buongiorno, ho questo problema che mi blocca il pc:
messaggio: IL PROCESSO DI SISTEMA C/WINDOWS/SYSTEM32/SERVICES.EXE è terminato in modo non previsto con codice 1073741819.
nella finestra del messaggio parte il conto alla rovescia di un minuto, dopodichè il pc o si riavvia o si blocca non permettendomi nemmeno di spegnerlo.
ho provato a fare la scansione con AVIRA e COMBOFIX ma il problema rimane.
AIUTATEMIIIIIII
Le scansioni rilevano virus?
Per capire se il file in questione è un virus caricalo su Virus Total e posta il log generato a fine scansione.
Dubito però che sia un virus perchè il file è posizionato correttamente nella cartella System 32.
Fammi sapere
la scansione con AVIRA SI BLOCCA AL 99,8%. con virus total seguendo il tuo link non so come usarlo, cosa devo mettere nella ricerca? h cliccato su SFOGLIA e mi si blocca il pc.
cmq all'avvio di windows il primo messaggio che mi appare è questo: si è verificato un errore in svchost.exe l'applicazione verrà chiusa. e come scelta offre: debug o chiudi. non so nemmeno a cosa si riferisca. puoi aiutarmi?
più in dettaglio mi esce all'avvio il seguente errore:
C:\DOUME1\admini1\impost1\temp\8f43_appcompat.txt
Per caricare il file su Virus Total devi cliccare su Sfoglia e selezionare il percorso del file da verificare.
Ciò mi serve per capire se il file è un virus o è un normale processo di sistema.
Gli altri errori sono ricollegabili al primo.
Scansiona con l'anti-virus e posta il log che ottieni a fine scansione.
Se non riesci ad effettuare queste operazioni dal normale S.O. avvialo in Modalità Provvisoria con Rete (premi F8 dopo il caricamento del bios).
Fammi sapere
Avira AntiVir Personal
Data del file di report: domenica 1 novembre 2009 10:38
Ricerca di 1851309 virus e programmi indesiderati.
Concesso in licenza a : Avira AntiVir Personal - FREE Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 2) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : SYSTEM-6EE12305
Informazioni sulla versione:
BUILD.DAT : 9.0.0.17 18072 Bytes 25/09/2009 12:06:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 18/08/2009 21:05:05
AVSCAN.DLL : 9.0.3.0 47873 Bytes 03/03/2009 10:14:29
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:56
LUKERES.DLL : 9.0.2.0 12545 Bytes 03/03/2009 10:15:14
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 07:09:18
ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28/10/2009 16:36:45
ANTIVIR3.VDF : 7.1.6.173 71680 Bytes 30/10/2009 16:13:59
Motore : 8.2.1.53
AEVDF.DLL : 8.1.1.2 106867 Bytes 16/09/2009 07:39:35
AESCRIPT.DLL : 8.1.2.43 528764 Bytes 31/10/2009 16:19:26
AESCN.DLL : 8.1.2.5 127346 Bytes 05/09/2009 15:39:13
AERDL.DLL : 8.1.3.2 479604 Bytes 03/10/2009 07:30:19
AEPACK.DLL : 8.2.0.2 422263 Bytes 22/10/2009 21:25:02
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 22/07/2009 07:09:24
AEHEUR.DLL : 8.1.0.173 2064760 Bytes 31/10/2009 16:19:20
AEHELP.DLL : 8.1.7.0 237940 Bytes 05/09/2009 15:39:12
AEGEN.DLL : 8.1.1.70 364917 Bytes 31/10/2009 16:14:05
AEEMU.DLL : 8.1.1.0 393587 Bytes 03/10/2009 07:29:54
AECORE.DLL : 8.1.8.1 184693 Bytes 16/09/2009 07:39:34
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:48:02
AVPREF.DLL : 9.0.3.0 44289 Bytes 27/09/2009 07:06:50
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:25:10
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:45
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:37:12
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:21:38
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:41:28
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 13:11:50
RCTEXT.DLL : 9.0.37.1 87809 Bytes 22/04/2009 10:24:43
Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: c:\programmi\avira\antivir desktop\sysscan.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:,
Scansione dei programmi attivi..............: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: medio
Categorie irregolari delle minacce..........: +JOKE,
Avvio della scansione: domenica 1 novembre 2009 10:38
È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Un'altra istanza di ARK Library è già in esecuzione.
