Arresto di sistema rpc terminato in modo non previsto

**pecciola** · 18-05-2007, 11:02

Ciao atutti ho un problema il mio computer si blocca ogni 10 minuti e se vado su internet mi si disconette e alcune volte mi appare ARRESTO DI SISTEMA RPC TERMINATO IN MODO NO PREVISTO E IL COMPUTER MI SI RIAVVIA ... HO FATTO UNA SCANSIONE CON SmitFraudFix v2.181 E IL RISULTATO E'
AIUTATEMI HO ADDIRITTURA FORMATTATO MA E' UGUALE....
SmitFraudFix v2.181

Scan done at 1.51.51,26, 18/05/2007
Run from C:\Documents and Settings\Pecci.PECCI-6499U720L\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Motorola Phone Tools\mPhonetools.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows NT\Accessori\WORDPAD.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pecci.PECCI-6499U720L

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pecci.PECCI-6499U720L\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PECCI~1.PEC\PREFER~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programmi

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Pagina iniziale corrente"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

AIUTATEMI HO ADDIRITTURA FORMATTATO MA E' UGUALE....

**tognazzi** · 18-05-2007, 14:00

ciao pecciola, benvenuto/a nella sezione sicurezza del forum di html.it.

1. segui attentamente la guida antimalware.
http://forum.html.it/forum/showthrea...hreadid=811189

in particolare, posta un log di hijackthis (v. punto 4 della guida). è importante eseguire passo a passo tutte le procedure consigliate. soprattutto, chiudi il browser prima dellla scansione e lancia hijackthis da start->programmi

2. può essere che il problema non sia di sicurezza. in particolare è impossibile che un malware sopravviva alla formattazione. a meno ovviamente che tu lo abbia ripreso frequentando lo stesso sito da cui lo avevi preso la prima volta, dai tuoi stessi hard disk esterni/pen drive usb che non avevi formattato, ecc. potrebbe anche essere un problema dovuto a file del sistema operativo corrotti, o forse (meno probabile) un problema hardware.

**pecciola** · 19-05-2007, 11:52

CIAO SON PECCIOLA AVEVO GIA' ESEGUITO TUTTE LE OPERAZIONI CHE MI HAI DATO MA IL COMPUTER SI COMPORTA SEMPRE NELLO STESSO MODO CIOE' PROGRAMMI CHE SI BLOCCANO, SE VADA SU INTERNET DOPO UN PO MI SI APRE UNA FINESTRA (CON UN CONTO ALLA ROVESCIA DI 30 SECONDI) CON SCRITTO " ARRESTO DEL SISTEMA RPC TERMINATO IN MODO NON CORRETTO" ECCO COSA FA IL MIO COMPUTER QUESTO ANCHE DOPO FORMATTATO.....ORA VI MANDO IL LOG DI HIJACKTHIS...
Logfile of HijackThis v1.99.1
Scan saved at 20.41.03, on 19/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\msdtc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\TOSHIBA\Power Management\CePMTray.exe
C:\Programmi\EzButton\CPLDBL10.EXE
C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Motorola Phone Tools\mPhonetools.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Documents and Settings\Pecci\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programmi\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CPLDBL10] C:\Programmi\EzButton\CPLDBL10.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: EFS - C:\WINDOWS\SYSTEM32\sclgntfy.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programmi\TOSHIBA\Power Management\CeEPwrSvc.exe

**tognazzi** · 19-05-2007, 11:57

questa voce è "aperta al dibattito" (= alcuni la considerano nociva altri no) nella classificazione di castlecops:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

http://www.castlecops.com/o9list-12.html

il resto del tuo log è pulito. propendo per un problema causato da file di sistema corrotti o forse un problema hardware.

**OYS** · 19-05-2007, 12:19

Originariamente inviato da tognazzi
questa voce è "aperta al dibattito" (= alcuni la considerano nociva altri no) nella classificazione di castlecops:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

http://www.castlecops.com/o9list-12.html

il resto del tuo log è pulito. propendo per un problema causato da file di sistema corrotti o forse un problema hardware.

Se posso unirmi al dibattito, a parer mio è sicura.

