Il mulo e il suo fantasma... [l'upload continua]

Indice del forum → Motobar → Forum Internet & Hi-Tech

Pagina 2 di 2

Vai a pagina Precedente 12

6025273

6025273 Inviato: 17 Ott 2008 12:02

ho fatto la scansione con ad-aware, spybot e CCleaner. Le scansioni non mi hanno rivelato niente di anomalo

comunque ora sembra passato tutto, non apro emule da 2gg e penso che non lo userò più

Giorgia79

Senza Freni

Ranking: 159

6025374

6025374 Inviato: 17 Ott 2008 12:13

Giorgia79 ha scritto:

non apro emule da 2gg e penso che non lo userò più

esagerata.....

........ bhe dai almeno non vai incntro ai rischi degli scaricaenti illegali

TonioSan

MotoGp

Ranking: 1264

6025749

6025749 Inviato: 17 Ott 2008 12:53

beh, programmi P2P ce ne son tanti

Giorgia79

Senza Freni

Ranking: 159

6027041

6027041 Inviato: 17 Ott 2008 14:36

Giorgia79 ha scritto:

beh, programmi P2P ce ne son tanti

Sei proprio sicura che non ti si ripresenta il "problema" ?
Rileggi bene le spiegazioni sulle possibili cause e poi mi dici.

Guido

Shangri-La

Super Sport

Ranking: 615

6032732

6032732 Inviato: 17 Ott 2008 21:48

tutto questo per non chiedere all' IRC ?

bhoo0,mi sa' di strano,chiudo

pianino

Super Sport

Ranking: 617

6040736

6040736 Inviato: 19 Ott 2008 8:21

ho appena trovato un file che si ciucciava quasi tutta la banda

il file in questione è shthost.exe

appena l'ho chiuso (dal task manager) la banda ha ripreso ad essere libera.
Che file è? da quale processo viene? ho provato a cercare su google ma (a quanto ho capito) questo file è usato da molti processi (?)
E' un malware o robaccia varia? se si, come mai ccleaner e spybot non lo rilevano?
Come lo si può cancellare? penso sia in esecuzione dal registro di sistema (quindi ogni volta che riavvio il pc, lo carica automaticamente)

ps: da msconfig - avvio - shthost.exe (percorso HKLM\software\microsoft\windows\CurrentVersion\Run

ho tolto la spunta dall'esecuzione, ma ho solo aggirato il problema

Giorgia79

Senza Freni

Ranking: 159

6042887

6042887 Inviato: 19 Ott 2008 13:41

Giorgia79 ha scritto:

Si tratta di capire se è un file che fa parte dell'installazione di qualche programma; visto che già ne hai disattivato l'esecuzione automatica dovresti avere un'idea se tutto funziona bene (vedi se ti appare qualche messaggio di errore perchè qualche programma non trova più il file). Da quel che mi risulta questo file dovrebbe essere un driver di un mouse, ma non ne ho la certezza assoluta. Per verificare se è un processo di sistema segui questa procedura:
- devi cliccare col tasto destro su Risorse del computer e scegliere dal menu che ti appare la voce "gestione";
- si apre una finestra, nel pannello sinistro scegli la voce "Servizi e applicazioni", clicca sul segno + a fianco, dalla lista estesa clicca su "Servizi"; ora nel pannello a destra appaiono i servizi in esecuzione sul computer (con il loro status: se sono avviati, se sono disabilitati e così via), da lì dovresti capire se c'è qualche processo avviato che potrebbe non appartenere a windows (spesso sono privi di descrizione nella relativa colonna, escluso "Archivi rimovibili" e "Rilevamento hardware shell" che sono legittimi);
- ora devi scoprire se qualche servizio fa riferimento al file "incriminato", per farlo clicca col tasto destro su ciascun servizio, scegli "proprietà" e nella finestrina che appare vedi se c'è il riferimento (da lì puoi eventualmente arrestarlo, avviarlo, disabilitarlo o cambiarne le modalità di avvio però occhio che rischi, se non sai esattamente quello che fai, di ritrovarti con un sistema instabile o peggio inavviabile).
Comunque potresti fare anche questa prova. Avvia windows in modalità provvisoria, poi trova dove si trova il file in questione (credo in C:\windows\system32) e prova a rinominarlo (per esempio shthost.bak) dopodichè riavvia il computer e controlla se per caso il file riappare nella sua forma originale, nel qual caso potrebbe trattarsi di un malware o un di virus particolarmente aggressivo che controlla se i file che gli necessitano esistono e in caso li ricrea (potrebbe anche essere un file che si trova "legittimamente" nel sistema ma che è stato infettato da un virus che ne sfrutta il processo per fare "il proprio comodo"), se non dovesse succedere nulla puoi lasciare tutto così, in caso contrario potrebbe occorrere un approccio un po' più aggressivo, magari effettuando una scansione con antivirus diversi.

frozenfrog

Esperto di Meccanica

Ranking: 1678

6043236

6043236 Inviato: 19 Ott 2008 14:26

ho provato a cercare il file in questione, ma non lo trova

che è? un file fantasma?

