svchost acgenral e perdita audio

[metal123]

ho un problema fastidiosissimo dopo un po' che accendo il pc mi da' questo errore:

generic host process for win32 services.

identificativo dell'errore e':

szappname:svchost.exe szappver : 5.1.2600.5512

szmodname: acgenral.dll szmodver : 5.1.2600.5512 offset: 000116e2

tutto va benissimo ma il suono sparisce,se riavvio riparte tutto senza problemi.

ho service pack 3 e xp,firewall xp disattivato e aggiornamenti automatici disattivati,driver della scheda audio della mobo asrock dual sata2 aggiornati.
le varie patch nn risolvono il problema perche' sono antecendenti il service pack 3

nessun virus o roba simile

cosa diavolo posso fare?

[aedesy]

Anche io ho esattamente lo stesso problema.In più se spengo il modem adsl la porta di rete si blocca e non posso più riconnettermi.Devo per forza di cose riavviare il pc.Secondo me qualche virus o malware ha corrotto il file oppure tentando di ultilizzare tale processo lo manda in crash.Quanto prima formatterò.

[pornografo]

evvvvvai siamo tre ora cazzarola >_<"" cmq finche nn trovo una soluzione su internet per cme risolvere definitavemnte il problema vi do un consiglio per non riavviare ogni volta.... è una cazzata pero io per ora lo uso cosi XD
quando appare il messaggio del problema winsis32 etc etc non lo chiudete prendetelo e mettetelo a un lato del dekstop XD l'audio non salta finche il messaggio nn viene chiuso quindi il problema nn si pone XD spero che questa cazzata sia un pokino di aiuto T_T ciau

ps. a me internet nn va via neanche se chiudo il messaggio quindi puo essere che il tuo prob sia un po piu complicato del mio non so dirti se questo "trcchetto" funzioni anche per nn staccarti internet quindi =| per l'audio pero va sicuro

EDIT: cmq deve essere un virussino infame nuovo visto che siamo in tre a postare da dicembre a oggi >__>

RIEDIT: cmq.... AIUTATECIIIII Y_Y

[wjmat]

Ciao

Fai un check-up veloce così recuperiamo informazioni utili e vediamo se possiamo escudere infezioni
prima fai pulizia di files inutili con ATFCleaner
poi carica secondo queste modalità i log relativi a:

• scansione rapida con Malwarebytes' Anti-Malware
• scansione Gmer
• log classico con HiJackThis
• scansione con Prevx (richiesta connessione ad internet)

Se la scansione di gmer evidenzia righe rosse o malwarebytes e prevx segnalano file infetti segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, sempre secondo le modalità .

[pornografo]

anzitutto grazie mille dell'aiuto.
ora posto i vari log:

Malwarebytes' Anti-Malware 1.33
Versione del database: 1708
Windows 5.1.2600 Service Pack 3

30/01/2009 17.40.31
mbam-log-2009-01-30 (17-40-31).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 115588
Tempo trascorso: 21 minute(s), 24 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 6
Cartelle infette: 0
File infetti: 5

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.107,85.255.112.182 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1b5d833c-d56c-465d-b959-62aaf532a47a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.107,85.255.112.182 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.107,85.255.112.182 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{1b5d833c-d56c-465d-b959-62aaf532a47a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.107,85.255.112.182 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.107,85.255.112.182 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{1b5d833c-d56c-465d-b959-62aaf532a47a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.113.107,85.255.112.182 -> Quarantined and deleted successfully.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\programmini\retecazziwinxp\CRYPT.DLL (Hacktool) -> Quarantined and deleted successfully.
C:\Programmi\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\BNe4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\BNeA.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\BNeB.tmp (Trojan.Agent) -> Quarantined and deleted successfully.









a-squared Free - Versione 4.0
Ultimo aggiornamento: 30/01/2009 18.22.26

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies, C:\, F:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata: 30/01/2009 22.41.56

c:\programmi\codemasters rilevati: Trace.Directory.Bliss Island!A2
C:\Documents and Settings\pornografo\Cookies\[email protected][1].txt rilevati: Trace.TrackingCookie.bs.serving-sys!A2
C:\Documents and Settings\pornografo\Cookies\pornografo@serving-sys[1].txt rilevati: Trace.TrackingCookie.serving-sys!A2
C:\Documents and Settings\pornografo\Dati applicazioni\Mozilla\Firefox\Profiles\514ytrgb.default\cookies.sqlite:1233349853562500 rilevati: Trace.TrackingCookie.zedo!A2
C:\Documents and Settings\pornografo\Dati applicazioni\Mozilla\Firefox\Profiles\514ytrgb.default\cookies.sqlite:1233349854906251 rilevati: Trace.TrackingCookie.zedo!A2