Ecco un link interessante che propende al fatto che Alexa non è uno spyware:

http://www.imilly.com/alexa.htm

**pecciola** · 19-05-2007, 14:29

OK HO TOLTO LO STESSO LA RIGA CHE MI AVETE DETTO MA IL PROBLEMA NON SI E' RISOLTO... COME FACCIO HA VEDERE SE E'UN FILE DI SISTEMA CORROTTO..PER FAVORE...

**tognazzi** · 19-05-2007, 14:37

http://www.etechs.it/howto/HA/rpc-blaster-remove.php

1. qui dice che un errore simile a quello che ti compare può essere causato dal blaster. cerca di riportare qui con la massima precisione il messaggio di errore che ti compare. soprattutto, nel messaggio c'è anche un riferimento al file lsass.exe?

2. inoltre, scarica systemscan da www.suspectfile.com, effettua una scansione, salva il report in file di testo, caricalo su www.sendmefile.com e posta qui il link che otterrai

3. rimettere a posto i file di sistema non è sempre facile. bisogna prima di tutto capire quale in particolare è il file di sistema che dà problemi. cmq sul forum windows e software ci sono discussioni sull'argomento, fossi in te darei un'occhiata e farei una ricerca.

**OYS** · 19-05-2007, 14:39

1. qui dice che un errore simile a quello che ti compare può essere causato dal blaste

Si, anch'io credo sia il blaster, ed in particolare una sua variante da poco diffusa: "SOBIG"

http://sicurezza.html.it/virus/vedi/11/sobig/

Utilizza pure questo tool di rimozione:

link

**pecciola** · 19-05-2007, 15:47

CIAO HO PASSATO FIX BLAST MA NON MI HA TROVATO NIENTE... PERO' NON SO SE PUO' ESSERE UTILE PASSANDO HIJACKTHIS CON LA RETE COLLEGATA MI SONO ACCORTO CHE MI APPAIONO 2 VOCI
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AFE2CF3-C917-43FB-AAD6-8B5B6AE3A4C1}: NameServer = 213.230.128.222 213.230.129.94
O17 - HKLM\System\CS1\Services\Tcpip\..\{4AFE2CF3-C917-43FB-AAD6-8B5B6AE3A4C1}: NameServer = 213.230.128.222 213.230.129.94

INVECE PRIMA DEI PROBLEMI MI APPARIVA SOLO LA PRIMA
CMQ HO PASSATO ANCHE SYSTEMSCAN ECCO IL LINK
http://www.sendmefile.com/00535405

**tognazzi** · 19-05-2007, 16:15

Originariamente inviato da pecciola
CIAO HO PASSATO FIX BLAST MA NON MI HA TROVATO NIENTE... PERO' NON SO SE PUO' ESSERE UTILE PASSANDO HIJACKTHIS CON LA RETE COLLEGATA MI SONO ACCORTO CHE MI APPAIONO 2 VOCI
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AFE2CF3-C917-43FB-AAD6-8B5B6AE3A4C1}: NameServer = 213.230.128.222 213.230.129.94
O17 - HKLM\System\CS1\Services\Tcpip\..\{4AFE2CF3-C917-43FB-AAD6-8B5B6AE3A4C1}: NameServer = 213.230.128.222 213.230.129.94
INVECE PRIMA DEI PROBLEMI MI APPARIVA SOLO LA PRIMA
CMQ HO PASSATO ANCHE SYSTEMSCAN ECCO IL LINK
http://www.sendmefile.com/00535405

ciao di nuovo.
le due istanze uguali della voci in O17 sono legittime. gli indirizzi IP sono di Telecom Italia Mobile.
Il fatto che ci siano ora due istanze invece di una sola che io sappia non comporta nulla di particolare.
cortesemente pecciola usa il maiuscolo solo se vuoi sottolineare qualche parola importante, non per scrivere intere frasi perché è più faticoso da leggere.

Discussione: Arresto di sistema rpc terminato in modo non previsto

Strumenti discussione

Ricerca discussione

Visualizza

AIUTATEMI...Arresto di sistema rpc terminato in modo non previsto

Arresto del sistema rpc terminato in modo non previsto

Permessi di invio