Giorgia79

Senza Freni

Ranking: 159

6044046

6044046 Inviato: 19 Ott 2008 17:04

shthost.exe credo proprio sia un malware.... o comunque sia infettato da un malware.
leggi anche qui : Link a pagina di Spywareterminator.com

normalmente i servizi girano sotto Svchost.exe

TonioSan

MotoGp

Ranking: 1264

6044106

6044106 Inviato: 19 Ott 2008 17:13

Giorgia79 ha scritto:

ho provato a cercare il file in questione, ma non lo trova

che è? un file fantasma?

In un certo senso si, anche perchè se lo hai arrestato dal task manager vuol dire che c'è ed è nascosto. Semplicemente potresti non essere abilitata a vedere i file nascosti e di sistema (è l'impostazione predefinita di windows per prevenire che inavvertitamente si possano "combinare pasticci"). Se è così, se usi la funzione "cerca..." di windows ed il file in questione è un file di sistema o nascosto, la ricerca non da risultati.
Per scoprirlo la procedura è semplice:
- apri una finestra di explorer
- nella barra in alto clicca su Strumenti
- nel menu che appare clicca su "Opzioni cartella..." e ti appare una finestra in cui in alto ci sono tre "linguette" (o tab, se preferisci)
- clicca su quella centrale che ha la dicitura "Visualizzazione"
- al centro appare una sezione intitolata "impostazioni avanzate", in cui devi cercare queste opzioni (sono comunque tra le prime): "visualizza cartelle e file nascosti" a questa devi mettere la spunta, "Nascondi i file protetti (consigliato)" a questa devi togliere la spunta, a questo punto apparirà una finestra di avviso in cui dovrai cliccare su OK per confermare, poi su "Applica" e poi su "OK" nella finestra con le opzioni, chiudi explorer e a questo punto puoi ripetere la ricerca del "file misterioso". Quando lo avrai trovato, cliccaci sopra col tasto destro, nel menu che ti appare clicca sull'ultima voce (proprietà), appare un altra finestra di quelle con le linguette in alto, se tra queste ce n'è una con la dicitura "Versione" puoi essere quasi sicura che si tratta di un file "buono" (però non puoi sapere se è infetto), cliccaci sopra e vedi che informazioni ti mostra (in genere tutta una serie tipo: commenti, descrizione, marchi depositati, lingua, società, versione ecc.) da qui puoi scoprire di cosa si tratta. Se invece non dovesse esserci quella linguetta non è detto che sia un file dannoso ma di certo sospetto si (chi programma virus, spyware e simili in genere non si da' pena di inserire delle informazioni, sia pure fittizie, visto che la maggioranza degli utenti medi non va mai a frugare tra le cartelle di sistema, tantomeno a guardare certe particolari caratteristiche dei file).

frozenfrog

Esperto di Meccanica

Ranking: 1678

6044879

6044879 Inviato: 19 Ott 2008 18:33

spyware terminator non ha rilevato niente

per quanto riguarda quel file, shthost.exe, ho visualizzato i files nascosti. Ho provato a cercarlo sia manualmente, sia con lo strumento "trova".
niente da fare... ma 'ndo caz stà?

Giorgia79

Senza Freni

Ranking: 159

6046941

6046941 Inviato: 19 Ott 2008 21:20

Giorgia79 ha scritto:

Eh, bella domanda. Sembrerebbe non esserci più, però mi domando come faceva ad essere nella lista dei processi attivi del task manager (visto che lo hai "terminato"), quindi la risposta è che deve esserci per forza. L'unico modo per sapere dove potrebbe essere è questo:
- avvia msconfig e riabilita l'avvio del file (non c'è bisogno che riavvii il PC) in questo modo msconfig rende visibile nel registro di sistema il riferimento al file incriminato
- apri regedit (pulsante avvio, esegui, scrivi regedit, premi invio) e nel pannello sinistro naviga fino alla chiave: HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run, nel pannello destro dovrebbe essere presente il riferimento al file, compreso il percorso dove questo si trova, se non c'è in quella chiave di registro potresti trovarlo in un'altra chiave (visto che windows agisce in maniera contorta) che dovrebbe essere come questa:
\HKEY_USERS\S-1-5-21-252709385-7666340851-511225938-1004\Software\Microsoft\Windows\CurrentVersion\Run
(salvo che la serie di numeri sottolineata non sarà uguale visto che è diversa da computer a computer)
A questo punto se con regedit trovi nel file registro il percorso relativo a shthost.exe puoi verificare se fisicamente il file è presente sul PC (senza chiudere regedit), in caso non lo fosse potrai tranquillamente rimuovere i suoi riferimenti dalle chiavi di registro di cui sopra cliccando (nel pannello di destra in regedit) sulla relativa voce e scegliendo "elimina".

P.S. scusa se cerco di essere un po' "precisino" sulle procedure, anche se capisco che non sei a digiuno di computer lo faccio per chiarezza ed anche per comodità di chi magari avendo un problema analogo ha voglia di cimentarsi...

frozenfrog

Esperto di Meccanica

Ranking: 1678

6050374

6050374 Inviato: 20 Ott 2008 12:09

ma roba da matti... mi dice "mouse driver"
ma chi vuole prendere per il sedere? altro che mouse driver, ti posto lo screen shot

ho provveduto ad eliminarlo

grazie per l'aiuto

Giorgia79

Senza Freni

Ranking: 159

Pagina 2 di 2

Vai a pagina Precedente 12

Non puoi inserire nuovi Topic
Non puoi rispondere ai Topic
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi

Indice del forum → Motobar → Forum Internet & Hi-Tech