Estremi rallentamenti quando accendo il PC e file sospetti nel task manager

Pubblicità
A

AriesMu

Utente Attivo
Messaggi
113
Reazioni
5
Punteggio
38
Ciao a tutti.
E' un pò di tempo che ho notato un estremo rallentamento del PC, soprattutto quando lo accendo: per intenderci sia chiaro, non è che mi metto a cliccare in modo selvaggio mentre carica le iconcine nella barra dell'orologio. Ho sempre predicato che bisogna attendere che finisce e che l'ombrellino di Antivir si apra.

Tuttavia, pur attendendo moltissimo in più (per sicurezza), quando apro firefox (portable) la prima pagina me la carica con una lentezza incredibile: per un buon 30 secondi (se non di più) il sistema rimane totalmente congelato (soprattutto se vado su www.gmail.com), e poi si riprende a continua a funzionare in modo abbastanza normale.

Tuttavia ogni tanto ho schermate blu death-screen; ogni tanto quando lo accendo esce l'avviso che il sistema è stato ripristinato in seguito ad un errore grave.

Ogni tanto mi si bloccano le applicazioni.

Ho fatto pulizia registro con CCleaner ed Uniblue Registry Booster 2, tuttavia continuo ad avere problemi.

E dulcis in fundo ho trovato nel task manager dei file sospetti caricati:

E_S40RP7.EXE
E_S40St7.EXE
plugin-container.exe
NclUSBSrv.exe
avshadow.exe
ServiceLayer.exe
schedul2.exe
schedhlp.exe
TimounterMonitor.exe
sched.exe

Ho visto in un'altra discussione di un utente con problemi simili che gli facevate postare il log di Hijackthis, ma io non so leggerlo.

Potreste darmi una mano, ve ne sarei molto grato.

Grazie!!!!
 
Hai un po di cosette che si auto avviano quando accendi il pc la lista è inversa dal basso verso l'alto non ho scordato nulla. metto tutto sotto spoiler così con calma ti leggi che fanno. Il mio consiglio è aprire Msconfig e disabilitare tutti i servizi che non ti servono ad eccezione di plugin container che è un servizio di firefox che server per la gestione esterna dei plugin

sched.exe - Che cosa è sched.exe?
AntiVir
timountermonitor.exe - Che cosa è timountermonitor.exe? Acronis True Image
schedhlp.exe - Che cosa è schedhlp.exe? Acronis True Image
schedul2.exe - Che cosa è schedul2.exe? Acronis True Image
servicelayer.exe - Che cosa è servicelayer.exe? Nokia Connectivity Library
Processo di Windows avshadow.exe - Che cos'è? AntiVir shadow copy service appartiene al software Avira AntiVir Personal
nclusbsrv.exe - Che cosa è nclusbsrv.exe? Nokia USB Media Server
Plugin-Container.exe di Firefox, cos'è e come disattivarlo plugin di firefox
What is E_S40ST7.exe? E_S40ST7.exe Task Manager Process Information
EPSON Status Monitor
e_s40rp7.exe Windows process - What is it?
EPSON Status Monitor

disabilita tutto tranne l'antivirus ovviamente

---------- Post added at 14:06 ---------- Previous post was at 14:05 ----------
priolo ha detto:
Ciao!
http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html
Segui qui dentro la guida di tecnico24
Clicca per espandere...
dai non sono processi malevoli ha solo un pò di zozzeria installa che parte in automatico
 
Ciao a tutti, scusate per il ritardo, ma il tempo è più prezioso dell'oro...

Volevo aggiornarvi con le novità. Erano un pò di giorni che ogni tanto se provavo ad entrare in facebook mi appariva una schermata che mi chiedeva i dati della carta di credito "per acquisti futuri". Era fatta così bene che ci ero cascato: identica allo stile facebook, con la schermata iniziale del sito in sottofondo un pò "schiarita" e questo form aggiunto in sovraimpressione, stesso stile.
Tipo le sovraimpressioni di google che ti dicono di aggiornare il numero di cell., ad esempio, quando entri in gmail.
Solo che la finestra non aveva la possibilità di essere chiusa! Ieri non potevo più entrare in facebook!
Ho pensato: "ma sono impazziti? Se uno non ha la carta di credito non può più entrare in facebook!".

Allora ho cercato un pò e ho visto che si tratta di un malware (come uno stupido non ci avevo pensato).

Ho scaricato Malwarebytes, aggiornato e fatto la scansione completa.
Mentre scansionava il Realtime protection di Antivir Free mi ha avvisato che ha trovato un virus:

C:\Documents and Settings\NOME_UTENTE\Dati applicazioni\Erek\putuexe.exe
[RILEVAMENTO] Si tratta del cavallo di ***** TR/Kazy.58853

Il file gliel'ho fatto mettere in quarantena.

