PDA

Visualizza versione completa : CPU sovraccarica Virus????


elena.gioia
05-10-2006, 11.37.27
Salve a tutti, da un po' di tempo il computer di un collega era diventato lentissimo, tanto da non riuscire più a lavorare. Ho dato un'occhiata al task manager e ho visto che l'utilizzo della CPU difficilmente scendeva sotto il 100%.
Ho identificato in particolare 2 processi che succhiano tutte le risorse della macchina (un W2k pro come SO):
Services.exe che spende il 60/80% delle risorse e VLV.exe che spende il restante 20/30%.
Ho cercato su internet qualche riferimento a questi due servizi, ma a parte qualche sito in GIAPPPONESE ho trovato poco. Mi affido alla vostra profonda saggezza, grazie

crazy.cat
05-10-2006, 13.40.51
Il primo file che indichi è anche un file di windows, però lo stesso nome viene usato da tantissimi virus, il secondo è praticamente sconosciuto.
Prova a postare un log della scansione di hijackthis e poi vediamo come andare avanti.

elena.gioia
05-10-2006, 14.43.21
Ecco il log, è praticamente pulito...

Logfile of HijackThis v1.98.2
Scan saved at 14.39.16, on 05/10/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\system32\svchost.exe
C:\OfficeScan NT\ofcdog.exe
C:\OfficeScan NT\pccntmon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\taskmgr.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\fsapia\Desktop\HijackThis.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MSConfig] C:\WINNT\system32\msconfig.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll

crazy.cat
05-10-2006, 15.44.53
Manca almeno metà log....tutta la parte dei servizi e i bho iniziali

elena.gioia
05-10-2006, 15.48.28
La scansione da solo questo come esito, non c'è altro! D'altronde ho salvato il file log dalla apposita voce del prgramma e poi l'ho copiata e incollata. Ho anche verificato il file che mi ha salvato e non c'è nient'altro...

esdisu
05-10-2006, 19.00.25
La scansione da solo questo come esito, non c'è altro! D'altronde ho salvato il file log dalla apposita voce del prgramma e poi l'ho copiata e incollata. Ho anche verificato il file che mi ha salvato e non c'è nient'altro...
è la prima che sento.... :timid:

Sbavi
05-10-2006, 19.25.40
Ciao Elena (F)

Dai una letta a questo mio post ;)

http://www.wintricks.it/forum/showpost.php?p=1221701&postcount=15

crazy.cat
05-10-2006, 19.26.32
è la prima che sento.... :timid:
Io no, hijackthis ogni tanto ha questi "vuoti".

Prova a caricare i due file che hai segnalato sul sito www.virustotal.com e vedi se si tratta di virus o se sono infetti.

esdisu
05-10-2006, 19.43.20
Io no, hijackthis ogni tanto ha questi "vuoti".
Prova a caricare i due file che hai segnalato sul sito www.virustotal.com e vedi se si tratta di virus o se sono infetti.
Grazie crazy , ho imparato qualcosa. ;)

Lionsquid
06-10-2006, 00.35.05
è la vecchia versione 1.98.2 che ha dei bug noti, inoltre il SO è W2k, non XP.. sul W2k è frequente la generazione di log parziali

dovresti usare l'ultima ... 1.99.1 e ripetere la scansione, anzi.. prima di fare la scansione è sempre bene attivare manualmente il controllo su tutte le sezioni...

click su "open the misc tools section" , poi attiva LIST also minor section e anche LIST empy sections, cliccare su "back" e infine su scan

elena.gioia
06-10-2006, 10.13.37
Eureka! il problema del sovra utilizzo della CPU sono riuscita a risolverlo. Ecco come ho fatto:
1. aggiornamenti di Windows
2. scansione con AVG Spyware (trovati 6 di cui 3 ad alta pericolosità ed eliminati)
3. scansione con Gromozon removal tool (individuato ed eliminato)
Adesso rimane ancora un problema sull'avvio di Windows, nel senso che ci mette circa 20/25 minuti a visualizzare le icone del desktop, ma per lo meno l'utilizzo della CPU è sceso dal 100% dei giorni scorsi ad un più accettabile 4%.
Grazie comunque...

prandot
06-10-2006, 10.31.04
, nel senso che ci mette circa 20/25 minuti a visualizzare le icone del desktop, ma per lo meno l'utilizzo della CPU è sceso dal 100% dei giorni scorsi ad un più accettabile 4%.
Grazie comunque...

accidenti, fai un controllo dei processi che partono allo startup...

crazy.cat
06-10-2006, 11.58.33
Adesso rimane ancora un problema sull'avvio di Windows, nel senso che ci mette circa 20/25 minuti a visualizzare le icone del desktop, ma per lo meno l'utilizzo della CPU è sceso dal 100% dei giorni scorsi ad un più accettabile 4%.Grazie comunque...
Come aveva detto Lionsquid, prova a ripostare un log di hijackthis con questa versione
http://www.spywareinfo.com/~merijn/files/hijackthis.zip