Problema Services.exe

[cliomaxi]

Cari amici...

approfitto della vostra gentilezza per risolvere un problema.

Un amico mi ha dato un pc portatile da sistemare in quanto

- molto rallentato

- il processo "services.exe" all'avvio si comporta normalmente ma in alcuni momenti occupa 256 mb di ram e rallenta notevolmente il pc

- navigazione normale, ma alcune volte le pagine non si aprono o smettono di aprirsi

Ho eseguito alcune scansioni con i programmi che voi usate maggiormente in questi casi e sono riuscito a rimuovere un Trojan (Dialer.XJ o qualcosa di simile, purtroppo non mi sono appuntato il nome ), e un presunto rootkit trovato nel file kernel1.exe

Il pc rimane ancora molto lento e services.exe si comporta ancora in modo strano.

Chiedo allora il vostro aiuto

Vi allego il log di Hijack e appena possibile vi allegherò anche quello di kaspersky

Grazie di tutto

hijackthis.log

Modificato March 21, 2008 da cliomaxi

[$angelique!?]

Ciao cliomaxi,

aspetto il report di Kaspersky, per darti uno script completo di Avenger sui file da cancellare...

quando hia finito con Kaspersky esegui anche Combofix:

Disabilita il tuo antivirus.

Scarica Combofix da uno dei seguenti links:

Bleeping Computer, TechSupport Forum, Foro Spyware, Geeks to go.

Salvalo sul desktop.

(se il file salvato dal primo link non dovesse funzionare, prova a scaricarlo da uno dei successivi)

1. Doppio click su combofix.exe, comparirà la seguente videata:

2. Digita 1, premi Invio e segui le indicazioni.

3. Al termine, verrà creato un file log chiamato C:\ComboFix.txt.

Nota: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

Nota: ComboFix non funziona in modalità provvisoria.

[cliomaxi]

Ciao Angelique,

dal log di Kaspersky, a parte qualche falso positivo mi sembra di vedere alcuni "ospiti indesiderati"

Avevo già fatto una scansione con Combofix, ti allego il vecchio report [log_old] (se può servire), ed il nuovo report, dopo la scansione con Kaspersky

Grazie della pazienza!

kaspersky.html

log.txt

log_old.txt

[$angelique!?]

Scarica questi programmi che ti serviranno anche per una futura manutenzione:

Ccleaner (pulizia generale) http://www.ccleaner.com/download/downloadpage.aspx?f=2

Wise Registry Cleaner http://www.wisecleaner.com/soft/WRC3Setup.exe

+ Lingua italiana http://www.wisecleaner.com/soft/languages/wrc3/Italiano.zip

una volta scaricato, (dopo averlo decompresso) copialo nella cartella "Language" del programma

Quando installi Ccleaner ricordati che se lasci le spunte di default, verrà installata anche la toolbar yahoo (togli le spunte se non la vuoi)

STAMPA queste istruzioni (oppure salvale in un file sul desktop)

CON TUTTE LE APPLICAZIONI CHIUSE....

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

O4 - HKLM\..\Policies\Explorer\Run: [DrvMonit] C:\WINDOWS\drvmon32.exe

O4 - HKLM\..\Policies\Explorer\Run: [DrvMonit3] C:\WINDOWS\drvmon32.exe

Scarica the Avenger

http://swandog46.geekstogo.com/avenger.zip

lo salvi in una cartella, scompatti il file .zip.

individua avenger.exe, lo avvii.

inserisci questo script nel box bianco

Files to delete:

C:\WINDOWS\drvmon32.exe

C:\WINDOWS\system32\ctfmona.old

C:\Documents and Settings\Alessandro\Impostazioni locali\Temporary Internet Files\Content.IE5\U0JUJIY2\linkxpro[1].htm

Clicca su Execute

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

Ripulisci il sistema con Ccleaner

Pulisci il registro con Wise Registry Cleaner 1.x (Pulizia del Registro)

(è normale che nel log visualizzi che alcune voci non possono essere rimosse)

Esegui uno scandisk

deframmenta il sistema usando Diskeeper lite 7 http://www.majorgeeks.com/download.php?det=1207

allega un nuovo log di Hijackthis.

[cliomaxi]

Ho eseguito tutte le operazioni. :leggi:

Avenger non è riuscito a trovare il file della cronologia di internet. L'ho cercato manualmente ma non esiste. Probabilmente era già stato rimosso da ccleaner che avevo già usato in precedenza.

