PDA

Visualizza versione completa : Virus svchost?



Andrea3085
12-10-12, 13: 07
Salve ragazzi.. purtroppo dopo mesi e mesi di tranquillità senza l'ombra di problemi nel mio notebook mi ritrovo oggi a chiedere aiuto a voi esperti di sicurezza.. per caso guardando su gestione attività oggi ho notato una particolarità.. 15 processi svchost.exe tra cui due che occupano tanta memoria. girovagando sul web ho potuto capire che si potrebbe trattare di un virus ma non è detto.. allora mi sono attivato è ho fatto:
-scansione in modalità provvisoria con malware bytes, combofix, spybot. spybot ha trovato qualcosa dei cookie gli altri niente
-scansione on line con eset scanner e con trend micro e non ha trovato niente
-scansione con kaspersky virus removal tool e no ha trovato niente
-scansione con hjiackthis e analis del log e non trovana niente
-scansione con stinger e fixwelch e niente
-appena fatta scansione con hitman pro e ha solo cancellato un centinaio di tracking cookie
adesso mi rimane di fare una scansione con dr web,con norman anti malware e poi ho esaurito le mie alternative..
ho analizzato con process explorer questi 15 processi di svchost e sembrano controllare normali attività di windows..
secondo voi sarà normale o c'è qualcosa sotto tipo qualche malware? perchè fino ad ora massimo 3-4 processi li ho avuto ma 15 con uno in specifico che all'avvio occupa più memoria di quando gioco con pes è strano:triste
vi allego il log di hjiackthis e di combofix così potete dare un occhio.. grazie in anticipo a chiunque possa aiutarmi:bai

ps: dimenticavo.. già pulito tutto con ccleaner e analisi con registry meccanics

sul notebook è istallato windows vista home premium sp2, come antivirus ho il nod 32 5 costantemente aggiornato

2228
2229

LadyHawke
12-10-12, 14: 19
Ciao Andrea,
dopo tutte le scansioni che hai fatto dubito fortemente che qualcosa sia sfuggito :eye: se però vuoi controllare quei processi ti consiglio l'ottimo Process Explorer (http://download.sysinternals.com/files/ProcessExplorer.zip), adesso finalmente anche per sistemi superiori a XP, da quello dovresti vedere ogni svchost a quale programma è collegato o quanto meno a quale produttore hardware o software (e da qui capisci se è legittimo o no)

:bai

Andrea3085
12-10-12, 14: 51
Ciao ladyhawke e grazie per la risposta.. si infatti penso di aver usato tutti i programmi possibili e immaginabili per scovare un eventuale malware.. i log di hjackthis e combofix sono puliti secondo te?
ho usato poco fà invece un programmino che si chiama svchost process analyzer e mi compare questo..

2230

secondo te è un falso positivo o un programma che dà falsi positivi apposta per invitare ad acquistare la versione completa?:bgg2

:bai

Eres
12-10-12, 19: 05
L'importante è che non impegni cpu, altrimenti è probabilmente un virus

Andrea3085
12-10-12, 20: 45
L'importante è che non impegni cpu, altrimenti è probabilmente un virus

ok ok grazie eres.. di cpu massimo ne impegna 10% all avvio poi occupa solo tanta memoria.. nell'immagine allegata per esempio ne occupa molto di meno ma sono sempre tanti processi che accumulandosi mi rallentano un pò il pc. il mio dubbio quindi se non si tratta di virus allora potrà essere stato qualche aggiornamento di vista che avrà apportato delle modifiche o novità (come al solito peggiorando le cose ) e quindi si spiega tutto questo.. non trovo altra spiegazione:boh

2231

MarcoStraf
13-10-12, 00: 46
Ciao ladyhawke e grazie per la risposta.. si infatti penso di aver usato tutti i programmi possibili e immaginabili per scovare un eventuale malware.. i log di hjackthis e combofix sono puliti secondo te?
ho usato poco fà invece un programmino che si chiama svchost process analyzer e mi compare questo..

...

secondo te è un falso positivo o un programma che dà falsi positivi apposta per invitare ad acquistare la versione completa?:bgg2



Puoi ottenere lo stesso risultato con il comando "tasklist /svc"
Per ogni svchost puoi vedere da quali servizi Windows viene utilizzato. Se non li usi, inutile farli girare e occupare memoria, e ti rallentano anche il tempo di boot, la cosa migliore da fare e' fermarli e cambiare il loro stato da Automatico a Manuale, oppure disabilitarli, in modo che non ripartino piu', poi fai un bel reboot.

