Help, il mio xp non va...

[rinohawk]

Salve a tutti,
volevo postare nella sezione Guida alla risoluzione dei problemi, ma il forum non mi fa postare, quindi provo qui.
Ieri il mio pc, di cui andavo fierissimo per efficienza e velocita.... si é ammalato gravemente.

La prima cosa che é successa é stato il firewall Outpost che ha cominciato a bloccare tutte le comunicazioni in/out di emule.....

Ho quindi spento il pc, riavviato e lanciato una scansione con Norton (2005) che non ha rilevato alcun virus.
Nemmenop Search & Destroy ha trovato niente... ma Outpost continuava a bloccare la connessione (che dopo emule risultava bloccata anche per la posta elettronica ed il browser.

Ho provato a disabilitare la connessione di rete, ma per riavviarla ho penato molto... xp diiceva che non era possibile ripristinare la connessione.

Ho quindi provato a fare il ripristino di un punto che funzionava, ma il ripristino di sistema dice che non é in grado di proteggere il pc e si chiude.

Ho quindi provato con la modalitá protetta.... niente, mascherona blu !!!

Sono tornato in xp... maschera blu anche li !!!!

Riavvio, F8, ripristina ultima configurazione funzionante ed xp é ripartito.

Riprovo a lanciare Norton, ma non parte piú, non c'é nemmeno piú l'icona nella barra delle applicazioni in basso a destra!

Decido quindi di disinstallare Norton (che mi scadeva a fine mese) per installare un altro antivirus.
Non é possibile disinstallare Norton !!!!

Allora provo a lanciare l'installazione di Norton 360 (essendo della stessa casa dovrebbe gestire l'upgrade, pensavo), invece niente... errore di windows installer.

Provo ad installare un piccolo shareware.... niente da fare, installer non va piú.

Inoltre ho notato degli errori strani in gestione eventi (in una dir di win/system32... guarderó meglio) e che il servizio RPC (che credevo disabilitato) é attivato e non é possibile disattivarlo.... la casella é grigia !!

Sono riuscito ad installare Avira (chissà perchè Avira si ed altri sw no.....)
Avevo provato a fare lo scan on-line di Kapersky, ma quando accetto di installare l' active-x, la finestra dello scan si blocca.

Avira sta girando adesso... quindi approfitto che il pc risponde ai comandi (non so per quanto.. incrociammo le dita) posto il log di Hijack che ha funzionato (ma di cui non capisco i risultati):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.47.44, on 10/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\Programmi\ASUS\Probe\AsusProb.exe
C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\File comuni\Symantec Shared\NMain.exe
C:\Programmi\Norton AntiVirus\navw32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Norton AntiVirus\navw32.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Programmi\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1188148000593
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 8128 bytes

Ho analizzato il visualizzatore eventi e ci sono un sacco di errori.
- 21 volte questo ma ogni volta con un numero fra parentesi diverso accanto a wuauclt
Tipo evento: Errore
Origine evento: ESENT
Categoria evento: Generale
ID evento: 491
Data: 10/09/2007
Ora: 19.27.53
Utente: N/D
Computer: CASA-ZBKV04LCNA
Descrizione:
wuauclt (376) Tentativo di stabilire la dimensione di blocco I/O minima per il volume "C:\" contenente "C:\WINDOWS\SoftwareDistribution\DataStore\Logs\" non riuscito con errore di sistema 5 (0x00000005): "Accesso negato. ". L'operazione non verrà effettuata con errore -1032 (0xfffffbf8).

Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.

- una ventina di questo (ma sempre con gli stessi numeri):
Tipo evento: Errore
Origine evento: ESENT
Categoria evento: Generale
ID evento: 491
Data: 10/09/2007
Ora: 20.25.51
Utente: N/D
Computer: CASA-ZBKV04LCNA
Descrizione:
services (932) Tentativo di stabilire la dimensione di blocco I/O minima per il volume "C:\" contenente "C:\WINDOWS\Security\" non riuscito con errore di sistema 5 (0x00000005): "Accesso negato. ". L'operazione non verrà effettuata con errore -1032 (0xfffffbf8).

Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.

- quindi questo:
Tipo evento: Errore
Origine evento: COM+
Categoria evento: Sconosciuto
ID evento: 4689
Data: 10/09/2007
Ora: 20.32.57
Utente: N/D
Computer: CASA-ZBKV04LCNA
Descrizione:
L'ambiente di runtime ha rilevato un'incoerenza nello stato interno, che indica una potenziale instabilità del processo che potrebbe essere causata dai componenti personalizzati in esecuzione nell'applicazione COM+, dai componenti utilizzati da tali componenti personalizzati o da altri fattori. Errore in d:\qxp_slp\com\com1x\src\comsvcs\crm\recoveryclerk2.cpp(771), hr = 80070005: GetVolumeInformation

Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.

- immediatamente seguito da questo:
Tipo evento: Informazioni
Origine evento: COM+
Categoria evento: (117)
ID evento: 778
Data: 10/09/2007
Ora: 20.32.57
Utente: N/D
Computer: CASA-ZBKV04LCNA
Descrizione:
Impossibile creare il dump dell'immagine dell'applicazione.
ID applicazione server: {02D4B3F1-FD88-11D1-960D-00805FC79235}
ID istanza applicazione server:
{5A5FDBD8-FD0C-45FD-8A80-706B9B84D051}
Nome applicazione server: System Application
Codice errore = 0x80004005 : Errore non specificato.
Informazioni interne servizi COM+:
File: d:\qxp_slp\com\com1x\src\shared\util\svcerr.cpp, Riga: 1259
Versione file Comsvcs.dll: ENU 2001.12.4414.308 shp

Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.

gli ultimi due si ripetono 7 volte.....

Scusate la mia lunga descrizione, ma in effetti non so piú che fare ed ho bisogno di voi !!!!!!

[rinohawk]

Per la cronaca (e visto che nessuno mi ha risposto), ho risolto il problema rigenerando la registrazione di Windows Installer.

Era infatti Installer che, non funzionando piú, bloccava l'esecusiione e disinstallazione di quasi tutto.

Spero possa servire a qualcuno.

[rinohawk]

Piccolo aggiornamento,

oltre a ripristinare Windows installer, ho verificato la presenza del virus Bagle e..... c' era !!!

Ho quindi eliminato il virus grazie ai consigli alla sezione http://www.hwupgrade.it/forum/forumdisplay.php?f=125

Un saluto