La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wmiprvse.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wmiapsrv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ADSL Autoconnect.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SeaPort.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'MDM.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'BTNtService.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ASKUpgrade.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'AskService.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'reader_sl.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wgasetup.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'YahooMessenger.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'msmsgs.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wgasetup.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'msnmsgr.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'jusched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'rundll32.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'VTTrayp.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'VTTimer.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'explorer.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'Nokia-Word.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '1' modulo(i) scansionato(i)
42 processi scansionati con '42' Moduli
Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 56 file ).
Avvio della scansione del file selezionati:
Inizia con la scansione di 'C:\'
C:\pagefile.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
Fine della scansione: domenica 1 novembre 2009 10:39
Tempo impiegato: 00:30 Minuto(i)
La scansione è stata annullata!
6 Directory scansionate
264 I file sono stati scansionati
0 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
0 File spostati in quarantena
0 File rinominati
1 Impossibile scansionare i file
263 File non infetti
0 Archivi scansionati
1 Avvisi
1 Note
Ciao! ho lo stesso problema mio... si apre la finestra come faceva col virus blaster solo che riesco a bloccare il conto dal prompt e scrivendo shutdown/a ma non riesco a capire cosa sia questo errore. ti posto il log di virus total:
File services.exe ricevuto il 2009.10.31 23:46:55 (UTC)
Stato corrente: finito
Risultato: 0/41 (0.00%)
Formattato Formattato
Stampa risultati Stampa risultati
Antivirus Versione Ultimo aggiornamento Risultato
a-squared 4.5.0.41 2009.10.31 -
AhnLab-V3 5.0.0.2 2009.10.30 -
AntiVir 7.9.1.53 2009.10.30 -
Antiy-AVL 2.0.3.7 2009.10.30 -
Authentium 5.1.2.4 2009.10.31 -
Avast 4.8.1351.0 2009.10.31 -
AVG 8.5.0.423 2009.11.01 -
BitDefender 7.2 2009.11.01 -
CAT-QuickHeal 10.00 2009.10.31 -
ClamAV 0.94.1 2009.10.31 -
Comodo 2796 2009.10.31 -
DrWeb 5.0.0.12182 2009.10.31 -
eSafe 7.0.17.0 2009.10.29 -
eTrust-Vet 35.1.7094 2009.10.30 -
F-Prot 4.5.1.85 2009.10.31 -
F-Secure 9.0.15370.0 2009.10.30 -
Fortinet 3.120.0.0 2009.10.31 -
GData 19 2009.11.01 -
Ikarus T3.1.1.72.0 2009.10.31 -
Jiangmin 11.0.800 2009.10.31 -
K7AntiVirus 7.10.885 2009.10.31 -
Kaspersky 7.0.0.125 2009.11.01 -
McAfee 5788 2009.10.31 -
McAfee+Artemis 5788 2009.10.31 -
McAfee-GW-Edition 6.8.5 2009.10.31 -
Microsoft 1.5202 2009.10.31 -
NOD32 4561 2009.10.31 -
Norman 6.03.02 2009.10.31 -
nProtect 2009.1.8.0 2009.10.31 -
Panda 10.0.2.2 2009.10.31 -
PCTools 7.0.3.5 2009.10.30 -
Prevx 3.0 2009.11.01 -
Rising 21.53.52.00 2009.10.31 -
Sophos 4.47.0 2009.10.31 -
Sunbelt 3.2.1858.2 2009.10.31 -
Symantec 1.4.4.12 2009.11.01 -
TheHacker 6.5.0.2.058 2009.10.31 -
TrendMicro 8.950.0.1094 2009.10.31 -
VBA32 3.12.10.11 2009.10.30 -
ViRobot 2009.10.31.2015 2009.10.31 -
VirusBuster 4.6.5.0 2009.10.31 -
Informazioni addizionali
File size: 111104 bytes
MD5 : 26845f272435302e0f3322e660a24f7d
SHA1 : f0edcb281939350f3fb6f20a8b3c5c4322099f97