A parte la domanda che nasce spontanea: Ma com'è, quando il trojan è entrato non lo ha rilevato. Ora che il malwarebytes lo ha "toccato" se ne è accorto?
Se è un tipo di Malware che il Realtime di Free Antivir non può rilevare, non lo avrebbe dovuto rilevare né prima né dopo. Se invece può rilevarlo (ed infatti dopo lo ha rilevato), perché non lo ha trovato prima, quando è entrato? La protezione in realtime non l'ho mai disattivata!

Comunque, a parte questo interrogativo.

Ho poi fatto immediatamente riavviare il PC ed ho lanciato nuovamente il malwarebyte e fatto la scansione completa.

Durante la scansione Antivir Realtime Protection mi ha rilevato un altro malware in quei file AXXXX.EXE della SYSTEM VOLUME INFORMATION di windows, stavolta ho cliccato "CANCELLA" (ma l'evento non è registrato, non so perché, quindi non so dirvi di che malware si trattava).

Aggiornamento: l'ho trovato:
Trovato un virus o un programma indesiderato 'TR/Kazy.58853'[trojan] nel file 'C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP336\A0213679.exe'. Azione eseguita: Il file è stato spostato in quarantena con il nome '4d1dc06e.qua'!

Ma io avevo cliccato "CANCELLA" !!!!!!! Me lo ricordo benissimo!!!!!


Quanto a Malwarebyte's ha rilevato i seguenti malware:

C:\STANDALONES\Safari 5 Portable\Safari 5.0 Portable.bg\Stubs\446da06aa7e17af5a99545039f30e742864b64\Splash Screen.exe (Trojan.Backdoor) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP336\A0213679.exe (Trojan.VUPX.PTI1) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP308\A0192831.exe (PUP.BundleOffer.Downloader.S) -> Spostato in quarantena ed eliminato con successo.

Alla fine glieli ho fatti eliminare ed ha riavviato immediatamente il PC.

Risultato:
Ora non mi dà più il problema con facebook.

Da premettere che quando il problema c'era, prima delle scansioni, con Firefox portable me lo dava e con Chrome no.

Ma c'è differenza tra una scansione e la sentinella di uno stesso antivirus? Pensavo che tenendo sempre attiva la sentinella non ci fosse mai bisogno di scansione.
Il PC non è un uomo, che magari ogni tanto si stanca nei muscoli e si ferma. Il PC è pura matematica: se gli dici di controllare i file in entrata, delle tali estensioni, lui li controlla sempre, non è che ogni tanto ne salta qualcuno perché gli sta antipatico, per cui poi lo devi beccare con la scansione completa!
Mi sembra strano...

Infine, siccome per fare questi lavori ovviamente ci ha messo una vita, e a me il PC serviva, mentre scansionava ho usato un paio di volte Chrome o Firefox; ho lanciato Internet Explorer ma l'ho chiuso IMMEDIATAMENTE appena la X era cliccabile; ed ho navigato un pò nelle risorse del computer.
Non è che così ho falsato la scansione secondo voi?

Alla luce di questi nuovi elementi, cosa mi consigliate?

Infine, quanto alla disattivazione delle cose caricate all'avvio, sicuri veramente posso disattivare tutto senza problemi?

Quando disattivavo con MSConfig mi usciva OGNI VOLTA che avviavo il PC la finestra che mi diceva che l'avvio di Windows era modificato da MS Config e mi chiedeva di continuare.
Per questo da allora iniziai a usare WinPatrol per disattivare.
Posso continuare con questo software?

A tal fine allego lo screenshot del programma alla voce STARTUP.

startup.webp

Grazie a tutti e buona Domenica!!!
 
Ultima modifica:
Posta un log di Hijackthis:
http://www.tomshw.it/forum/sicurezza/106542-guida-hijackthis-come-creare-e-allegare-il-log.html

Disattiva il ripristino configurazione di sistema:
Tasto destro su risorse del computer ,
Scheda Ripristino configurazione di sistema
spunta il flag su disattiva.

System volume information è una cartella nascosta riferita al ripristino configurazione , basta disattivarlo e i file vengono eliminati.

Scarica AdwCleaner
Chiudi tutti i programmi aperti
Clicca sul pulsante Search
Attendi la scansione del programma
Al termine clicca sul pulsante Delete.
Il pc si riavvierà e il programma ti mostrera le pulizie effettuate , posta il suo report.
 
Ultima modifica:
Grazie mille Tecnico, sto facendo la procedura indicatami, nel frattempo ho un paio di domande da farti:

1) Come al solito Avira Realtime Protection rompe le scatole mentre fai cose delicate, e dato che ci stava mettendo una vita dopo aver cliccato "APPLICA" nel disattivare il ripristino config. di sistema mentre cancellava Dio solo sa quanta robaccia, mi sono allontanato qualche minuto ed al ritorno ho trovato che aveva finito, ma con l'alert di Antivir che trovava un virus in un file .exe nella cartella dei ripristini: ho cliccato CANCELLA e ora sta facendo "Verifica del sistema in corso" (roba lentissima, è al 39% circa): quindi non so se Windows è riuscito a cancellare tutto o se l'antivir gli ha "bloccato" la cancellazione di quel singolo file...

