www.MegaLab.it

da **lubumba** » dom apr 27, 2008 4:47 pm

Ho un altro PC infetto ... ma questa volta non sembra BAGLE. [uhm]

Ho trovato il file hosts pieno pieno di siti ... l'ho ridotto come dovere
e ho fatto la scansione online con kaspersky : http://www.freefilehosting.net/download/3g816

ditemi quello che devo fare e ... io lo faccio!
[sh]

il sintomo principale è che all'avvio parte un svchost.exe che impegna la CPU al 99% ... e solo dopo che lo "chiudo" il PC cammina normalmente.

Ovviamente ho già disabilitato il ripristino del sistema
e ho svuotato la cartella quarantena dell'antivirus ( NOD32 )

da **lubumba** » dom apr 27, 2008 5:41 pm

Inoltre ho cancellato manualmente i files sospetti ( quelli incidati da KAV )
e poi ho fatto una nuova scanzione e...

avro' risolto ? ( spero ) [applauso+]

Al riavvio sembra tutto ok!
[fischio]

anzi NO!

il file svchost.exe continua a partire all'avvio ... sparato al massimo della CPU!!!

Haaaaiutatemi!!! [cry]

da **BliTz3R** » dom apr 27, 2008 6:50 pm

prova a disabilitare gli aggiornamenti automatici di windows.

da **ste_95** » dom apr 27, 2008 7:08 pm

Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Posta sul forum il risultato facendo attenzione a queste regole.

da **lubumba** » dom apr 27, 2008 7:58 pm

Domani provvedo!

comunque in giro per la rete ho trovato questo, che avvalla quanto afferma

BliTz3R

prova a disabilitare gli aggiornamenti automatici di windows.

“…il problema è legato a Windows Update. Quindi io ho risolto disattivando gli aggiornamenti automatici, in attesa che ci sia una nuova fix in grado di risolvere il problema.
Per togliere aggiornamenti automatici > Pannello di controllo > Centro sicurezza > Aggiornamenti automatici.
Ti garantisco che il problema si risolve. Comunque, come ti ho detto è molto diffuso, quindi presto vedrai che microsoft lo risolverà definitivamente.”

e anche questo :

SVCHOST.EXE 99 % CPU usage SOLVED in 4 steps!

Forget about hot fixes, register editing and black magic. I even re-installed the whole OS and I got the same problem again! THIS is the quickest and most effective solution to the 99 % CPU usage by SVCHOST.EXE during Microsoft Update procedure. Read on and in 2 minutes you’ll get control on your computer again!

1) Click on Start > All programs > Windows Update
2) In the opened Microsoft Windows Update window click on “Change Settings” in the left grey column.
3) Disable Microsoft Update option and don’t care about the warnings.
4) Go through the uninstall procedure of Microsoft Update and enjoy the possibility of Windows Update again.

And that’s it: you’ll get your updates for Windows anyway and your computer will not be stuck anymore!!!

domani ci provo!
[;)]

da **lubumba** » lun apr 28, 2008 5:51 pm

Fatto!

Non ci capisco piu' niente ...

ecco il log si Hijack
http://www.mediafire.com/?qeer1hdgncm

e quello della nuova scansione di KAV online
http://www.mediafire.com/?wjsvh5tctgz

... oggi il PC funziona regolare! Boh????

[boh]

da **ste_95** » lun apr 28, 2008 5:55 pm

I log sono entrambi puliti.

Hai risolto applicando la procedura da te trovata?

da **lubumba** » lun apr 28, 2008 6:03 pm

si!

oggi iil PC va dinamico e spedito.
Spero sia finita.

Ho applicato i consigli "quelli in inglese" per capirci.

Ora sto aggiornando Windows ....

Ieri ho corretto il file Hosts ( in system32\drivers\etc ) era un campo di battaglia; non capisco pero' ... ecco un estratto ( inizio e fine ):

.....
127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.1001-search.info
127.0.0.1 1001-search.info
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
127.0.0.1 www.10sek.com
127.0.0.1 10sek.com
127.0.0.1 www.123topsearch.com
127.0.0.1 123topsearch.com
127.0.0.1 www.132.com
....
( altre duemila voci )
....
127.0.0.1 viewutility.com
127.0.0.1 www.viewutility.com
127.0.0.1 www.vipcodecvip.com
127.0.0.1 vipcodecvip.com
127.0.0.1 www.virusheat.com
127.0.0.1 virusheat.com
127.0.0.1 websoft-a.com
127.0.0.1 www.websoft-a.com
127.0.0.1 ynotube.com
127.0.0.1 www.ynotube.com
# End of entries inserted by Spybot - Search & Destroy

cosa vuol dire che Spybot - Search & Destroy mi ha registrato tutte le entries ??? fidati tu!!!!

da **ste_95** » lun apr 28, 2008 6:09 pm

L'immunizzazione di SpyBot S&D inserisce nel file hosts un luungooo elenco di indirizzi "cattivi".

da **lubumba** » lun apr 28, 2008 6:11 pm

ahhhh
ecco spiegato il mio file hosts

ma non avrebbe dovuto "bloccarli"?

Vabbè comunque ... è fatta!

Grazie [;)]

da **ste_95** » lun apr 28, 2008 6:15 pm

Infatti, gli indirizzi lì inseriti preceduti da 127.0.0.1 sono bloccati e inaccessibili.

www.MegaLab.it

Infezione Trojan

Infezione Trojan

Chi c’è in linea