 4524
|
Quote:
Ne ho visti alcuni e mi sembrano un po' incasinati da interpretare : lo posso postare qui ? |
|
|
|
|
|
23-08-2005, 08:45
|
#11 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Provincia di Milano
Messaggi: 362
|
Domanda:
ma dopo averlo rinominato hai rifatto la scansione online con bitdefender? L'ha trovato ancora? Cmq appena hai il log postalo... 
|
|
|
|
|
23-08-2005, 08:46
|
#12 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28978
|
Quote:
|
|
|
|
|
|
23-08-2005, 08:47
|
#13 |
|
Senior Member
Iscritto dal: Dec 2003
Città: MB
Messaggi: 4524
|
No, l'ho fatta ma con McAfee, così per provare un altro antivirus.
Era tardi e non avevo voglia di aspettare un'altra scansione, comunque stasera riprovo. |
|
|
|
|
23-08-2005, 08:48
|
#14 | |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
Quote:
|
|
|
|
|
|
23-08-2005, 08:51
|
#15 | |||
|
Senior Member
Iscritto dal: Dec 2003
Città: MB
Messaggi: 4524
|
Quote:
Quote:
Quote:
|
|||
|
|
|
|
23-08-2005, 15:04
|
#16 |
|
Member
![L'Avatar di [El]Briso](customavatars/avatar82410_2.gif){kind=avatar}
Iscritto dal: Nov 2004
Messaggi: 39
|
Anch'io proprio oggi ho questo problema.
Ho provato in modalità provvisoria, ma il file C://WINNT/system32/ssl.exe non c'è... Compare solo in modalità normale, in modalità provvisoria scompare.. Non si riesce a terminare, neanche con MSCONFIG.. Ho già fatto scansione sia con Panda che con Symantec, non mi resta che provare e sperare in BitDefender
__________________
COMOTALCO.IT |
|
|
|
|
23-08-2005, 15:08
|
#17 |
|
Senior Member
Iscritto dal: Dec 2003
Città: MB
Messaggi: 4524
|
Beh probabilmente in modalità provvisoria non si attiva la schifezza che lo fa partire.
La scansione antivirus l'hai fatta in modalità provvisoria ? |
|
|
|
|
23-08-2005, 16:43
|
#18 |
|
Member
Iscritto dal: Nov 2004
Messaggi: 39
|
La scansione online l'ho fatta in modalità normale.
2 gg fa ho fatto una scansione in mod provv, ma non mi aveva trovato questo virus..Probabilmente è comparso tra ieri e oggi.
__________________
COMOTALCO.IT |
|
|
|
|
23-08-2005, 21:15
|
#19 |
|
Senior Member
Iscritto dal: Dec 2003
Città: MB
Messaggi: 4524
|
Eccomi, ho eseguito Hijackthis e di seguito allego il log.
Posto anche un'immagine del Task Manager, con la CPU ancora al 100%. Fra l'altro il file ssl.exe che avevo rinominato come .txt, è stato ricreato ed è sempre in esecuzione. Intanto ho scaricato e sto eseguendo anche Spybot S & D. Più tardi se riesco a terminare posto il risultato. Logfile of HijackThis v1.99.1 Scan saved at 21.48.04, on 23/08/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\termsrv.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\llssrv.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\WINNT\system32\Dfssvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\rdpclip.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Programmi\Analog Devices\SoundMAX\SMTray.exe C:\WINNT\system32\internat.exe C:\Programmi\VIA\RAID\raid_tool.exe C:\Programmi\WinZip\WZQKPICK.EXE C:\WINNT\system32\logon.scr C:\WINNT\system32\10.tmp C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\transito\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [Services] C:\WINNT\system32\10.tmp O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...61/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5435FDAB-4D74-4D4D-A696-1C5579F5ED75}: NameServer = 213.140.2.12,213.140.2.21 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe 
|
|
|
|
|
23-08-2005, 22:07
|
#20 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Provincia di Milano
Messaggi: 362
|
Penso:
C:\WINNT\system32\10.tmp (banale, visto che blocca la cpu )O17 - HKLM\System\CCS\Services\Tcpip\..\{5435FDAB-4D74-4D4D-A696-1C5579F5ED75}: NameServer = 213.140.2.12,213.140.2.21 (non so cosa sia) O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe (  )Cmq per una risposta più sicura vai a vedere qui Dopo che hai bloccato quei processi io tenterei una nuova scansione on line (cmq se hai tempo la cosa migliore sarebbe formattare...ma so che non tutti condividono...) |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 12:20.
