morphvox
03-02-2010, 16:48
Ragazzi mentre uso il pc ogni tanto spuntano i seguenti errori:
"E necessario riavviare windows perche' il servizio di utilita' di avvio processi server DCOM è terminato in modo imprevisto"
Oppure:
"E necessario riavviare windows perche' il servizio Plug and Play è terminato in modo imprevisto."
Ed il pc si riavvia automaticamente.
Tutto questo capita in modo puramente casuale, non capita in qualche istante preciso (per esempio quando faccio partire un programma o faccio un'azione specifica), oggi è capitato anche 2 o 3 volte...
Ho fatto scansione con antivir, malwarebytes anti-malware, hijackthis (e fatto analizzare il log dal sito) e superantispyware...
Ma anche dopo aver corretto/rimosso i problemi che rilevavano alcuni programmi, gli errori si sono ripresentati...
Quale può essere la sorgente del problema? Illuminatemi!! Grazie!
EDIT: Allora mentre effettuavo una scansione con dr web cure it, antivir se ne esce con 2 avvisi attinenti all'oggetto che ha trovato dr.web, ho selezionato su entrambi gli avvisi "Elimina", e mi esce un errore con scritto "C:\Windows\system32\drivers\atapi.sys impossibile curare" e nella lista in basso appare "Errore in scrittura" ... Ecco qui uno screen:
http://img21.imageshack.us/img21/276/scansioneu.th.jpg (http://img21.imageshack.us/i/scansioneu.jpg/)
Altro problema, appena faccio partire gmer si scansiona automaticamente alcuni file e mi dice in un avviso che ci sono dei processi nascosti, (infatti nella lista appaiono tante scritte hidden in rosso) e mi dice se voglio fare una scansione completa del sistema, io gli dico ok e dopo un pò il pc si impalla completamente con la cpu al 100%... quindi devo per forza riavviare dal pulsantino...
EDIT2: Problema risolto facendo avviare vista in modalità provvisoria e la scansione di gmer è andata liscia... Ma non mi ha trovato tutti quei processi nascosti mah...
Intanto vi allego i log di GMER e SysInspector, visto che sono gli unici 2 che hanno trovato qualcosa che più si avvicina al mio problema...
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-03 15:52:14
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\Ayeye\AppData\Local\Temp\fwtcapow.sys
---- Kernel code sections - GMER 1.0.15 ----
? C:\Windows\System32\Drivers\sptd.sys Impossibile accedere al file. Il file è utilizzato da un altro processo.
.rsrc C:\Windows\system32\drivers\atapi.sys entry point in ".rsrc" section [0x8267F024]
.text USBPORT.SYS!DllUnload 82F5B46F 5 Bytes JMP 85C115A0
? System32\Drivers\aznqaa83.SYS Impossibile trovare il percorso specificato. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8069961E] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [80698AD4] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [80699748] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [80698B9C] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [80698C1A] \SystemRoot\System32\Drivers\sptd.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 84F8E1E8
Device \Driver\volmgr \Device\VolMgrControl 84B6C1E8
Device \Driver\usbuhci \Device\USBPDO-0 85D3C1E8
Device \Driver\usbuhci \Device\USBPDO-1 85D3C1E8
Device \Driver\usbuhci \Device\USBPDO-2 85D3C1E8
Device \Driver\usbehci \Device\USBPDO-3 85C16790
Device \Driver\usbuhci \Device\USBPDO-4 85D3C1E8
Device \Driver\usbuhci \Device\USBPDO-5 85D3C1E8
Device \Driver\usbuhci \Device\USBPDO-6 85D3C1E8
Device \Driver\volmgr \Device\HarddiskVolume1 84B6C1E8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\usbehci \Device\USBPDO-7 85C16790
Device \Driver\cdrom \Device\CdRom0 85CA5790
Device \Driver\PCI_NTPNP5826 \Device\00000059 sptd.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 84F8D1E8
