Aiuto, il mio PC è infetto processo "services.exe" con CPU al 100% (1 Viewer)

sergio46

Nuovo forumer
Ho un problema che mi si è presentato qualche giorno fa:lasciando il PC acceso, ma disconnesso da internet, lo stesso si è bloccato dopo un certo periodo e ho dovuto resettare per farlo ripartire.
Ho pensato che l'inconveniente fosse dipeso dall'alta temperatura di questi giorni e l'ho spento.
Ho notato però, nei giorni successivi - con Task Manager - che sinchè navigo in internet il processo "services.exe" non comporta alcuna percentuale di variazione della CPU, rimanendo sullo 0 %, viceversa, disconnettendomi da internet, tale processo inizia a raggiungere quasi subito il 100%.
Ho fatto scansioni con Avira Antivir free e Malwarebytes Anti-Malware, entrambi aggiornati, senza riscontrare qualcosa di sospetto (naturalmente tenendo la connessione in funzione, altrimenti la CPU avrebbe raggiunto in poco tempo il massimo)
Provando con HijackThis v2.0.4 ottengo il log sottoriportato.
Si nota qualcosa, a vostro avviso, che non va e che dev'essere eliminato?
Un sentito grazie a chi può essermi d'aiuto.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17.31.50, on 19/06/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Photodex\ProShowGold\ScsiAccess.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google News
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Italia: Hotmail, Messenger, Skype, Windows Live
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Italia: Hotmail, Messenger, Skype, Windows Live
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programmi\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login
O4 - HKLM\..\Run: [nwiz] C:\Programmi\NVIDIA Corporation\nview\nwiz.exe /installquiet
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-823518204-1682526488-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'UpdatusUser')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: freepopsd.exe.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: PDFill PDF Editor - {FB858B22-55E2-413f-87F5-30ADC5552151} - C:\Programmi\PlotSoft\PDFill\DownloadPDF.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{09CBF50E-EA33-4773-90BF-A4B238C37A08}: NameServer = 62.211.69.150 212.216.172.162
O17 - HKLM\System\CS1\Services\Tcpip\..\{09CBF50E-EA33-4773-90BF-A4B238C37A08}: NameServer = 62.211.69.150 212.216.172.162
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programmi\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programmi\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programmi\Photodex\ProShowGold\ScsiAccess.exe
--
End of file - 6457 bytes
 

seidifiori

Forumer attivo
Ho un problema che mi si è presentato qualche giorno fa:lasciando il PC acceso, ma disconnesso da internet, lo stesso si è bloccato dopo un certo periodo e ho dovuto resettare per farlo ripartire.
Ho pensato che l'inconveniente fosse dipeso dall'alta temperatura di questi giorni e l'ho spento.
Ho notato però, nei giorni successivi - con Task Manager - che sinchè navigo in internet il processo "services.exe" non comporta alcuna percentuale di variazione della CPU, rimanendo sullo 0 %, viceversa, disconnettendomi da internet, tale processo inizia a raggiungere quasi subito il 100%.
Ho fatto scansioni con Avira Antivir free e Malwarebytes Anti-Malware, entrambi aggiornati, senza riscontrare qualcosa di sospetto (naturalmente tenendo la connessione in funzione, altrimenti la CPU avrebbe raggiunto in poco tempo il massimo)
Provando con HijackThis v2.0.4 ottengo il log sottoriportato.
Si nota qualcosa, a vostro avviso, che non va e che dev'essere eliminato?
Un sentito grazie a chi può essermi d'aiuto.
il log di Hijack incollalo qui: HijackThis Logfileauswertung e vedi il risultato.
(l'ho fatto io, non c'è nulla di sospetto)
 

Goofy

Moderator
il s.o. è aggiornato?


flash, java etc sono aggiornati?


fatta pulizia con ccleaner?




che caratteristiche ha il tuo pc (cpu, ram, etc)?
 

sergio46

Nuovo forumer
il log di Hijack incollalo qui: HijackThis Logfileauswertung e vedi il risultato.
(l'ho fatto io, non c'è nulla di sospetto)
Grazie per il link.
Ho il sospetto però che i processi incriminati possano essere questi:
O17 - HKLM\System\CCS\Services\Tcpip\..\{09CBF50E-EA33-4773-90BF-A4B238C37A08}: NameServer = 62.211.69.150 212.216.172.162
O17 - HKLM\System\CS1\Services\Tcpip\..\{09CBF50E-EA33-4773-90BF-A4B238C37A08}: NameServer = 62.211.69.150 212.216.172.162
Probabilmente con qualche troian cercano di farmi connettere a tali siti ma senza riescirci, perchè ho installato un programma antidialer di protezione che permette la connessione solamente verso il mio provider Teleconomy Internet, dato che viaggio ancora con il vecchio sistema della linea a 56 Kbit (non avendo l'ADSL nella mia zona).
Ecco perchè, disconnettendomi, il programma services.exe tenta inutilmente l'accesso a un altro provider con grave consumo di CPU (almeno così penso).
Cosa ne pensi?
Saluti.
 