Scansionati

Files: 4368
Tracce: 610667
Cookies: 926
Processi: 33

Rilevato

Files: 0
Tracce: 1
Cookies: 4
Processi: 0
Chiavi di registro: 0

Fine scansione: 30/01/2009 22.47.38
Tempo scansione: 0:05:42

C:\Documents and Settings\pornografo\Dati applicazioni\Mozilla\Firefox\Profiles\514ytrgb.default\cookies.sqlite:1233349853562500 Cancellato Trace.TrackingCookie.zedo!A2
C:\Documents and Settings\pornografo\Dati applicazioni\Mozilla\Firefox\Profiles\514ytrgb.default\cookies.sqlite:1233349854906251 Cancellato Trace.TrackingCookie.zedo!A2
C:\Documents and Settings\pornografo\Cookies\pornografo@serving-sys[1].txt Cancellato Trace.TrackingCookie.serving-sys!A2
C:\Documents and Settings\pornografo\Cookies\[email protected][1].txt Cancellato Trace.TrackingCookie.bs.serving-sys!A2
c:\programmi\codemasters Cancellato Trace.Directory.Bliss Island!A2

Cancellato

Files: 0
Tracce: 1
Cookies: 4











Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.59.20, on 30/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Prevx\prevx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programmi\Prevx\prevx.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\totalcmd\TOTALCMD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programmi\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: Toolbar &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [SiSRaid] C:\Programmi\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\Prevx\prevx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

--
End of file - 5973 bytes








GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-30 23:06:03
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwClose [0xAA69D88E]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateFile [0xAA69D0EC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateKey [0xAA69CDCE]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateSection [0xAA69E938]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteKey [0xAA69CED8]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteValueKey [0xAA69CFC2]
SSDT sper.sys ZwEnumerateKey [0xF737ACA2]
SSDT sper.sys ZwEnumerateValueKey [0xF737B030]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwLoadDriver [0xAA69DBBC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwOpenFile [0xAA69D3F4]
SSDT sper.sys ZwOpenKey [0xF735C0C0]
SSDT sper.sys ZwQueryKey [0xF737B108]
SSDT sper.sys ZwQueryValueKey [0xF737AF88]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwSetInformationFile [0xAA69D526]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwSetValueKey [0xAA69CBFC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwTerminateProcess [0xAA69DB04]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwWriteFile [0xAA69D70C]

INT 0x62 ? 82FDEBF8
INT 0x63 ? 82BD1BF8
INT 0x82 ? 82FDEBF8
INT 0x83 ? 82F70BF8
INT 0x84 ? 82BD1BF8
INT 0xA4 ? 82BD1BF8
INT 0xB4 ? 82BD1BF8

---- Kernel code sections - GMER 1.0.14 ----

? sper.sys Impossibile trovare il file specificato. !
.text USBPORT.SYS!DllUnload F6B9C8AC 5 Bytes JMP 82BD11D8
? System32\Drivers\ab8nng6u.SYS Impossibile trovare il file specificato. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F735D040] sper.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F735D13C] sper.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F735D0BE] sper.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F735D7FC] sper.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F735D6D2] sper.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F736D048] sper.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 82F6C1F8

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Ip ntkrnlpa.exe (Sistema e kernel NT/Microsoft Corporation)

Device \Driver\usbohci \Device\USBPDO-0 82BD01F8
Device \Driver\sptd \Device\1002549690 sper.sys
Device \Driver\usbohci \Device\USBPDO-1 82BD01F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 82F6E1F8
Device \Driver\dmio \Device\DmControl\DmConfig 82F6E1F8
Device \Driver\dmio \Device\DmControl\DmPnP 82F6E1F8
Device \Driver\dmio \Device\DmControl\DmInfo 82F6E1F8
Device \Driver\usbohci \Device\USBPDO-2 82BD01F8
Device \Driver\usbehci \Device\USBPDO-3 82BAE1F8
Device \Driver\PCI_PNP0940 \Device\00000048 sper.sys

AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp ntkrnlpa.exe (Sistema e kernel NT/Microsoft Corporation)