Device \Driver\atapi \Device\Ide\IdePort0 84F8D1E8
Device \Driver\atapi \Device\Ide\IdePort1 84F8D1E8
Device \Driver\atapi \Device\Ide\IdePort2 84F8D1E8
Device \Driver\atapi \Device\Ide\IdePort3 84F8D1E8
Device \Driver\atapi \Device\Ide\IdePort4 84F8D1E8
Device \Driver\atapi \Device\Ide\IdePort5 84F8D1E8
Device \Driver\cdrom \Device\CdRom1 85CA5790
Device \Driver\iScsiPrt \Device\RaidPort0 85C9B790
Device \Driver\usbuhci \Device\USBFDO-0 85D3C1E8
Device \Driver\usbuhci \Device\USBFDO-1 85D3C1E8
Device \Driver\usbuhci \Device\USBFDO-2 85D3C1E8
Device \Driver\usbehci \Device\USBFDO-3 85C16790
Device \Driver\usbuhci \Device\USBFDO-4 85D3C1E8
Device \Driver\usbuhci \Device\USBFDO-5 85D3C1E8
Device \Driver\usbuhci \Device\USBFDO-6 85D3C1E8
Device \Driver\usbehci \Device\USBFDO-7 85C16790
Device \Driver\aznqaa83 \Device\Scsi\aznqaa831Port7Path0Target0Lun0 85CCF790
Device \Driver\aznqaa83 \Device\Scsi\aznqaa831 85CCF790
Device -> \Driver\atapi \Device\Harddisk0\DR0 85A22841
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d603e39
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Pro\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE3 0x85 0x2A 0x80 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x39 0xBF 0x56 0xAC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xB3 0x6E 0x47 0x23 ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000b0d603e39 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Pro\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE3 0x85 0x2A 0x80 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x39 0xBF 0x56 0xAC ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xB3 0x6E 0x47 0x23 ...
---- Files - GMER 1.0.15 ----
File C:\Windows\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
SysInspector: http://www.filedropper.com/sysinspector-pc-ayeye-100202-1629
"E necessario riavviare windows perche' il servizio di utilita' di avvio processi server DCOM è terminato in modo imprevisto"
Oppure:
"E necessario riavviare windows perche' il servizio Plug and Play è terminato in modo imprevisto."
Ed il pc si riavvia automaticamente.
Tutto questo capita in modo puramente casuale, non capita in qualche istante preciso (per esempio quando faccio partire un programma o faccio un'azione specifica), oggi è capitato anche 2 o 3 volte...
Ho fatto scansione con antivir, malwarebytes anti-malware, hijackthis (e fatto analizzare il log dal sito) e superantispyware...
Ma anche dopo aver corretto/rimosso i problemi che rilevavano alcuni programmi, gli errori si sono ripresentati...
Quale può essere la sorgente del problema? Illuminatemi!! Grazie!
EDIT: Allora mentre effettuavo una scansione con dr web cure it, antivir se ne esce con 2 avvisi attinenti all'oggetto che ha trovato dr.web, ho selezionato su entrambi gli avvisi "Elimina", e mi esce un errore con scritto "C:\Windows\system32\drivers\atapi.sys impossibile curare" e nella lista in basso appare "Errore in scrittura" ... Ecco qui uno screen:
http://img21.imageshack.us/img21/276/scansioneu.th.jpg (http://img21.imageshack.us/i/scansioneu.jpg/)
Altro problema, appena faccio partire gmer si scansiona automaticamente alcuni file e mi dice in un avviso che ci sono dei processi nascosti, (infatti nella lista appaiono tante scritte hidden in rosso) e mi dice se voglio fare una scansione completa del sistema, io gli dico ok e dopo un pò il pc si impalla completamente con la cpu al 100%... quindi devo per forza riavviare dal pulsantino...
EDIT2: Problema risolto facendo avviare vista in modalità provvisoria e la scansione di gmer è andata liscia... Ma non mi ha trovato tutti quei processi nascosti mah...
