Accedi per seguire   
Seguaci 0
Wolf Master

Voci Sospette Msn Nel Log (già Eliminate) E Avvio Di Windows Lento

12 messaggi in questa discussione

salve!

premetto che di recente ho avuto un problema con il profilo di windows

Link al Topic

a quanto pare risolto.. non so se le cose possano essere collegate... cmq ora vi spiego

qualche giorno fa ho eseguito un controllo con HijackThis tanto per vedere se tutto era a posto

e ho trovato due voci sospette:

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

poichè di recente non ho installato nulla e tantomeno qualcosa che abbia a che fare con msn

ho deciso forse distrattamente, di fixare all'istante le due voci

( non credo possa servire questa info.. però lo stesso giorno ho fixato pure questa voce

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

che avevo già tolto in passato )

il log ora è così:

Logfile of HijackThis v1.99.1
Scan saved at 13.30.59, on 22/08/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\AntiMalware\Process Explorer\procexp.exe
C:\WINNT\StartupMonitor.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\WINNT\System32\winmine.exe
C:\Programmi\AntiMalware\HiJackThis\HijackThis.exe
C:\PROGRA~1\UltraEdit\uedit32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.virgilio.it/6brand.home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min -nosplash
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programmi\AntiMalware\ERUNT\AUTOBACK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/6brand.home
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\Skype4COM.dll
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINNT\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

non ricordo se fosse successo anche prima di fixare le voci, ma quando avvio il computer

dopo essere entrato in windows e aver caricato le impostazioni personali il computer va lentissimo per almeno 3-4 minuti (riesce a caricare lo sfondo, i cursori del mouse e la barra delle applicazioni... le icone non vengono ancora caricate)

per la precisione:

il cursore si muove 8 secondi dopo aver mosso il mouse (a scatti ovviamente e non riesce a completare tutto il movimento mandato in input),

se premo il tasto CapsLock riceve il comando dopo molto tempo.. sempre 8 secondi circa

il Block Num invece è quasi istantaneo

sono riuscito a vedere tramite process explorer

che è il processo Services.exe ad occupare un sacco di memoria... [ non mi sembra che prima richiedesse così tante risorse all'avvio ]

blocco1cm8.jpg

se possono servire, vi metto le informazioni sul mio sistema:

Sistema Operativo: Windows 2000

Cpu: 700 Mhz Athlon K7

Ram: 256 Mb SDRam

HD: 20 Gb di cui 2,5 Liberi (è quasi pieno, ma c'è stato un periodo in cui aveva solo 1 giga libero.. quindi non credo dipenda dallo spazio su disco)

per fare un confronto, la situazione normale è questa:

blocco2cl3.jpg

inoltre da quanto si può vedere dal grafico della cpu è come se il pc si bloccasse per 4 minuti!

guardate i tempi in queste immagini! sono istanti successivi!

graficocpu1gz0.jpg

graficocpu2ei5.jpg

credo che questo significhi che il pc è andato in blocco o che tutte le risorse sono state prese da services.exe

ho fatto scansioni con

spybot, il tool di gromozon, antivir (solo la cartella di windows) e gmer

ma non ho trovato nulla...

posto i log di gmer relativi alla ricerca di rootkit e all'autostart

gmer_log.txtgmer_autostart.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao... le risorse sono consumate da quel file a2569e6.exe a chi si riferisce???

Prova a terminarlo (con Process Explorer) e vedi se la situazione migliora

Oltre a quelle voci 016 (che sono solo ActiveX) se dici che non usi MSN Messanger, fissa anche questa voce:

O20 - AppInit_DLLs: MsgPlusLoader.dll

... nel caso andasse ancora a scatti, prova a vedere se la causa è ZA (disabilitalo) le ultime versioni sono diventate dei macigni <_<

Appena puoi fai uno scan qui che è velocissimo (non rimuove nulla, ma se appare, allega il rapporto... appare solo se individua delle minacce) http://www.nanoscan.com

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

grazie Kuma! :omaggi:

no, quello era il tool di gromozon,

ma si è avviato, assieme agli altri programmi in esecuzione automatica (antivir, erunt, e zone alarm) solo dopo che il pc si è sbloccato...

lo schermo è rimasto fisso nella situazione mostrata nel primo screenshot per 4 minuti

MSN Messenger lo uso, solo che quelle due voci mi erano nuove, a differenza della voce Messenger Plus che so di aver installato...

ho visto che anche in altri log infetti sono presenti quelle voci,

ma quel sito:

http://messenger.zone.msn.com/binary/....

