Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Processo System ed explorer usano tutta la cpu
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Paga
Mortale devoto
Mortale devoto


Registrato: 08/11/08 23:16
Messaggi: 5
MessaggioInviato: 09 Nov 2008 13:03    Oggetto: Processo System ed explorer usano tutta la cpu Rispondi citando
Ciao,
è due giorni che leggo il vostro forum cercando di risolvere un problema in un portatile. Il problema è che come da oggetto i precessi system ed explorer usano tutta la cpu non permettendo di fatto l'uso del computer e rallentando tutti i servizi, ad esempio se cerco di utilizzare il servizio gestione disco ci mette 10 minuti ad aprirlo, stessa cosa se collego una penna usb.

Premetto che ho già fatto le pulizie dei registri con cccleaner e free registry cleaner e ho provato a fare anche una scansione on line con kaspersky.

Ho utilizzato anche hijackthis facendo analizzare il log dal sito http://www.hijackthis.de/it che non ha riscontrato niente di pericoloso. Cmq vi posto il log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.00.40, on 08/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Symantec\Symantec Endpoint Protection\Smc.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Symantec\Symantec Endpoint Protection\Rtvscan.exe
C:\Programmi\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\WINDOWS\system32\Brightness.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Apple Keyboard Support\KbdMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\arnald\Desktop\antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programmi\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AppleTime] C:\WINDOWS\system32\AppleTime.exe
O4 - HKLM\..\Run: [Brightness] C:\WINDOWS\system32\Brightness.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apple_KbdMgr] "C:\Programmi\Apple Keyboard Support\KbdMgr.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Libro dei ritagli HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Selezione intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Client di gestione Symantec (SmcService) - Symantec Corporation - C:\Programmi\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Programmi\Symantec\Symantec Endpoint Protection\SNAC.EXE
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Programmi\Symantec\Symantec Endpoint Protection\Rtvscan.exe

--
End of file - 5282 bytes

Ho utilizzato anche GMER e questo è il log dei rootkit

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-08 21:30:05
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation) ZwAllocateVirtualMemory [0xF751C1C0]
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation) ZwProtectVirtualMemory [0xF751C2F0]
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation) ZwWriteVirtualMemory [0xF751C420]

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Tcpip \Device\Ip wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0017f2bc81f2
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0017f2bc81f2

---- EOF - GMER 1.0.14 ----

e questo quello generato con autostart

http://freefilehosting.net/download/41l9l

avete altre idee?

Grazie
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 09 Nov 2008 19:41    Oggetto: Rispondi citando
Ciao Paga e benvenuto... Ciao

Procedi con queste scansioni:
  • Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  • Segui le istruzioni di questo topic per usare MBAM.
  • Segui le istruzioni di questo topic per eseguire combofix.
  • Segui le istruzioni di questo topic per postare il log di HiJackThis.
  • Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
    • Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
    • Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.
    • Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.
Top
Profilo Invia messaggio privato
Paga
Mortale devoto
Mortale devoto


Registrato: 08/11/08 23:16
Messaggi: 5
MessaggioInviato: 09 Nov 2008 23:04    Oggetto: Rispondi citando
Ciao e grazie per la veloce risposta.

Ho dovuto fare tutte queste scansioni in modalità provvisoria. Spero non sia un problema.

Questo è il log di mbam
mbam-log-2008-11-09.txt

Questo quello di combofix
ComboFix_1226264478373_1554.txt
(ho usato freefilehosting perchè wikisend mi dava dei problemi)

Questo è hijackthis
hijackthis_1226264588887_1555.log
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 10 Nov 2008 13:30    Oggetto: Rispondi citando
Non è stato rilevato niente di particolare...
Queste operazioni che sto per descrivere, falle rimanendo disconnesso da internet; serve a vedere i processi che sono attivi;
Vai su start->esegui e digita cmd;
Si aprirà una schermata dos;
al cursore digida:
netstat -anovb e dai l'invio;
attendi la fine, fino a quando non compare il cursone iniziale;
clicca su un punto vuoto della schermata dos, col tasto destro del mouse;
scegli seleziona tutto;
copia tutto il contenuto (CTRL+ALT+C) e salvalo col blocco note;
carica il log come hai già fatto.
Top
Profilo Invia messaggio privato
Paga
Mortale devoto
Mortale devoto


Registrato: 08/11/08 23:16
Messaggi: 5
MessaggioInviato: 10 Nov 2008 19:54    Oggetto: Rispondi citando
Questo l'ho eseguito in modalità normale, ho dovuto dare priorità alta al processo netstat altrimenti non riusciva ad eseguirlo.

Cmq questo è quello che ha riportato
netstat.txt
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 11 Nov 2008 10:16    Oggetto: Rispondi citando
Non vi è nessun processo strano in corso...

Dovresti aprire il task manager, e vedere quale processo occupa più memoria del normale e che ti sembra in qualche modo strano...e provi a terminarlo;

inoltre dovresti provare a disinstallare qualche programma che magari non usi frequentemente.
Top
Profilo Invia messaggio privato
Paga
Mortale devoto
Mortale devoto


Registrato: 08/11/08 23:16
Messaggi: 5
MessaggioInviato: 12 Nov 2008 13:42    Oggetto: Rispondi citando
Non ci sono processi che usano molta memoria, ma solo processi che usano molta cpu, questi processi sono system che usa in media il 40% della cpu e explorer.exe che ne usa in media il 30%.
Ho provato a disinstallare i programmi superflui, ma fa sempre uguale...mi rimane solo la formattazione come alternativa?
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 13 Nov 2008 00:52    Oggetto: Rispondi citando
No, non credo sia il caso....

Fai la scansione con Systemscan e posta il log generato come
indicato quì
Top
Profilo Invia messaggio privato
Paga
Mortale devoto
Mortale devoto


Registrato: 08/11/08 23:16
Messaggi: 5
MessaggioInviato: 13 Nov 2008 03:06    Oggetto: Rispondi citando
ok grazie per avermi dato la risposta a mezzanotte, vuol dire veramente che ci tieni.

Ecco il log di systemscan

13_11_2008_01_58_report.zip
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 13 Nov 2008 18:49    Oggetto: Rispondi
Non vi è nulla di strano neanche in quest'altro log...

L'unica cosa che possiamo fare, togliere alcuni programmi che si caricano all'avvio del sistema...

quindi avvia il PC in modalità provvisoria;

Avvia Hijackthis, seleziona queste righe e clicca poi su fix Cheched:
Citazione:
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

Riavvia il PC alla modalità normale;
tramite HJT individua tu stesso, quale altra applicazione togliere dall'avvio automatico così da recuperare risorse.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi