Wmiprvse.exe Prende Il 100% Della Cpu

[LiquiD]

Ciao, ragazzi spero che dal log possiate risolvere il problema, praticamente il file wmiprvse.exe (che mi pare sia un file di sistema se non erro) si prende il 100% della cpu e avvolte oscilla scendendo a 30 40 o 50, ma la cpu sempre al 100% di uso rimane!! Già fatta scansione con Kaspersky collegando l'hard disk a un adattatore ide-usb ad un computer non infetto e con kaspersky installato, ha trovato 1solo virus!

Aiuto grz1000!!!

Logfile of HijackThis v1.99.1

Scan saved at 16.23.05, on 28/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\File comuni\Symantec Shared\ccProxy.exe

C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe

C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\SCardSvr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Iomega\Iomega Automatic Backup\ibackup.exe

C:\Programmi\HP\ToolBoxFX\bin\HPTLBXFX.exe

C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programmi\Analog Devices\SoundMAX\smax4.exe

C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\PROGRA~1\Iomega\System32\AppServices.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\r_server.exe

C:\Programmi\Spyware Doctor\sdhelp.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [iomega Automatic Backup 1.0.1] "C:\Programmi\Iomega\Iomega Automatic Backup\ibackup.exe"

O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programmi\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on

O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [soundMax] "C:\Programmi\Analog Devices\SoundMAX\smax4.exe" /tray

O4 - HKLM\..\Run: [symantec NetDriver Monitor] "C:\PROGRA~1\SYMNET~1\SNDMon.exe" /Consumer

O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKCU\..\Run: [iomega Automatic Backup] C:\Programmi\Iomega\Iomega Automatic Backup\ibackup.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?2c419a3c398444df8b195bab20d14ce4

O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?2c419a3c398444df8b195bab20d14ce4

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O15 - Trusted Zone: www.hastalavista.it

O15 - Trusted Zone: www.superspots.biz

O16 - DPF: {F11BFF96-CC7A-4482-819B-91EAE4C454EF} (NTR ActiveX 1.1.6) - http://de.inquiero.com/inquiero/mod/setup/...tivex116_14.cab

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe

O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Sistema Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe

Modificato December 28, 2006 da LiquiD

[Kuma]

Ciao...

il processo che segnali è legittimo di Windows (wmiprvse.exe) e deve essere eseguito dalla directory \System32 (link info)

Se venisse eseguito da un'altra directory, sarebbe Malware (Info)

Controlla comunque accuratamente il nome...wmiprvsw.exe è il Sasser worm

Altre info (leggi i commenti)

Fissa nel log le due voci 015

Per il resto, dal log non risulta altro...

[LiquiD]

Un momento il file eseguibile è eseguito dalla directory C:\windows\system32\wbem\wmiprvse.exe !!!

Ora lo tagliato e incollato sul desktop, e ho lanciato sfc /scannow per vedere se magari se lo ricrea! Comunque lo tagliato e la rete funge lo stesso, non è un servizio di rete?

Si trova comunque nella cartella wbem in system32 in questo pc! Security Task Manager non me lo da come pericolso!

Ps: le due voci 015, le ho fissate con il tool per riparare la trusted zone!!!

Modificato December 28, 2006 da LiquiD

[Kuma]

Sì, dovrebbe fare parte della rete... ma a cosa serva di preciso, non so dirtelo

Al limite fallo analizzare su Virus Total

cOMUNQUE LA SUA POSIZIONE è QUELLA DA TE RILEVATA (HO OMESSO IO UNA PARTE... SORRY)

Note: The wmiprvse.exe file is located in the folder C:\WINDOWS\System32\Wbem. In other cases, wmiprvse.exe is a virus, spyware, trojan or worm!

Se è caricato su Windows Server 2003 leggi qui

[LiquiD]

Già controllato con virustotal, non è virus, è su un XP Pro!

Ora provo a sostituirlo con uno di un altro pc vediamo un pò, mi creerò un backup del suo!

[LiquiD]

Niente ragazzi, accipicchia! Kuma secondo te ci può rivelare qualcosa silent runners o gmer? Con Gmer ho fatto una prova ma non c'erano oggetti con hidden accanto, non so se devo guardare altro!!!

[Kuma]

Ciao...

non ho nessuna idea

Prova a sfogliare queste pagine e vedi se trovi qualcosa: (sono 99 pagine )

http://support.microsoft.com/search/defaul...s&cat=False

In particolare, leggi i primi due messaggi della seconda pagina

[LiquiD]

Grz1000 Kuma! Ho dato una letta a quelle due pagie ma niente! Mo vedo un po ... Grz1000

[Dany_Explorer]

Ciao,

anch'io ho avuto di questi problemi,

vmiprvse va a palla tra 50 e 100% della CPU dopodichè dopo un'ora smette e inizia ad andare a palla svchost poi smettono entrambi, ma questo me lo fà ogni tanto. Secondo me è un problema di WinXP perchè ha iniziato a farlo dopo gli ultimi aggiornamenti

[Steve75]

Ciao,

anch'io ho avuto di questi problemi,

vmiprvse va a palla tra 50 e 100% della CPU dopodichè dopo un'ora smette e inizia ad andare a palla svchost poi smettono entrambi, ma questo me lo fà ogni tanto. Secondo me è un problema di WinXP perchè ha iniziato a farlo dopo gli ultimi aggiornamenti

ciao

apri un topic tutto tuo...grazie