Andrea3085
17-10-12, 00: 19
Puoi ottenere lo stesso risultato con il comando "tasklist /svc"
Per ogni svchost puoi vedere da quali servizi Windows viene utilizzato. Se non li usi, inutile farli girare e occupare memoria, e ti rallentano anche il tempo di boot, la cosa migliore da fare e' fermarli e cambiare il loro stato da Automatico a Manuale, oppure disabilitarli, in modo che non ripartino piu', poi fai un bel reboot.

ciao e grazie per il consiglio.. sto proprio facendo così cioè annullando tutte quelle attività di windows che non servono o che non utilizzo tipo l'invio di errori a windows ecc ecc.. il problema è che adesso non so cosa ho disattivato o se ho toccato qualcos'altro ma in pratica è successa un'altra cosa strana.. tutto ad un tratto è diventato impossibile utilizzare programmi come utorrent emule gameranger ecc perchè nonostante le porte sono correttamente aperte nel router per il pc è come se fossero chiuse.. è diventato in pratica isolato dal mondo esterno.. tutte le porte risultano chiuse ho pure provato un altro router con le stesse porte aperte ma niente.. ho pure fatto un ripristino a circa 5 giorni fà ma niente.. secondo voi questo "sintomo" potrebbe essere stato causato da qualcosa che pensandolo inutile ho disattivato in strumenti di amministrazione-servizi?:ohoh
quanto mi secca formattare:triste:bai

Asterix
17-10-12, 10: 39
Ciao

in modo veloce mi vien da consigliarti di verificare l'avvio di questi servizi utili per la navigazione, eventuali altri in questo momento mi sfuggono

Servizio di rilevamento SSDP
Client DHCP (DHCP Client)
Client DNS (DNS Client) Fatto
Connessioni di rete (Network Connection)

Per accedere ai servizi:

Start
Esegui...
digitare services.msc

:bai

Andrea3085
17-10-12, 11: 25
Ciao

in modo veloce mi vien da consigliarti di verificare l'avvio di questi servizi utili per la navigazione, eventuali altri in questo momento mi sfuggono

:bai

Ciao Asterix e grazie per la risposta.. Ho controllato le voci che mi hai segnalato.. Erano tutte avviate.. Due erano su manuale e due su automatico io per sicurezza ho messo tutto su automatico ma niente.. È un mistero non riesco a spiegarmi cosa può essere che blocca .. Ho provato pure a disabilitare il firewall di vista e pure l antivirus ma niente. Ho pure provato a collegarmi in LAN invece di usare il wifi ma niente.. È un problema di pc solo di pc e forse lo risolverò lanciandolo dalla finestra:tong2

allego degli screenshot di servizi così come sono impostate nel mio pc:bai

2237
2238
2239
2240
2241

LadyHawke
17-10-12, 14: 13
Nel pomeriggio posso verificare in una macchina appena installata come devono stare di default quei servizi, stasera ti faccio sapere le eventuali differenze così puoi rimodificarne uno ad uno fino a trovare quello che crea il problema

:bai

[EDIT]

Il primo valore è come li hai tu, il secondo come sono di default (A=Automatico, M=Manuale, D=Disabilitato)

Connessioni di rete---A/M
Host di dispositivi UPnP---A/M
Individuazione SSDP---A/M
Pubblicazione risorse per individuazione---A/M
Accesso secondario---M/A
Condivisione connessione internet (ICS)---A/M
Registro di sistema remoto---D/M
Routing di accesso remoto---A/M
Servizio di condivisione porte Net.Tcp---D/M
Servizio rilevamento automatico proxy WinHTTP---A/M
Servizio trasferimento intelligente in background---M/A
Webclient---M/A
Windows driver Foundation---M/A

Ho tralasciato cose come ReadyBoost, servizi multimediali, reti Peer

:bai

Andrea3085
18-10-12, 16: 11
Grazie mille stasera appena torno a casa controllo subito. :-) speriamo bene

edit

ho controllato tutto ed è come lady ha postato.. tutto perfetto.. sto uscendo pazzo non riesco più a capire quale sia il problema.. anche se forse piano piano sto arrivando ad una convinzione.. ho provato due router è il problema persiste.. ho provato a fare un test sulle porte sul sito www.yougetsignal.com sia su pc sia su ipad e le porte le da sempre chiuse.. domani come prova finale collego un semplice modem usb e provo un altro pc.. in definitiva penso una cosa.. e se fosse il mio gestore telefonico a chiudere le porte al mio ip? andando per esclusione non trovo altra spiegazione.. è una cosa possibile secondo voi? il mio gestore e quello della pubblicità con il maialesalvadenaio (non so se sul forum si può fare pubblicità) lasciando perdere i famosi filtri al peer to peer contro emule e i torrent che usa e che conosco benissimo (anche se dopo la mezzanotte fortunatamente scomparivano magicamente adesso invece neanche questo) ora con questo problema neanche una banale porta 16000 udp per giocare online tramite gameranger mi funziona più ( compare un messaggio di errore con scritto port restricted cone nat router quando la porta è correttamente aperta nel router anzi lo è sempre stata da circa 2 anni da quando uso uso gameranger).. boh mistero.. comunque colgo l'occasione per ringraziare tutti voi che mi avete supportato ed aiutato vi terrò aggiornati anche se la vedo dura :-(