Per sicurezza l'ho riutilizzato come scritto nel tuo procedimento. Sicuramente ora non è più presente :dia:

Il pc è un po' migliorato in velocità ma il servizio services.exe , che ho monitorato per un po' di tempo, continua - in certi momenti - a rallentare tutto il sistema occupando da 256 a 700 mb di ram. :popò:

Non voglio farvi diventare matti. Se non si riesce a capire la causa del malfunzionamento formatterò il pc per non stressarvi troppo

Posto i log da te richiesti.

Grazie

avenger.txt

hijackthis.log

Modificato March 23, 2008 da cliomaxi

[$angelique!?]

Dal Log di hijackthis, risultano ancora questi file sospetti:

C:\Documents and Settings\Alessandro\Desktop\sys84258.exe

C:\DOCUME~1\ALESSA~1\IMPOST~1\Temp\nsh6C.tmp\kkripfeoc.exe

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva "nascondi file protetti di sistema"

e Togli la spunta da: "Nascondi le estensioni dei file per i tipi di file conosciuti"(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Svuota completamente cartella temp

http://support.microsoft.com/kb/260897/it

Esegui una scansione online con Kaspersky (su "my computer")ed allega il report in formato HTML

http://forum.wininizio.it/index.php?showtopic=36981&hl=

Se non riesci ad allegare il report,

carica il file su http://www.wikifortio.com/

e poi copia il link per poterlo scaricare.

scarica sul desktop GMER: http://www.gmer.net/gmer.zip

scopatta, sempre sul desktop il file gmer.zip.

Esegui gmer.exe

Clicca sul Tab "Rootkit"

Clicca su "Scan"

finita la scansione clicca su "Copy"

Apri il Blocco Note salva il file ed allegalo qui

[cliomaxi]

Per quanto riguarda i file sospetti è colpa mia.. Ho lasciato un'applicazione aperta mentre facevo la scansione con Hijack. :angel_not:

Ti allego il log di GMER che non sembra aver trovato rootkit. :leggi:

P.S. E' ancora necessaria una seconda scansione con kaspersky?

Grazie di nuovo! ;-)

gmer.txt

[$angelique!?]

Il log di Gmer è ok...

se non ti va di eseguire la scansione con Kaspersky prova con questo:

Scarica SDFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

e salvalo sul desktop

- Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix

* Adesso avvia il sistema in modalità provvisoria http://www.kuma215.it/WI/Mod_Provv.html

- Apri la cartella SDFix situata in C:\ e fai un doppio click su RunThis.bat per lanciare lo script

- seleziona Y per avviare la pulizia

- Quando te lo chiederà premi un tasto per riavviare

(il sistema sarà piu lungo nell'avviarsi perchè lo script eseguirà l'eliminazione dei file trovati)

- Quando apparirà il desktop il tool terminerà il suo lavoro e visualizzerà il messaggio "Finished"

- Premi un tasto per terminare lo script e ricaricare le icone del desktop

- Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt

[cliomaxi]

Ecco il log di sdfix...

Sdfix ha eliminato i due files

bca4e2da.$$$

fa56d7ec.$$$

che però si rigenerano sempre all'avvio.

Il pc si è ulteriormente velocizzato ed è di nuovo possibile utilizzarlo per lavorare.

Volevo solamente eliminare questo ultimo ospite , poi il pc dovrebe essere a posto.

Grazie

Report_old_1.txt

[@le]

Ciao a tutti, io sono il proprietario del pc malato...

Grazie per l'aiuto che mi avete dato fin' ora.

Ho fatto una prova con unlocker per interrompere il processo legato ai due file con estensione $$$; il processo in questione è per l' appunto services.exe. Arrestandolo mi compare la schermata nt autority system con il countdown di 60 sec.

Altri sintomi sono: non funziona il tasto canc, non funzionano i CTRL+V e il CTRL+C.

Confido nella vostra sapienza. :omaggi:

Modificato March 25, 2008 da @le84

[@le]

nessuno?

[$angelique!?]

Ciao @le84.

scarica e decomprimi runscanner

Avvialo con un doppio click

Accetta il contratto di licenza

Spunta "Quick Scan" e premi su "Start scan"

Alla fine clicca su "Save.run file" e salvalo sul deskop

Allegalo in un post di risposta

fai una ricerca sul PC per tutti i file Services.exe che hai e da quale posizione vengono eseguiti

controlla anche se hai una voce simile in avvio automatico:

puoi usare questo:

http://members.lycos.co.uk/codestuff/products_starter.html

Prova a far girare questo (posta il log generato)

[@le]

Ecco i log.

Sta diventando impossibile lavorare...

DesktopLog.rar

[cliomaxi]

Sembra trattarsi di BackDoor.MaosBoot, un MBR Rootkit. Sembra essere stato debellato dall'ultima versone di Dr.Web Cureit!