Molti servizi di WinXP si disattivano automaticamente dopo l'avvio

**radice** · 13-05-2007, 18:43

Ciao a tutti!

Sono nuovo di questo forum.

Da poco ho notato il problema in oggetto. Dopo l'avvio di Windows XP, che avviene normalmente, si disattivano i seguenti servizi (non so se li elenco tutti, ma comunque...)

Windows Audio
Browser Computer
Windows Firewall e Condivisione Connessione Internet ICS
Aggiornamenti automatici
Centro Sicurezza PC
Avvisi
Ora di Windows
Registro Eventi
Servizio Ripristino di Configurazione di Sistema
Zero Configuration Reti senza fili
Rilevamento Hardware Shell
...e forse alcuni altri

Nell'ordine ho provato le seguenti operazioni:
Scan con AVS Active Virus Shield (trovato nulla)
Ho guardato nel registro eventi se veniva segnalato almeno lo spegnimento dei servizi ma niente (almeno la disattivazione del servizio Registro eventi stesso)
Scan con Ad-Aware (trovato un hacking tool, cancellato, ma stupidamente non ho salvato il report)
Consigli della Microsoft su come riabilitare Firewall (inutile)
Ricerca su forum, newsgroups e mailing-list (la gente che ha il mio stesso problema posta ma non dice mai come ha risolto)
Ho fatto scan online con Panda Antivirus e non ho trovato nulla a parte 42 Cookies segnalati come spyware)

Io penso di aver preso da EMule qualche virus non segnalato da Active Virus Shield, o un hacktool con rootkit e da allora mi si spengono tutti i servizi sopraelencati

Ho formattato e reinstallato tutto da poco e sinceramente non ho alcuna voglia né tempo di rifare tutto da capo.

Quindi mi affido alle vostre mani.

Aiutatemi, vi prego...

**tognazzi** · 13-05-2007, 19:06

ciao radice, benvenuto nella sezione sicurezza e viruz del forum di html.it.
segui i passaggi di questa guida
http://forum.html.it/forum/showthrea...hreadid=811189
visto che alcuni li hai già fatti è inutile ripeterli. è importante invece che posti un log di hijackthis seguendo attentamente tutte le indicazioni del punto 4 della guida.

**radice** · 13-05-2007, 21:20

Ho letto la guida, ora mi sento autorizzato a postare il log di hijackthis.

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Active Virus Shield\avp.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\Active Virus Shield\avp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\ABBYY Lingvo 11 Multilingual Dictionary\Lvagent.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Google\Google Talk\googletalk.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\ego\Desktop\spybotsd14.exe
C:\DOCUME~1\ego\IMPOST~1\Temp\is-6C9BN.tmp\is-P8RKP.tmp
C:\Documents and Settings\ego\Desktop\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [aol] "C:\Programmi\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Programmi\ABBYY Lingvo 11 Multilingual Dictionary\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Programmi\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Перевести с помощью ABBYY Lingvo... - res://C:\Programmi\ABBYY Lingvo 11 Multilingual Dictionary\Lingvo.exe/3000
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{F764B10D-E0B3-432E-8D52-B7FEBDD9B401}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Active Virus Shield (AVP) - AOL - C:\Programmi\Active Virus Shield\avp.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

**BabboNapoli** · 13-05-2007, 21:41

Quasi sicuramente devi fixare qst:
C:\DOCUME~1\ego\IMPOST~1\Temp\is-6C9BN.tmp\is-P8RKP.tmp

Per sicurezza, aspetti conferma

**radice** · 13-05-2007, 21:54

Ho eliminato tutto ciò che c'era in Temp e ho riavviato, ma niente. Ho chiuso dunque tutto ciò che c'era nel system tray, ho avviato Internet Explorer ed è crashato. Subito dopo anche drwatson32.exe è crashato.

**OYS** · 13-05-2007, 21:57

Originariamente inviato da BabboNapoli
Quasi sicuramente devi fixare qst:
C:\DOCUME~1\ego\IMPOST~1\Temp\is-6C9BN.tmp\is-P8RKP.tmp

Per sicurezza, aspetti conferma

Si, questo è da eliminare. Radice, dopo averlo eliminato, riavvia il computer e posta un altro log di hijackthis. Siccome è nella cartella temporanea, con probaiblità si ricreerà, e se così accadrà, procederemo con un altro programma che ti specificheremo dopo.

**OYS** · 13-05-2007, 21:59

Originariamente inviato da radice
Ho eliminato tutto ciò che c'era in Temp e ho riavviato, ma niente. Ho chiuso dunque tutto ciò che c'era nel system tray, ho avviato Internet Explorer ed è crashato. Subito dopo anche drwatson32.exe è crashato.

Riposta il log di hijackthis e fai una scansione con systemscan.
Una volta eseguita la scansione portati in C:\suspectfile e carica il file report.txt su www.sendmefile.com oppure su www.savefile.com e scrivi il link per poterlo scaricare.

**radice** · 14-05-2007, 21:54

Ciao a tutti,

grazie a tutti dei consigli. Il problema si è automaticamente risolto dopo aver ricevuto una serie di aggiornamenti di Windows XP. VI chiederete... come sei riuscito ad installare degli aggiornamenti, visto che il relativo servizio si ferma subito dopo il login? Semplice... non ho fatto il login.... Mi spiego... Per distrazione, ho lasciato il computer acceso ma disconnesso; siccome gli aggiornamenti erano stati già scaricati, molto probabilmente prima della comparsa del problema, ma non installati, quando ho cliccato su "chiudi sessione" (dalla visualizzazione classica di Windows - cioè stile win2000, senza finestra di benvenuto dove è possibile scegliere l'utenza), ho scelto l'opzione "Installa gli aggiornamenti e spegni", gli aggiornamenti si sono installati e il problema è scomparso.

Grazie ancora.

Vostro.

Mr. Radice

**tognazzi** · 15-05-2007, 08:49

**OYS** · 15-05-2007, 13:21

Ben per te

Discussione: Molti servizi di WinXP si disattivano automaticamente dopo l'avvio

Strumenti discussione

Ricerca discussione

Visualizza

Molti servizi di WinXP si disattivano automaticamente dopo l'avvio

RISOLTO!!!

Permessi di invio