svchost.exe e risorse -> log HijackThis

[9sedici]

Ho fatto una ricerca e ho visto che anche altri hanno avuto questo problema ma non sono venuto a capo di una soluzione "univoca".
Praticamente ho la cpu costantemente al 100%, impegnata al 99 da "svchost.exe" che sembra essere un file di sistema, probabilmente influenzato nel suo comportamento da qualcosa; ovviamente il computer è rallentato da questo fattore.
Ho fatto una scansione con HijackThis e questo è il logffile:

Logfile of HijackThis v1.99.1
Scan saved at 14.35.37, on 05/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\3M\PSNLite\PsnLite.exe
C:\pop3\html2pop3.exe
C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\hg31\Desktop\Nuova cartella\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: html2pop3.lnk = C:\pop3\html2pop3.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: Yahoo! Widget Engine (2).lnk = C:\Programmi\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\3M\PSNLite\PsnLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SysTzh - Unknown owner - C:\Programmi\File comuni\System:suzQ.exe


Come posso uscirne?

[MisterBean]

Non me ne intendo di log di HijackThis, ma li faccio sempre analizzare in automatico su alcuni siti. Guarda qui...

[9sedici]

Grazie, ho già controllato copiando il file su quel sito ma non mi rileva niente di sospetto...

[9sedici]

Ho ucciso l'ultimo processo con HijackThis, sembra andare meglio... incrocio le dita

[darkkik]

Non è da sicurezza informatica e virus?

Sposto.

[holifay]

O23 - Service: SysTzh - Unknown owner - C:\\Programmi\\File comuni\\System:suzQ.exe

Interessante... un servizio che richiama un file che si trova negli ADS. Già fatto un check degli Alternate Data Streams?

posta il contenuto degli ADS che ti trova HijackThis. Apri HijackThis, premi Open the misc tools section, poi clicchi su Open Ads Spy... e togli il segno di spunta sulla casella Quick Scan. Fai riferimento a questa parte della guida: http://www.zeusnews.it/index.php3?a...pa&cod=4696
Al termine salva il log e posta qui il contenuto

[amvinfe]

9sedici

leggiti per cortesia le discussioni poste in rilievo, esegui le varie scansioni con i software che all'interno delle stesse vengono consigliati e posta un log corretto di HijackThis.

Grazie.

[amvinfe]

ovviamente segui anche i suggerimenti di holifay, ultimamante con gli ADS ha un buon feeling

[9sedici]

Originariamente inviato da holifay
Interessante... un servizio che richiama un file che si trova negli ADS. Già fatto un check degli Alternate Data Streams?

posta il contenuto degli ADS che ti trova HijackThis. Apri HijackThis, premi Open the misc tools section, poi clicchi su Open Ads Spy... e togli il segno di spunta sulla casella Quick Scan. Fai riferimento a questa parte della guida: http://www.zeusnews.it/index.php3?a...pa&cod=4696
Al termine salva il log e posta qui il contenuto

Scusate se ho sbagliato sezione, non sapevo se fosse un "capriccio" di windows o altro...

Io gli ADS non so nemmeno cosa siano, purtroppo la giuda che mi hai indicato...non c'è!
Ho provato a fare la scansione lostesso, questo è il risultato:

C:\Programmi\File comuni\System : suzQ.exe (78864 bytes)
C:\Programmi\File comuni\System : suzQ.exe (78864 bytes)
C:\WINDOWS\Prefetch\SYSTEM : SUZQ.EXE-2B4221D7.pf (7714 bytes)
C:\WINDOWS\system32 : knaa.dll (9728 bytes)
C:\WINDOWS\system32 : knaa.dll (9728 bytes)

Ho eliminato qualcosa che non dovevo? Comunque, confermo che a distanza di qualche ora, la cpu non è più andata a 100 e svchost è a 0% di utilizzo

[holifay]

Come immaginavo, il malware è ancora ben nascosto nel tuo PC negli ADS, quindi non lo troveresti mai con explorer... Se non sai cosa sono gli ADS, ma sei curioso, leggi qui: http://sicurezza.html.it/articoli/le...ili-di-window/

Scusa per il link sbagliato alla guida, ma hai fatto il log benissimo.

Ascolta, prima di eliminare i file infetti (non preoccuparti ormai sono innoqui) li dovresti catturare e mandare a www.suspectfile.com così possiamo studiare che cosa ti sei preso, d'accordo?

Ci mettiamo un minuto

Scarica cat.zip sul destop ed estrai il file cat.exe. Mettilo in C:\WINDOWS.

Adesso apri il blocco note e copia/incollaci dentro il contenuto che ti scrivo qui sotto:

cat C:\Programmi\File comuni\System:suzQ.exe suzQ.bak
cat C:\WINDOWS\system32:knaa.dll knaa.dll

Salva sul desktop il file del blocco note con una estensione bat, ad esempio ADS.bat

Avvia il file ADS.bat cliccandoci sopra due volte. Dopo qualche istante dovrebbero comparirti i due file infetti sul desktop, suzQ.bak e knaa.dll

Zippali ed inviali a www.suspectfile.com, grazie



PS: se non li vedi, abilita la visualizzazione dei file nascosti

- apri gestione risorse
- dal menu selezona strumenti\opzioni cartella
- seleziona il tab visualizzazione
- metti la spunta alla casella "visualizza file e cartelle nascoste"
- togli la spunta alla casella "nascondi file di sistema (consigliato)"
- clicca "Si", poi "Applica", poi "OK".