è affidabile o è un falso sito di msn?

oggi mi è capitato di riavviarlo due volte il pc.. la prima volta si è bloccato un po' più tardi del solito, infatti è riuscito a caricare antivir.. però è rimasto bloccato sempre per 3-4 minuti....

questa volta guardando da Task Manager l'unico processo che sembrava occupare più memoria (circa 40000 KB) era avguard.exe ... cioè antivir...

la volta successiva ho notato che SERVICES.EXE ha avuto un picco nella memoria utilizzata che poi è scesa (mentre è rimasto alto il valore "Virtual Size" che si aggirava attorno ai 497.000 K !!!!! credo siano valori un pochino sballati... )

immediatamente dopo si è bloccato sempre per i soliti 4 minuti

anche l'orologio nella barra di stato si blocca!! (passato il blocco e quindi i 4 minuti, ritorna a visualizzare l'orario giusto....)

casomai dopo provo a vedere cosa succede in modalità provvisoria dato che non carica nè zonealarm nè antivir... spero di trovare il responsabile e spero che sia uno di questi due ( preferisco tenermi un avvio lento che aver a che fare con un malware o problema sconosciuto :) )

intanto faccio lo scan

:omaggi:

EDIT:

Scan result

Summary: There is 1 suspicious file on your PC

Details: Suspicious file (1) C:\WINNT\SYSTEM32\ZONELABS\SRESCAN.DLL

Time: 113 seconds (wow! veloce!! :P ma ha controllato tutto? :P )

ho eseguito lo scan tenendo in funzione sia antivir che zone alarm...

devo ripetere lo scan senza il firewall? e l'antivirus?

ecco il risultato dello scan su VirusTotal del file sospetto (mi spiace, ho provato ma non sono riuscito a formattarlo bene, e non so come usare l'html qui nel forum... sempre che si possa usare)

Risultato: 2/32 (6.25%)

File SRESCAN.DLL ricevuto il 2007.08.22 21:11:00 (CET)

Antivirus Versione Ultimo aggiornamento Risultato

AhnLab-V3 2007.8.22.0 2007.08.22 -

AntiVir 7.4.1.63 2007.08.22 -

Authentium 4.93.8 2007.08.22 -

Avast 4.7.1029.0 2007.08.21 -

AVG 7.5.0.484 2007.08.22 -

BitDefender 7.2 2007.08.22 Application.LSP

CAT-QuickHeal 9.00 2007.08.22 -

ClamAV 0.91 2007.08.22 -

DrWeb 4.33 2007.08.22 -

eSafe 7.0.15.0 2007.08.22 -

eTrust-Vet 31.1.5080 2007.08.22 -

Ewido 4.0 2007.08.22 -

FileAdvisor 1 2007.08.22 -

Fortinet 2.91.0.0 2007.08.22 Misc/LSP

F-Prot 4.3.2.48 2007.08.22 -

F-Secure 6.70.13030.0 2007.08.22 -

Ikarus T3.1.1.12 2007.08.22 -

Kaspersky 4.0.2.24 2007.08.22 -

McAfee 5103 2007.08.22 -

Microsoft 1.2803 2007.08.22 -

NOD32v2 2475 2007.08.22 -

Norman 5.80.02 2007.08.22 -

Panda 9.0.0.4 2007.08.22 -

Prevx1 V2 2007.08.22 -

Rising 19.37.22.00 2007.08.22 -

Sophos 4.20.0 2007.08.22 -

Sunbelt 2.2.907.0 2007.08.22 -

Symantec 10 2007.08.22 -

TheHacker 6.1.8.171 2007.08.21 -

VBA32 3.12.2.2 2007.08.22 -

VirusBuster 4.3.26:9 2007.08.22 -

Webwasher-Gateway 6.0.1 2007.08.22 -

Informazioni addizionali

File size: 1308656 bytes

MD5: 571137fdfd3f29464d951a9289dee989

SHA1: 291367cbb1a44ebb724aadf799675084ea45c668

EDIT 2:

in modalità provvisoria non si blocca!!!

non so da cosa dipenda... domani proverò a vedere cosa succede disabilitando l'avvio di zone alarm

vorrei provare a disabilitare anche antivir..

ma temo di incasinare il programma...

come devo fare per disabilitare l'avvio automatico di antivir???

devo agire sui servizi come avguard per esempio ?? [ start--> esegui---> services.msc ] ???