sergio46

Nuovo forumer
e farei una scansione con un altro antispyware tipo


HITMAN PRO
Grazie Goofy per il tuo parere sui 2 processi dubbi.
Non capisco allora che fare ..
Ho Windows XP HE SP3 regolarmente aggiornato, idem per flash e java
Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 19/06/2012 11.3.300.257
Adobe Flash Player 11 Plugin Adobe Systems Incorporated 19/06/2012 11.3.300.257
Avira AntiVir Personal - Free Antivirus Avira GmbH 19/06/2012
Java(TM) 7 Update 4 Oracle 27/05/2012 99,3MB 7.0.40
JavaFX 2.1.0 Oracle Corporation 27/05/2012 20,9MB 2.1.0
Mozilla Firefox 13.0 (x86 it) Mozilla 19/06/2012 13.0
Mozilla Maintenance Service Mozilla 19/06/2012 13.0
Mozilla Thunderbird 13.0 (x86 it) Mozilla 19/06/2012 13.0
Ho 2 GB di ram e i programmi installati sono questi (rilevati dal file di Ccleaner che uso regolarmente):
Proverò domani il software che mi hai proposto (spero sia gratuito per la prova)
Intanto ti saluto e ti ringrazio.
 

sergio46

Nuovo forumer
Grazie Goofy per l'ottimo consiglio che sembra aver risolto il problema che avevo denunciato. Vedasi l'immagine che riporta sia la schermata del rootkit iniziale che il risultato finale dopo l'intervento con HitmanPro.
Adesso, se il PC non è connesso ad internet, la CPU è stabilmente allo 0%. Evviva!
Non capisco però perchè nè Avira nè Malwarebytes-AntiMalv. abbiano rilevato il rootkit. :-(
Per il secondo avevo fatto anche una scansione in modalità provvisoria, sperando di scoprire il malware.
Forse Avira Antivir Free andrebbe settata diversamente, ma non sono un esperto e ho lasciato le impostazioni di default. A dir la verità sto ancora usando una versione antecedente l'attuale, ma comunque debitamente aggiornata giornalmente con le definizioni dei nuovi virus.
Ti chiedo inoltre, per cortesia, se puoi darmi ulteriori consigli su questi due aspetti:
1) all'atto di connettermi in rete con Hitman per la scansione, ho rilevato che il processo "services.exe" richiedeva la connessione per Google (giustificabile, perchè utilizzo Google Reader e Google Gruppi) e poi anche per akamai.com (di cui non conosco il perchè, non avendo richiesto un loro particolare servizio e non avendo un programma installato, salvo il Flash di Adobe). E' possibile eliminare akamai.com e come?
2) si può essere sicuri che il rootkit è stato definitivamente eliminato o una volta che scade la licenza free (30 giorni) rischierei di ritrovarmelo da qualche parte? Allo scadere del periodo di prova, se non voglio acquistarlo, è possibile eliminare tale programma seppur saranno memorizzati i dati nel registro ad evitare che sfrutti nuovamente il prodotto?
Saluti.
 

Allegati

  • eliminazione rootkit con HitmanPro.gif
    eliminazione rootkit con HitmanPro.gif
    71,1 KB · Visite: 1.419

Goofy

Moderator
come dico sempre, non c'e' nessun sw sulla sicurezza che ti garantisce la sicurezza al 100%

usando vari sw puoi minimizzare questo rischio che comunque e' sempre presente

1) per akamai non so dirti, dovresti capire quando c'e' quella richiesta di connessione quale sw te lo chiede (con qualche firewall sw)

2) stai tranquillo, il rootkit e' stato eliminato definitivamente
per il riuso dello stesso Hitman dopo il periodo di trial sinceramente non ci ho mai provato, al limite puoi provare a disinstallarlo con qualche sw specifico per la disinstallazione cosi' da cancellare le traccie + profonde nel registro di sistema
 

Users who are viewing this thread

Alto