| Autore |
 Discussione  |
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
 Inserito il - 06/03/2007 : 13:59:13
|
ciao a tutti, potete per favore aiutarmi su un problema che si manifesta sul mio pc da qualche giorno:
si presenta continuamenteun'icona che dice"L'arresto è stato avviato da NT AUTHORITY SYSTEM è necessario riavviare perchè il servizio RPC è terminato in modo imprevisto" e mi riavvia il PC; inoltre il pc è lentissimo e dal task manager risulta un utilizzo di CPU a 92-98 da parte di svchost.exe.
Girando un po' su internet mi sembra di aver capito si tratti dei sintomi tipici di qualche virus trojan...
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 06/03/2007 : 14:09:38
|
posta un log di Hijackthis htt*://[www].merijn.org/files/hijackthis.zip
metti il programma in un cartella dedicata in c:\programmi\Hijackthis
lancia e clicca il tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare
secondo le regole htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
Ciao. |
 |
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
Inserito il - 06/03/2007 : 21:06:30
|
eccoti il log di hijackthis
htt*://[www].freefilehosting.net/download/MTIxODQ3
Quando entro in internet mi escono messaggi in cui si richiede l'installazione di software tipo Drivecleaner o Proregrun, finestre che si portano appresso un gran numero di spyware e virus, che Panda elimina. inoltre il pc continua a rallentare e si sono formati vari processi svchost e tftp, anche all'avvio. se cerco di eliminarli si riformano.
Grazie per l'aiuto.
Gianpaolo |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 06/03/2007 : 22:58:50
|
Accidenti, è sempre più difficile 
Una tua voce all'avvio relativa a SpywareBot mi incuriosiva per la sua posizione in "Dati applicazioni", infatti anche SpywareWarrior la pone nella lista nera:
htt*://[www].spywarewarrior[.com]/rogue_anti-spyware.htm
Questo, giusto per cultura generale...
Fixa queste voci:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*://[www].freeinternet.it?PC=1
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programmi\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [spywarebot] C:\Documents and Settings\Proprietario\Dati applicazioni\SpywareBot\SpywareBot.exe -boot
O14 - IERESET.INF: START_PAGE_URL=htt*://[www].freeinternet.it?PC=1
Ed elimina il file C:\Documents and Settings\Proprietario\Dati applicazioni\SpywareBot\SpywareBot.exe e se lo hai tra le applicazioni, elimina il programma SpywareBot.
Ciao |
|
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
Inserito il - 07/03/2007 : 18:02:10
|
ecco il nuovo log di hijackthis:
htt*://[www].freefilehosting.net/download/MTIyNzkz
Il problema non è assolutamente risolto, anzi...
Continuano a spuntare adware con pagine web strane tipo di broadcasting o altro e nel log mi sembra (da profano) che siano spuntate fuori cose che prima non c'erano...
Grazie
Gianpaolo |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 07/03/2007 : 18:56:52
|
1)Fixa questa voce:
O23 - Service: Windows System Service (SYSTEMSVC) - Unknown owner - C:\WINDOWS\system\system.exe (file missing)
Controlla se hai il file C:\WINDOWS\system\system.exe e se lo trovi eliminalo.
2)Questa voce non la conosco (è un'applicazione all'avvio):
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\System32\ypswutvu.dll",setvm
Sai per caso a cosa si riferisce?
3)Scarica a-squared Free 2.1: htt*://[www].emsisoft[.com]/en/software/download/
Installa, aggiorna e fai una scansione approfondita (Deep scan).
Vediamo se trova qualcosa... |
|
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
Inserito il - 07/03/2007 : 20:57:11
|
ciao,
ho eliminato le voci su hijackthis. Il pc riceve ancora una marea di virus e la voce che mi hai detto (file missing) system\system.exe si riforma. Ho scaricato ad-aware e lo sto facendo girare e sta trovando, però anche prima a-squared ha trovato varie cose ma non è cambiato nulla. sto scaricando gli aggiornamenti per sp1, dato che avevo visto che mi rallentava molto il pc e non scarico aggiornamenti da molto. se installo sp2 ora c'è possibilità che sia corrotto o non efficiente a causa dei virus che ho?
Grazie |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 07/03/2007 : 23:40:00
|
Se scarichi sp2 non fai altro che migliorare l'efficienza del sistema.
A questo punto facciamo così (è difficile risolvere problemi senza avere la macchina sottomano)...
Siccome mi hai detto che hai fixato le voci, suppongo che tu non conoscessi la voce 04 che ti ho indicato (ypswutvu.dll), in tal caso devi eliminare anche quel file (C:\WINDOWS\System32\ypswutvu.dll)
Installa l'sp2 senza problemi, tanto non fai altro che migliorare il sistema.
Scarica anche AVG Antispyware: htt*://[www].ewido.net/en/download/ e mandalo in scansione.
Scarica anche RegSeeker: htt*://[www].hoverdesk.net/freeware.htm
Fai questa procedura:
Prima manda in scansione AVG, ed elimina quello che trova.
