[Windows XP] blocco totale computer

[Flamenca]

Ciao a tutti!

Da un po' di giorni il pc (Windows XP, Intel Core 2, Ram 2Giga, Processore 2.66GHz) non ne vuole sapere di funzionare. Navigo con Mozilla (versione 3.6.3), e se ho più di una scheda aperta, spesso si blocca il pc e non funzionano nè Task manager, nè ctrl+alt+canc. L'unico modo che ho per sbloccarlo è resettare oppure spegnerlo. Ho provato a cambiare browser, ma succede comunque. La stessa cosa succede anche quando ascolto musica sia da iTunes che da wmp (sia quando navigo che quando sono sconnessa), la canzone si blocca completamente e non riesco più a fare nulla. Inoltre è anche successo che il pc una volta bloccato emetta un suono (beep) continuo. Il mouse in tutte queste situazioni però rimane attivo e si muove regolarmente.
Ultima cosa, all'avvio mi appare sempre un errore "rthdcpl.exe" relativo credo alla scheda audio (Realtek HD Audio Control Panel).

Mi hanno consigliato di usare Hijackthis ma non so intepretare il risultato. Vi sarei grata se qualcuno mi aiutasse a capire. Vi servono altre informazioni?

Grazie mille!!

Ecco il log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18.32.51, on 10/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Panda Security\Panda Global Protection 2009\TPSrv.exe
C:\PROGRAMMI\PANDA SECURITY\PANDA GLOBAL PROTECTION 2009\WebProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\Panda Security\Panda Global Protection 2009\PsCtrls.exe
C:\Programmi\Panda Security\Panda Global Protection 2009\PavFnSvr.exe
C:\Programmi\File comuni\Panda Security\PavShld\pavprsrv.exe
C:\Programmi\Panda Security\Panda Global Protection 2009\pavsrv51.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programmi\Panda Security\Panda Global Protection 2009\psimsvc.exe
C:\Programmi\Panda Security\Panda Global Protection 2009\AVENGINE.EXE
C:\Programmi\Panda Security\Panda Global Protection 2009\PskSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
c:\programmi\panda security\panda global protection 2009\firewall\PSHOST.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmi\Panda Security\Panda Global Protection 2009\ApvxdWin.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programmi\File comuni\Nikon\Monitor\NkMonitor.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Panda Security\Panda Global Protection 2009\SRVLOAD.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Documents and Settings\Pc\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA AE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [PD0620 STISvc] RunDLL32.exe P0620Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Security\Panda Global Protection 2009\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmi\Panda Security\Panda Global Protection 2009\Inicio.exe"
O4 - HKLM\..\Run: [Nikon Transfer Monitor] C:\Programmi\File comuni\Nikon\Monitor\NkMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Pc\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://elenitaspagnolita.spaces.live...d/MsnPUpld.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Programmi\Panda Security\Panda Global Protection 2009\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Unknown owner - C:\Programmi\Panda Security\Panda Global Protection 2009\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programmi\File comuni\Panda Security\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Security, S.L. - C:\Programmi\Panda Security\Panda Global Protection 2009\pavsrv51.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Panda Host Service (PSHost) - Unknown owner - c:\programmi\panda security\panda global protection 2009\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Programmi\Panda Security\Panda Global Protection 2009\psimsvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Programmi\Panda Security\Panda Global Protection 2009\PskSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Programmi\Panda Security\Panda Global Protection 2009\TPSrv.exe

[Nobody33]

Buona sera

scaricati MALWAREBYTES , lo fai aggiornare
TI SCONNETTI DA INTERNET vai in modalità provvisoria ;

Dopo gli fai fare una scansione COMPLETA (devi scegliere la seconda voce nella schermata iniziale del programma)del pc.

Una volta finito, metti tutto quanto in quarantena (anche quello lo devi fare tu !! ...trovi un pulsante in basso quando ha finito la scansione )...

Porta qui il log di malwarebytes..




p.s.: molto probabilmente ti sei presa un cavallo ti troia o simile da qualche parte , in internet , da qualche penna usb o simile

[Flamenca]

Grazie del suggerimento, Nobody33!
Ho eseguito tutta la procedura e ha trovato due file infetti.