Intanto vi allego i log di GMER e SysInspector, visto che sono gli unici 2 che hanno trovato qualcosa che più si avvicina al mio problema...
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-03 15:52:14
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\Ayeye\AppData\Local\Temp\fwtcapow.sys
---- Kernel code sections - GMER 1.0.15 ----
? C:\Windows\System32\Drivers\sptd.sys Impossibile accedere al file. Il file è utilizzato da un altro processo.
.rsrc C:\Windows\system32\drivers\atapi.sys entry point in ".rsrc" section [0x8267F024]
.text USBPORT.SYS!DllUnload 82F5B46F 5 Bytes JMP 85C115A0
? System32\Drivers\aznqaa83.SYS Impossibile trovare il percorso specificato. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8069961E] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [80698AD4] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [80699748] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [80698B9C] \SystemRoot\System32\Drivers\sptd.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [80698C1A] \SystemRoot\System32\Drivers\sptd.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 84F8E1E8
Device \Driver\volmgr \Device\VolMgrControl 84B6C1E8
Device \Driver\usbuhci \Device\USBPDO-0 85D3C1E8
Device \Driver\usbuhci \Device\USBPDO-1 85D3C1E8
Device \Driver\usbuhci \Device\USBPDO-2 85D3C1E8
Device \Driver\usbehci \Device\USBPDO-3 85C16790
Device \Driver\usbuhci \Device\USBPDO-4 85D3C1E8
Device \Driver\usbuhci \Device\USBPDO-5 85D3C1E8
Device \Driver\usbuhci \Device\USBPDO-6 85D3C1E8
Device \Driver\volmgr \Device\HarddiskVolume1 84B6C1E8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\usbehci \Device\USBPDO-7 85C16790
Device \Driver\cdrom \Device\CdRom0 85CA5790
Device \Driver\PCI_NTPNP5826 \Device\00000059 sptd.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 84F8D1E8
Device \Driver\atapi \Device\Ide\IdePort0 84F8D1E8
Device \Driver\atapi \Device\Ide\IdePort1 84F8D1E8
Device \Driver\atapi \Device\Ide\IdePort2 84F8D1E8
Device \Driver\atapi \Device\Ide\IdePort3 84F8D1E8
Device \Driver\atapi \Device\Ide\IdePort4 84F8D1E8
Device \Driver\atapi \Device\Ide\IdePort5 84F8D1E8
Device \Driver\cdrom \Device\CdRom1 85CA5790
Device \Driver\iScsiPrt \Device\RaidPort0 85C9B790
Device \Driver\usbuhci \Device\USBFDO-0 85D3C1E8
Device \Driver\usbuhci \Device\USBFDO-1 85D3C1E8
Device \Driver\usbuhci \Device\USBFDO-2 85D3C1E8
Device \Driver\usbehci \Device\USBFDO-3 85C16790
Device \Driver\usbuhci \Device\USBFDO-4 85D3C1E8
Device \Driver\usbuhci \Device\USBFDO-5 85D3C1E8
Device \Driver\usbuhci \Device\USBFDO-6 85D3C1E8
Device \Driver\usbehci \Device\USBFDO-7 85C16790
Device \Driver\aznqaa83 \Device\Scsi\aznqaa831Port7Path0Target0Lun0 85CCF790
Device \Driver\aznqaa83 \Device\Scsi\aznqaa831 85CCF790
Device -> \Driver\atapi \Device\Harddisk0\DR0 85A22841
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d603e39
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Pro\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE3 0x85 0x2A 0x80 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x39 0xBF 0x56 0xAC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xB3 0x6E 0x47 0x23 ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000b0d603e39 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Pro\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE3 0x85 0x2A 0x80 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x39 0xBF 0x56 0xAC ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xB3 0x6E 0x47 0x23 ...
---- Files - GMER 1.0.15 ----
File C:\Windows\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
SysInspector: http://www.filedropper.com/sysinspector-pc-ayeye-100202-1629