Olimpo Informatico

[Miwaku89]

Buonasera a tutti voi, vengo subito alla questione.

Da un paio di giorni a questa parte, improvvisamente e SOLO esclusivamente in funzione di internet e di servizi correlati, i più similari esempi rappresentano Youtube e servizi di streaming, ma ahimè il quadro si presenta più ampio e anche le più normali attività di routine come anche solo caricare siti internet o controllare la posta comporta un cospicuo e significativo aumento della cpu a valori oltre il 60-80% (con picchi di 100).

Ho eseguito con vari browser vari test, ma con tutti (da Chrome, Mozilla ed Explorer) da lo stesso problema.

Qui di seguito vi riporto il log eseguito con HijackThis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20.14.56, on 30/10/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programmi\Ralink\Common\RaRegistry.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\Prismsvr.exe
C:\PROGRA~1\Agnitum\OUTPOS~2\op_mon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Ralink\Common\RaUI.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\ChromePlus\chrome.exe
C:\Programmi\ChromePlus\chrome.exe
C:\Programmi\ChromePlus\chrome.exe
C:\Programmi\ChromePlus\chrome.exe
C:\Programmi\ChromePlus\chrome.exe
C:\Programmi\ChromePlus\chrome.exe
C:\Programmi\ChromePlus\chrome.exe
C:\Programmi\ChromePlus\chrome.exe
C:\Programmi\ChromePlus\chrome.exe
C:\Documents and Settings\Davide-Sama\Documenti\Downloads\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] Prismsvr.exe /apply
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programmi\MalwarebytesPortable\App\Malwarebytes\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [OutpostMonitor] "C:\PROGRA~1\Agnitum\OUTPOS~2\op_mon.exe" /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Programmi\Agnitum\Outpost Firewall Pro\feedback.exe" /dump:os_startup
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [SpeedUpMyPC] "C:\Programmi\Uniblue\SpeedUpMyPC\launcher.exe" delay 20000
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programmi\Ralink\Common\RaUI.exe
O9 - Extra button: Regolazione Rapida di Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall Pro\ie_bar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1285626490500
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Programmi\Ralink\Common\RaRegistry.exe

--
End of file - 5748 bytes

P.S: nella lista non è presente, ma in taluni casi ho notato che i balzi di cpu, almeno con Chrome, siano da imputare al file exe IETabKernel.

Spero mi possiate aiutare. Grazie.

[chemicalbit]

Un po' di pulizie e controlli generici:
Fai, nel seguente ordine queste operazioni

1. Pulisci i files temporanei con CCleaner
   
2. Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
   
3. Segui le istruzioni di questo topic per usare MBAM.
   
4. scarica e installa la versione Free di SuperAntispyware;
   la configuri come da immagini: Immagine 1 e
   Immagine 2; esegui una scansione completa del sistema
   
5. Segui le istruzioni di questo topic per creare un log di HiJackThis.
   
   
6. Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
   
   • Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
     
   • Carica il log di SuperAntiSpyware su WikiSend e posta il Forum Link che ti viene assegnato.
     
   • Carica il log di HijackThis su WikiSend e posta il Forum Link che ti viene assegnato.

[bdoriano]

Ciao Miwaku89,

Una volta fatte le operazioni proposte da chemicalbit, al posto di hijackthis, usa OTL:

• Scarica questo programma (OTL) e salvalo sul desktop
  
• Doppio click sull'icona di OTL per avviarlo
  
  
• Metti il segno di spunta su Scan All Users
  
• Clicca il bottone Quick Scan
  
• Aspetta pazientemente fino al termine dei lavori
  
• Verranno creati 2 logs:
  
  • OTListIt.txt (ridotto a icona)
    
  • Extra.txt (ridotto a icona)
  
  
• Carica entrambi i logs su wikisend e posta i forum links che ti verranno assegnati

e Rootkit UnHooker:

• Scarica Rootkit UnHooker e salvalo sul desktop
  
• Doppio click sull'icona di RKUnhookerLE per avviarlo
  
• Clicca Report
  
• Clicca Scan
  
• Metti il segno di spunta su Drivers e Stealth
  
• Togli il segno di spunta alle altre voci
  
• Clicca OK
  
• Aspetta pazientemente fino al termine dei lavori
  
• Clicca File
  
• Clicca Report
  
• Salva il log sul desktop
  Carica il file salvato su wikisend e posta il forum link che ti viene assegnato

Nota: potresti ricevere questo messaggio "Rootkit Unhooker has detected a parasite inside itself! It is recommended to remove parasite, okay?". Ignoralo tranquillamente.

[Miwaku89]

Ok. Partendo con ordine elenco qui di seguito le azioni intraprese e consigliatomi dai gentili admin.

Con scrupolosità e pazienza, mi sono attenuto alle indicazioni del primo e secondo admin. L'admin e utente chemicalbit mi aveva indicato di eseguire dei controlli generici. Mi sono attenuto al programma dei punti sopraindicati e non ho avuto particolari difficoltà.

1 - Forum Link per il log di MBAM: mbam-log-2010-10-01 (18-12-10).txt

2 - Forum Link per il log di SuperAntiSpyware: SUPERAntiSpyware Scan Log - 10-30-2010 - 23-56-08.log

3 - Forum Link per il log di HijackThis: hijackthis.log

E questa prima parte si conclude qui. La seconda parte idem, nessuna difficoltà o problema mi è stato segnalato nelle varie scansioni.

Forum link per log programma OTL: OTL.Txt

secondo logs file extras: Extras.Txt

e infine l'ultima analisi con Rootkit UnHooker.

Forum link del medesimo: Report.txt

P.S: Notate qualche 'anomalia" o irregolarità?

Attendo un vostro gentile riscontro. Grazie della pazienza e a presto!