Ecco il log di malwarebytes:

11/06/2010 19.10.56
mbam-log-2010-06-11 (19-10-56).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 211898
Tempo trascorso: 51 minuti, 12 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 2

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\Programmi\Adobe\Adobe Photoshop CS3\Msvcrt.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Programmi\Adobe\Adobe Photoshop CS3\Shfolder.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Ora sto usando il pc e sembra funzioni tutto!!

Grazie ancora!

[Nobody33]

..speriamo che sia tutto a posto e rimane cosi...

..malwarebytes è utile tenerselo sul pc; aggiornalo sempre ...

[Flamenca]

Ho cantato vittoria troppo presto. Mozilla ora non ha più problemi di schede, etc, ma se apro itunes o wmp o siti con video e ascolto musica o guardo video dopo 6-7 secondi si blocca tutto.
Potrebbero esserci problemi di hardware?

Grazie ancora!

[Nobody33]

il file rthdcpl.exe è un file connesso alla scheda audio e la musica...se questo è infetto, o se un virus si camuffa con questo nome, è normale che ti si blocca tutto...

..problema hardware non penso proprio....

..potrebbe anche essere che dopo un aggiornamento, qualche spegnimento anormale o simile abbia danneggiato il pc...


Dovresti dirmi se alla schermata d'avvio ti dà ancora l'errore.
Da quando hai questo problema, ovvero dopo aver scaricato qualche file da internet ,
dopo qualche aggiornamento
dopo un' interruzione della corrente ecc...??

nel frattempo mi fornisci queste informazioni, puoi

1) rifare la scansione con hijackthis e fixare questa voce:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

2)scaricarti A-SQUARED ed eseguirti un altra scansione; vediamo se si risolve cosi ...

[Flamenca]

Grazie mille della velocissima risposta!

Per le interruzioni di corrente non credo, ho il gruppo di continuità e riesco sempre a spegnere il Pc in modo normale. Gli aggiornamenti di Windows li faccio sempre, so che possono dare problemi di conflitti. Altre cose non mi sembra...
Ho rifatto la scansione con hijackthis e ho fixato la voce che mi hai detto. Per quanto riguarda la scansione con A-SQUARED ho trovato diverse cose, dei tracer a rischio medio e tre trojan a rischio alto in cartelle di sistema (sotto indicati) e li ho eliminati.

Backdoor.Win32.Sinowal!IK
Trojan.Win32.Agent!IK
Trojan.Win32.Agent!IK

Ora sto ascoltando la musica e sembra che funzioni tutto!!! Ma l'errore rthdcpl.exe è rimasto all'avvio!! Questo rimane un mistero, ora provo ad ascoltare per un po di tempo musica e vedo che succede...

Per ora grazie mille dei suggerimenti!

[Nobody33]

se l'errore corrisponde ad uno di QUESTI QUI , te lo puoi sistemare seguendo uno di questi link.

altrimenti, apri il prompt di commandi e digita chkdsk/ r



p.s.: finché ti funziona però non vedo la necessità..fai tu

[R16]

Ciao a tutti.
Scusate l'intromissione.

Ma l'errore rthdcpl.exe è rimasto all'avvio!!

Fixa questa voce di HijackThis, e il problema sparisce.
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

Backdoor.Win32.Sinowal!IK

Questa infezione di solito, interessa l'MBR. (Master Boot Record )
Fare, per precauzione un controllo al MBR, non sarebbe male.
Scusate il disturbo.

[Flamenca]

Speravo di aver risolto ma si è ripresentato il solito blocco del PC con beep continuo!!!
Ho provato a reinstallare i driver della scheda audio ma non è servito a nulla!

Ho fixato la voce di hjackthis e l'errore all'avvio è sparito, quindi grazie a te R16!
Il Master Boor record come lo controllo? Scusate ma non conosco bene queste cose!

Comunque ho cercato con esattezza il mio errore all'avvio - che recita "RTHDCPL.EXE Errore di applicazione, Applicazione non correttamente inizializzata (0x0000142) " - su google e ho letto che potrebbe essere dovuto a delle .dll mancanti o danneggiate. Con depends.exe ho controllato il file RTHDCPL.exe e mi da alcuni errori che vi riporto qui sotto.

DWMAPI.DLL Error opening file. Impossibile trovare il file specificato (2).
EFSADU.DLL Error opening file. Impossibile trovare il file specificato (2).
MPR.DLL
SHLWAPI.DLL
La terza e la quarta sono contrassegnate in rosso!

In questi casi come si procede?

Grazie ancora il supporto!!