Modificato da Wolf Master

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

anche disabilitando zone alarm

( per la precisione sono riuscito a disabilitare "zlclient.exe" mentre il servizio "vsmon.exe" non sono riuscito a impostarlo su "manuale" o "disabilitato", tuttavia sembra che non si sia avviato, e che necessiti di zlclient.exe per essere inizializzato )

il computer si blocca sempre per quei 4 minuti... la memoria sale alle stelle

(la cpu anche, ma essendo vecchia, fa presto a essere occupata tutta)

quindi il firewall non dovrebbe essere il responsabile...

durante questi 4 minuti sento che l'harddisk lavora a manetta..

che sia perchè sta usando la memoria virtuale??? dato che 400.000 K di memoria fisica non ne ho, lui va ad usare quella virtuale, giusto?

comunque, più tardi proverò a disabilitare gli altri programmi in avvio automatico...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

la voce SRESCAN.DLL è legittima [INFO]

La voce

.http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

dovrebbe essere legittima ... è il server dal quale vengono scaricato gli ActiveX

ho comunque scaricato il file CAB, l'ho decompresso e l'ho fatto analizzare...

foto003su3.th.jpg

(click per ingrandire)

Mi sa che è l'unica è disabilitare tutti i programmi in avvio automatico fino a quando non individui la causa... se questo non bsata, dovrai cominciare a disabilitare i servizi inutili (li trovi nella mia home

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ancora grazie x l'aiuto :omaggi:

però non mi ci racapezzo più...

ho provato a disabilitare i programmi in avvio automatico, usando varie combinazioni...

i programmi sono:

l'autobackup di erunt

per quanto riguarda antivir, c'è il system tray tool : "avgnt.exe" e i due servizi: la guardia "avguard" e il processo per le operazioni pianificate "sched"

poi per il firewall ci sono "zlclient.exe" e il servizio "vsmon"

provando a togliere i programmi singolarmente si blocca

la prima volta disabilitando TUTTO non si è bloccato... poi ho riprovato e si è bloccato...

per di più certe volte si blocca ancora prima di caricare le impostazioni personali... mi sembra strano che si blocchi in momenti diversi... non vorrei che fosse un problema dell'harddisk... magari certi file di sistema, che legge all'avvio si trovano in un settore malandato... boh.. forse ho detto una cavolata..

avevo già sfoltito la lista dei servizi, e non saprei più quali disabilitare, mi sa che sono tutti necessari (forse potrei provare a disabilitare quelli che servono al funzionamento della rete, ma devo trovare quali sono e lo farò quando avrò più tempo)

questa è la situazione attuale per quanto riguarda i servizi:

serv1ad2.jpg

seconda schermata:

serv2ji1.jpg

Modificato da Wolf Master

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Devi disabilitare tutti i programmi in avvio autometico eccetto Firewall e Antivirus...

per i servizi non saprei... prova al limite ad usare il programma che trovi nella mia home che è più semplice... http://www.kuma215.it/htm/Prestazioni.html

Devi cliccare sul pulsante in fondo alla pagina linkata

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

cavoli, ho avuto da fare e rispondo un po' in ritardo :)

ormai mi sono arreso...

in avvio automatico oltre all'antivirus e al firewall ho solo l'autobackup utility di erunt

e StartupMonitor ( che controlla le modifiche al registro per quanto riguarda le applicazioni in avvio automatico )

non ho altro!

ho provato a lasciare solo antivirus e firewall ma non cambia nulla

il programma per i servizi ce l'avevo già :up1:

quindi non mi resta che lasciare che il computer carichi tutto aspettando per quei 5-6 minuti :P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

Come ultima cosa prova a fare un controllo dei files di sistema protetti...

inserisci il CD di Xp (se si apre la finestra di Setup, chiudila)

Da START\ESEGUI digita: sfc /scannow (rispetta lo spazio)

Verrà eseguito un controllo sull'integrità dei files di sistema protetti e nel caso saranno sostituiti con la versione originale presente nel CD... Al termine non riceverai alcun messaggio...

Altre idee, al momento non me ne vengono...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

vale anche per windows 2000?

perchè io ho win 2k e non xp...

cmq grazie x i consigli e tutte le cose utili che hai scelto di condividere nella tua home :up1:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Mi pare che funzioni anche su Win2K (non ricordo esattamente :) ... al massimo ricevi il messaggio che il comando non esiste)

PS__

grazie per la visita :P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

boh.. gli ho fatto fare questo controllo, e finchè faceva lo scan nn sono rimasto al pc... quando sono ritornato non mi ha dato messaggi di avvenuta scansione...quindi non so se ha fatto errori o se invece ha completato lo scan con successo....

cmq il problema c'è ancora... mi sa che non c'è nessuna soluzione

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0