A questo punto liquidi i due file ypswutvu.dll e system.exe; se ti dice che sono in esecuzione apri il TaskManager e chiudi i processi con lo stesso nome, poi elimina i file.
Poi apri RegSeeker, in alto a destra trovi il comando "Language...", lo clicchi e selezioni l'italiano; clicca "Pulizia del registro", seleziona tutte le voci e clicca "OK!"; a fine scansione vai su "Seleziona" (in basso a sinistra) ed elimina tutte le voci *verdi*.
Se non ti è chiaro fammi sapere, o qui o sul mio contatto MSN (provvederemo poi a scrivere i risultati)
Ciao |
|
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
Inserito il - 08/03/2007 : 18:40:11
|
ecco il nuovo log di hijack this:
htt*://[www].freefilehosting.net/download/MTIzNzc2
aVG ha trovato vari trj e un downloader (downloader.small.edb). Ho pulito il registro, ma riconnettendomi sono rispuntate fuori le solite finestre e vari spyware, adware e trj.
Mi sa che ciò che li fa spuntare sia ancora nel mio pc...
Cosa sono nel log quello che ho ai punti 03 e 017?
E il processo csrss e smss cosa sono? Perchè tanti virus mi attaccano lì...
Grazie |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 08/03/2007 : 23:53:05
|
dal log non si rileva nulla.
la voce 03 è riferito a una toolbar di internet explorer
la voce 017 non è presente nel log
csrss se non ricordo male dovrebbe essere il servizio assistenza grafica di Win
smss: session manager
se la situazione non cambia:
scarica GMER htt*://[www].gmer.net/ scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
secondo le regole
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255 |
|
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
Inserito il - 09/03/2007 : 08:29:12
|
ciao,
in giornata farò quanto mi dici. Effettivaemnte dopo il caricamento di SP2 e dopo gli interventi da te suggeriti non ho più avuto gli arresti con riavvio. Da internet ieri sera mi ha reindirizzato su un sito "online immigration" dove mi hano buttato giù un virus "trojan.small.lk" neutralizzato da AGV. Su task manager si nota nei processi la presenza del file SVCHOST.EXE quintuplicato e un elevato utilizzo della CPU da parte del ciclo idle.
Windows firewall è inoltre "disattivato" e non si riesce a spuntare l'attivazione dal pannello di controllo: potrebbe essere legato al/ai virus?
Grazie ancora GianPaolo |
|
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
Inserito il - 09/03/2007 : 20:20:40
|
Ecco i due log di gmer.
htt*://[www].freefilehosting.net/download/MTI0OTc3
htt*://[www].freefilehosting.net/download/MTI0OTc4
Oggi pomeriggio ho installato zone allarm, ma dopo che Panda ha trovato uno strumento di hacking e vari virus, i vari antivirus e antispyware hanno cominciato a comportarsi in modo strano e aVG mi ha tolto la protezione automatica e zone allarm mi è incredibilmente scaduto (l'avevo installato da neanche un'ora...) poi l'ho disinstallato, ma non mi ha lasciato eliminare il Truevector, perchè in uso da vsmon.exe, processo incancellabile...
Ecco il log di hijackthis
htt*://[www].freefilehosting.net/download/MTI0OTgx
Cosa è successo?
Grazie |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 09/03/2007 : 23:14:48
|
Penso che il tuo problema possa risalire allo scorso anno,
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=7764&whichpage=1&SearchTerms=,C:\Documents,and,Settings\All,Users\Dati,applicazioni\
credo che siano effetti di quella infezione mai risolta.
dai log rilevo solo la presenza della cartella in questione.
Al momento non so che dirti, i danni che può fare un rootkit sono indecifrabili. |
|
|
|
gidovi
Senior Member
Città: alessandria
94 Messaggi |
Inserito il - 10/03/2007 : 08:24:31
|
cosa mi suggerisci per tentare la rimozione, dato che sei aggiornatissimo per quanto riguarda software di rimozione? Ma tutto il resto, compresi spyware, adware, strumenti di hacking, pop-up e virus vari sarebbero causati da quel rootkit? solo un'altra cosa: perchè il mio antivirus mi dice che il livello di protezione è basso e quando cerco di aggiornarlo mi dice che non richiede aggiornamento?
Grazie
Gianpaolo |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 10/03/2007 : 12:21:50
|
riprova ad usare Avenger nel rimuovere :
C:\Documents and Settings\All Users\Dati applicazioni\TEMP:2A81F9CE
C:\WINDOWS\system32:lzx32.sys
posta il log.
Win patron log di monitoraggio
scarica il programma Win patrol:
htt*://[www].ilsoftware.it/querydl.asp?ID=666
installa il programma, avvialo e da “opzioni” clic su “full report” si otterra un file di testo, salvarlo su desktop e posta il risultato secondo le regole del forum.
|
|
|
| |
Discussione |
|
Arresto causato da RPC
Forum Bloccato