Ecco cosa ha trovato:

Nel file 'C:\System Volume Information\_restore{AD78D0E9-8A6C-4689-BE8E-9A8130CFAF1D}\RP336\A0213689.exe'
è stato rilevato un virus o programma indesiderato 'TR/Trash.Gen' [trojan].
Azione eseguita: Nega accesso

Io ho cliccato CANCELLA, ma stavolta ha fatto "nega accesso". Muà....


2) quando dici di chiudere tutti i programmi aperti, intendi anche quelli le cui icone sono caricati vicino all'orologio di Windows, incluso antivir? In tal caso antivir posso solo disattivarlo nella protezione, non chiuderlo completamente. Devo quindi lancaire il services.msc e chiuderne tutti i servizi.

Grazie.

---------- Post added at 13:03 ---------- Previous post was at 12:49 ----------

Dunque ho fatto.

Quanto al problema/dubbio sui file del ripristino config. ho fatto così:
Ho riattivato la funzione e dato OK.
Poi l'ho ri-disattivata. Così penso dovrebbe aver cancellato tutto.... Spero....

Sono uscito anche dai programmi nella barra dell'orologio che mi consentivano di uscire, e circa avira antivir ho disattivato la realtime protection (si è chiuso l'ombrellino).


Incollo di seguito i LOGs (PS: la guida a come postare il log di HJthis, dice che attualmente è disattivata la funzione per allegare file, e che bisogna passare al punto 2, faccio così).


Codice: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.33.21, on 04/03/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Documents and Settings\All Users\Dati applicazioni\EPSON\EPW!3 SSRP\E_S40ST7.EXE
C:\Documents and Settings\All Users\Dati applicazioni\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\svchost.exe
C:\STANDALONES\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HDAudDeck] C:\Programmi\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229749989812
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD7FB74C-C53A-48EB-964E-76E161E78199}: NameServer = 212.216.172.62,212.216.112.112
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: EPSON V5 Service4(01) (EPSON_EB_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Dati applicazioni\EPSON\EPW!3 SSRP\E_S40ST7.EXE
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Dati applicazioni\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6007 bytes




Codice: 
# AdwCleaner v1.500 - Logfile created 03/04/2012 at 12:55:18
# Updated 23/02/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : pc_papa - PCPAPA
# Running from : C:\Documents and Settings\pc_papa\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****


***** [H. Navipromo] *****


***** [Registry] *****

Key Deleted : HKLM\SOFTWARE\Software
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [789 octets] - [04/03/2012 12:55:04]
AdwCleaner[S1].txt - [725 octets] - [04/03/2012 12:55:18]

########## EOF - C:\AdwCleaner[S1].txt - [852 octets] ##########
 
Ultima modifica:
Ciao ,
il log è pulito.

Se hai disattivato il ripristino configurazione , in automatico le cartelle create vengono eliminate.

Per maggiore sicurezza abilita le cartelle e i files nascosti:
Apri Risorse del computer
In alto , Strumenti > Opzioni cartelle e procedi così:
visualizza-cartelle-file-nascosti-xp.gif


Mettendo la spunta su visualizza cartelle e file nascosti e togliendo il flag da Nascondi i file protetti di sistema.

Adesso procedi a disattivare nuovamente il ripristino , attendi ed avvia la scansione con Antivir che non dovrebbe rilevarti più niente.

Al termine di tutto , riattiva il ripristino.
 
OK, l'ho fatto:
1) Abilitato cartelle e file nascosti e di sistema
2) Riattivato il ripristino
3) Ri-disattivato il ripristino
4) Vedo la cartella System Volume Information, ovviamente con l'icona un pò meno "densa": fermandocisi sopra dice "la cartella è vuota", e facendo click destro proprietà mi dice 0 byte.

5) Ora lancio la scansione con Antivir....

Poi ti aggiorno... ma ci mettera MOLTO tempo.... (conosco i miei polli)...

Grazie ancora!!!!

PS: dopo la scansione, ri disabilito la visualizzazione dei file di sistema e dei file nascosti?
 
Fatto.
Tutto ok: ho fatto prima la scansione completa di tutto il sistema per rootkit e poi quella normale completa, sempre di tutto il sistema (entrambe con Avira Antivir).

Ora riattivo il ripristino di configurazione.

Poi quanto ai file nascosti e di sistema, siccome a casa non lo uso solo il il PC e gli altri sono abbastanza "utenti scimmia", non vorrei che ciambottino per sbaglio con dei file importanti. Quando potrò ri-disabilitarne la visualizzazione?

Grazie!
 
Pubblicità
Pubblicità
Indietro
Top