SHA256: 3034aa4913525b0bb8761a3a1741ddb65e0b87da6c90b481dd 458b2253083da3
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0xBF63
timedatestamp.....: 0x498C1AC8 (Fri Feb 6 12:11:04 2009)
machinetype.......: 0x14C (Intel I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x196A5 0x19800 6.23 bf32e1a6f4363e9fffea31d970bdebf2
.data 0x1B000 0xA38 0xC00 1.78 817a9a6979796d656eb64e994df5db0a
.rsrc 0x1C000 0x854 0xA00 3.84 ca6fb1924932366d9eb79d30c46328f9
( 10 imports )
> advapi32.dll: AllocateLocallyUniqueId, RegOpenKeyW, ConvertSidToStringSidW, AllocateAndInitializeSid, FreeSid, LogonUserExW, LsaStorePrivateData, LsaLookupNames, AddAccessAllowedAce, SetTokenInformation, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus, SystemFunction029, SystemFunction005, CheckTokenMembership, LsaQueryInformationPolicy, OpenThreadToken, RegNotifyChangeKeyValue, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, GetSecurityDescriptorDacl, GetLengthSid, CopySid, InitializeAcl, AddAce, SetSecurityDescriptorDacl, LsaOpenPolicy, LsaLookupSids, LsaFreeMemory, LsaClose, GetTokenInformation, RegCloseKey, RegQueryValueExW, RegOpenKeyExW, InitiateSystemShutdownW, RevertToSelf, CreateProcessAsUserW, ImpersonateLoggedOnUser
> kernel32.dll: GetCurrentThread, CreateMutexW, ReleaseMutex, ExitThread, FormatMessageW, lstrcmpiW, SetProcessShutdownParameters, DelayLoadFailureHook, RaiseException, GetExitCodeThread, SetConsoleCtrlHandler, SetErrorMode, SetUnhandledExceptionFilter, LoadLibraryA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcess, UnhandledExceptionFilter, GetModuleHandleA, OpenEventW, LocalAlloc, LocalFree, Sleep, LeaveCriticalSection, EnterCriticalSection, SetLastError, CloseHandle, CreateThread, GetLastError, CreateProcessW, ExpandEnvironmentStringsW, InitializeCriticalSection, HeapAlloc, HeapFree, TerminateProcess, WaitForSingleObject, HeapCreate, FreeLibrary, GetProcAddress, GetModuleHandleExW, InterlockedCompareExchange, CreateNamedPipeW, ReadFile, CancelIo, GetOverlappedResult, WaitForMultipleObjects, ConnectNamedPipe, TransactNamedPipe, WriteFile, GetTickCount, GetSystemTimeAsFileTime, GetModuleHandleW, GetComputerNameW, CreateEventW, SetEvent, ResetEvent, DeviceIoControl, CreateFileW, ResumeThread, GetCurrentProcessId, LoadLibraryW, GetDriveTypeW
> msvcrt.dll: _itow, wcsrchr, time, _except_handler3, memmove, wcschr, _c_exit, _exit, wcsncmp, _XcptFilter, _cexit, exit, _wcsnicmp, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, _wtol, wcscpy, wcscat, wcsncpy, _wcsicmp, __initenv, wcslen, wcscspn, _ultow
> ncobjapi.dll: WmiCreateObjectWithFormat, WmiEventSourceConnect, WmiSetAndCommitObject
> ntdll.dll: RtlCreateSecurityDescriptor, RtlAddAccessAllowedAce, RtlCreateAcl, NtCreateKey, NtQueryValueKey, NtSetValueKey, NtDeleteValueKey, NtEnumerateKey, NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, NtDeleteKey, RtlSetControlSecurityDescriptor, RtlValidSecurityDescriptor, RtlLengthSecurityDescriptor, NtPrivilegeObjectAuditAlarm, NtPrivilegeCheck, NtOpenThreadToken, NtAccessCheckAndAuditAlarm, NtSetInformationThread, NtAdjustPrivilegesToken, NtDuplicateToken, NtOpenProcessToken, RtlSetDaclSecurityDescriptor, RtlQuerySecurityObject, RtlSetSecurityObject, RtlValidRelativeSecurityDescriptor, RtlMapGenericMask, RtlCopyUnicodeString, NtSetInformationFile, NtQueryInformationFile, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, NtWaitForSingleObject, NtQueryDirectoryFile, NtDeleteFile, NtSetInformationProcess, RtlUnhandledExceptionFilter, NtSetEvent, RtlGetAce, RtlQueryInformationAcl, RtlGetDaclSecurityDescriptor, RtlAllocateHeap, RtlConvertSharedToExclusive, RtlConvertExclusiveToShared, RtlRegisterWait, RtlGetNtProductType, RtlEqualUnicodeString, RtlLengthSid, RtlCopySid, NtOpenDirectoryObject, NtQueryDirectoryObject, RtlUnicodeStringToAnsiString, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlNewSecurityObject, RtlAddAce, RtlSetOwnerSecurityDescriptor, RtlSetGroupSecurityDescriptor, RtlSetSaclSecurityDescriptor, RtlSubAuthorityCountSid, RtlCompareUnicodeString, NtLoadDriver, NtUnloadDriver, RtlExpandEnvironmentStrings_U, RtlAdjustPrivilege, NtFlushKey, NtOpenFile, RtlDosPathNameToNtPathName_U, NtOpenSymbolicLinkObject, NtQuerySymbolicLinkObject, RtlFreeUnicodeString, RtlAreAllAccessesGranted, NtDeleteObjectAuditAlarm, NtCloseObjectAuditAlarm, RtlQueueWorkItem, RtlCopyLuid, RtlDeregisterWait, RtlReleaseResource, RtlAcquireResourceExclusive, RtlAcquireResourceShared, RtlInitializeResource, RtlDeleteSecurityObject, RtlLockBootStatusData, RtlGetSetBootStatusData, RtlUnlockBootStatusData, NtInitializeRegistry, NtQueryKey, NtClose, RtlInitUnicodeString, NtSetSystemEnvironmentValue, RtlNtStatusToDosError, NtShutdownSystem, NtQueryInformationToken, RtlMakeSelfRelativeSD, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtSetSecurityObject
> rpcrt4.dll: RpcServerRegisterAuthInfoW, RpcBindingFree, RpcEpResolveBinding, RpcBindingFromStringBindingW, RpcStringBindingComposeW, NdrClientCall2, RpcAsyncCompleteCall, RpcAsyncInitializeHandle, NdrAsyncServerCall, RpcServerListen, RpcMgmtStopServerListening, RpcMgmtWaitServerListen, RpcServerUnregisterIf, NdrAsyncClientCall, NdrServerCall2, I_RpcBindingIsClientLocal, RpcRevertToSelf, I_RpcMapWin32Status, RpcImpersonateClient, RpcStringBindingParseW, RpcStringFreeW, RpcBindingToStringBindingW, RpcServerRegisterIfEx, RpcServerUseProtseqEpW, RpcServerRegisterIf
> scesrv.dll: ScesrvInitializeServer, ScesrvTerminateServer
> umpnpmgr.dll: RegisterScmCallback, PNP_SetActiveService, PNP_GetDeviceRegProp, PNP_GetDeviceListSize, PNP_GetDeviceList, PNP_HwProfFlags, RegisterServiceNotification, DeleteServicePlugPlayRegKeys
> user32.dll: LoadStringW, wsprintfW, BroadcastSystemMessageW, MessageBoxW, RegisterServicesProcess
> userenv.dll: UnloadUserProfile, CreateEnvironmentBlock, LoadUserProfileW, DestroyEnvironmentBlock
( 0 exports )
TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 1536:H1j12id0hKy+k1DQ+7Gpj3r4M7TGfwG1K9IJvydlnk4pC xvrS:H1G1DQgGpj3Cf1K9IBydlk+cvrS
PEiD : -
RDS : NSRL Reference Data Set
attendo notizie.... grazie
@Frank112: visto che dalla Modalità Normale la scansione si blocca prova ad eseguire le operazioni del mio precedente post in Modalità Provvisoria.
Per entrare in Modalità Provvisoria (possibilmente con Rete) premi, dopo il caricamento del bios, il tasto F8.
Fammi sapere
@Lorenzo06: apri una nuova discussione, riportando i dati inseriti nel tuo precedente post.
Seguire due problemi in uno stesso thread può diventare molto difficile e causare confusione.
ho provato a effettuare la scansione in modalità provvisoria con rete, ma l'antivirus non partiva affatto. ho cliccato più volte prima di avviare il pc in modalità normale. all'avvio c'erano più di 4 scansioni avviate e ne ho lasciata solo una di cui ti ho postato il log. la scansione è stata completata ma alla fine dice scansione annullata, come puoi vedere.
ti riscrivo il messaggio che mi blocca tutte le funzionalità del pc e i relativi codici che mi compaiono:
ARRESTO DEL SISTEMA:
il processo di sistema c\windows system32 services.exe è terminato in modo non previsto con codice:
1073741819
203
204
2147483641
il primo è il più frequente. non ne capisco molto ma credo che non sia un virus. ho provato anche con combofix e con WISE REGISTRY CLEANER 4.
GRAZIE PER LA PAZIENZA
Pare che tutto il problema sia causato da un Rootkit: dai un'occhiata a questa discussione (http://www.defcon.it/forum/viewtopic.php?t=25) e controlla, dopo l'utilizzo del tool, se il messaggio compare ancora.
Posta inoltre un log di scansione con HiJackThis, possibilmente in Modalità Normale.
Fammi sapere
Permessi di invio
Rispondi quotando