PC lentissimo - services.exe 90% CPU!!!

[jackdee]

Allora....avviato Gmer che, dopo un'interminabile scansione non ha trovato nulla di sospetto;
scaricato e avviato TDSSKiller il quale ha trovato un file sospetto (sptd) ed ha skippato l'operazione.
Vi linko comunque il report di TDSSKiller e di Gmer .
Purtroppo non posso collegare l'altro HDD, in quanto l'ho disabilitato dalla gestione delle periferiche, e non posso neanche fare l'operazione di riconoscimento modifiche hardware in quanto il processo services.exe (quello che mi manda in palla il sistema) è sempre occupato in questa fantomatica operazione di plug and play (come se stesse installando qualche periferica). In effetti, se provo ad avviare la procedura di installazione periferica, il sistema mi avverte dicendomi di chiudere quella che è già in corso (????) e poi di avviare l'altra...boh...
Ah...nel post precedente, ho dimenticato di dirvi che dopo il riavvio avvenuto dopo la scansione con Dr. Web, il sistema ha automaticamente eseguito un controllo di coerenza del disco c, il quale sembra essere andato a buon fine....

[R16]

Ciao a tutti, e scusate l'intrusione.

Allora....avviato Gmer che, dopo un'interminabile scansione non ha trovato nulla di sospetto;

In realtà qualcosa ha trovato:

codice:

Reg       HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{61C490A1-1941-293A-AD30-78461F1F7ED7}                                       
Reg       HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{61C490A1-1941-293A-AD30-78461F1F7ED7}@abjkhibaljncljobcegjcjolpnndipojji    0x61 0x62 0x64 0x6B ...
Reg       HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{61C490A1-1941-293A-AD30-78461F1F7ED7}@bbjkhibaljncljobcebjnnnobikgnnlfpbfk  0x61 0x62 0x67 0x6B ...

Che poi, sono gli stessi che ha rilevato Combofix:

[HKEY_USERS\S-1-5-21-1482476501-1390067357-839522115-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{61C490A1-1941-293A-AD30-78461F1F7ED7}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"abjkhibaljncljobcegjcjolpnndipojji "=hex:61,62,64,6b,6f,64,63,6e,64,6c,6f,6a,
6c,6c,63,6f,62,69,68,6e,6b,64,6b,6c,6d,64,62,6d,6f ,62,6d,62,6d,69,00,77
"bbjkhibaljncljobcebjnnnobikgnnlfpbfk "=hex:61,62,67,6b,6d,70,61,70,64,63,6c,61,
6e,70,67,66,68,67,6d,6f,6e,68,6a,64,67,67,6d,62,67 ,6f,6a,6c,67,69,00,77

.

Le lettere segnate in grassetto sono rimasugli di rootkit.

Non sò se eliminadoli risolveranno il tuo problema. (non credo)
Ma tentare è un obbligo.
Ciao.

[jackdee]

Grazie R16 per la tua gradita intrusione!!
Io purtroppo non ho una grandissima conoscenza di queste cose, avevo spulciato ad occhio i report senza capirci granchè: pensavo che il programma mi fornisse un alert se avesse trovato un problema. Sono pronto a provare ad eliminare quelle voci che mi hai evidenziato, solo che non ho proprio idea di come fare; devo riavviare ComboFix o Gmer? Ho notato che Combofix non lascia molti tool all'utente per agire, e non sono praticissimo con Gmer. Ti sarei eternamente grato se mi fornissi le istruzioni per muovermi in questo inferno di bytes.....

[R16]

Con il permesso di menatwork......

Proviamo a eliminarli......ma non garantisco che il problema venga risolto:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

codice:

KillAll::
RegNull::
[HKEY_USERS\S-1-5-21-1482476501-1390067357-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{61C490A1-1941-293A-AD30-78461F1F7ED7}*]

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix

[jackdee]

Aggiornamento in tempo reale: mi sono cimentato ad aprire regedit per trovare la chiave suggeritami da R16, ovvero questa:

[HKEY_USERS\S-1-5-21-1482476501-1390067357-839522115-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{61C490A1-1941-293A-AD30-78461F1F7ED7}*]

ed il sistema mi restituisce un errore durante l'apertura della suddetta...

[menatwork]

ho trovato questo driver sembrerebbe sospetto

\SystemRoot\System32\Drivers\aktpag4s.SYS

questi non saprei dirti se appartengono a gmer o sono infezioni

Running:e11ej9i7.exe ; Driver: C:\DOCUME~1\daneelo\IMPOST~1\Temp\uwrdapob.sys


scarica Kaspersky Virus Removal Tool

Una volta scaricato ed installato il software:
verrà creata una cartella sul Desktop, chiamata Virus Removal Tool
verrà mostrata la schermata principale del tool: metti la spunta su tutte le voci disponibili clicca, in basso a destra, sul bottone Avvia scansione terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralizza tutto
si apriranno delle finestre: potrai scegliere se Cancellare o Disinfettare
metti la spunta su Applica a tutti e clicca su Quarantena
clicca sul tasto Reports: salva il file di log sul Desktop, e allegalo
alla chiusura del programma, Kaspersky Virus Removal Tool chiederà di essere rimosso: acconsenti

edit

la chiave che contiene i valori rootkit devi eliminarla come ti ha suggerito r16

[jackdee]

Allora....ho seguito la procedura indicatami da R16; ecco il nuovo log di combofix (stavolta, a differenza delle altre ha riavviato automaticamente il sistema); sul pc comunque non è cambiato nulla.
Ho eseguito combofix da modalità provvisoria, credo sia la stessa cosa, visto che il problema c'è anche lì.
Provo con l'antivirus e vi aggiorno....grazie per la pazienza...

[jackdee]

Mi sono scordato di dirti che il processo da te indicatomi è effettivamente Gmer (lo ha scaricato così); il file .sys non saprei....

[R16]

Dopo la scansione (durata pochissimo) MBRCheck mi avvertiva del fatto che i due HDD fisici D: ed E: avevano entrambi l'mbr infestato dal rootkit Whistler - Black Internet;

Sarebbe interessante vedere il log di MBRCheck.
E poi sarebbe altrettanto interessante, sapere se nei 2 HDD sono installati S.O.
E se sono installati, sapere il tipo di S.O. (Vista, XP, Seven, oppure distro Linux)

[jackdee]

Negli altri 2 HDD non ci sono SO installati: li uso solo per appoggiare dei file di alcuni progetti e per memorizzare i download; il rapporto di MBRCheck purtroppo non ce l'ho, ma non veniva indicato granchè, soltanto una scritta in rosso relativa ai due drive che citava appunto il rootkit Whistler-Black Internet, mentre per il drive c: era presente una scritta in verde che rilevava semplicemente la presenza intatta dell'MBR...tra l'altro nono so proprio in che modo ricollegarli senza che il sistema si infetti...ma questo è un problema che affronterò in seguito....