Device \Driver\Ftdisk \Device\HarddiskVolume1 82FDF1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 82FDF1F8
Device \Driver\Cdrom \Device\CdRom0 82DF7500
Device \Driver\atapi \Device\Ide\IdePort0 sfsync04.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 sfsync04.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 sfsync04.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e sfsync04.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\Cdrom \Device\CdRom1 82DF7500
Device \Driver\USBSTOR \Device\00000069 826D51F8
Device \Driver\USBSTOR \Device\00000069 sfsync04.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\NetBT \Device\NetBt_Wins_Export 82D211F8
Device \Driver\NetBT \Device\NetbiosSmb 82D211F8

AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp ntkrnlpa.exe (Sistema e kernel NT/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp ntkrnlpa.exe (Sistema e kernel NT/Microsoft Corporation)

Device \Driver\NetBT \Device\NetBT_Tcpip_{1B5D833C-D56C-465D-B959-62AAF532A47A} 82D211F8
Device \Driver\USBSTOR \Device\0000006a 826D51F8
Device \Driver\USBSTOR \Device\0000006a sfsync04.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\usbohci \Device\USBFDO-0 82BD01F8
Device \Driver\usbohci \Device\USBFDO-1 82BD01F8
Device \Driver\usbohci \Device\USBFDO-2 82BD01F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82CF81F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 82CF81F8
Device \Driver\usbehci \Device\USBFDO-3 82BAE1F8
Device \Driver\Ftdisk \Device\FtControl 82FDF1F8
Device \Driver\SiSRaid \Device\Scsi\SiSRaid1 82F6D1F8
Device \Driver\ab8nng6u \Device\Scsi\ab8nng6u1Port3Path0Target0Lun0 82BA01F8
Device \Driver\ab8nng6u \Device\Scsi\ab8nng6u1Port3Path0Target0Lun0 sfsync04.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\ab8nng6u \Device\Scsi\ab8nng6u1 82BA01F8
Device \Driver\ab8nng6u \Device\Scsi\ab8nng6u1 sfsync04.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Cdfs \Cdfs 829981F8

---- Services - GMER 1.0.14 ----

Service system32\drivers\gaopdxrswputhq.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxrswputhq.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxrswputhq.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxmewfvxtu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programmi\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFE 0x35 0x1F 0x0C ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x78 0x71 0xC9 0xC0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x57 0xB2 0xB7 0xCC ...
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxrswputhq.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxrswputhq.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxmewfvxtu.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programmi\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xFE 0x35 0x1F 0x0C ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x78 0x71 0xC9 0xC0 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x57 0xB2 0xB7 0xCC ...

---- EOF - GMER 1.0.14 ----






Dr Web

autorun.inf;c:;Probabile Win32.HLLW.Autoruner.corrupted;Spostato.;





PrevxCSI
mi da queste due scritte le scrivo a mano ke il log nn me lo ha fatto salvare >_> :

THREAT c:\windows\temp\tempo-2340671.tmp Malicius Software
THREAT c:\windows\temp\tempo-2341140.tmp Malicius Software


License required to clean








Una questione ma il file di sysinspector lo devo postare ?_? è bello lunghetto in Xml



grazie ancora per la risposta ora anche se ho ancora dei file segnati faccio la prova se mi si attiva o meno lo stesso errrore iniziale .

[tomatic]

Quote:

Originariamente inviato da metal123

ho un problema fastidiosissimo dopo un po' che accendo il pc mi da' questo errore:

generic host process for win32 services.

identificativo dell'errore e':

szappname:svchost.exe szappver : 5.1.2600.5512

szmodname: acgenral.dll szmodver : 5.1.2600.5512 offset: 000116e2

tutto va benissimo ma il suono sparisce,se riavvio riparte tutto senza problemi.

ho service pack 3 e xp,firewall xp disattivato e aggiornamenti automatici disattivati,driver della scheda audio della mobo asrock dual sata2 aggiornati.
le varie patch nn risolvono il problema perche' sono antecendenti il service pack 3

nessun virus o roba simile

cosa diavolo posso fare?

Eccomi qua...sono il quarto della serie!
Stesso problema......se non chiudo la finestra di dialogo con l'errore, l'audio continua a funzionare.....come chiudo (segnala il problema oppure no) l'audio salta e curiosamente mi imposta la grafica da XP a stile win 2000...avete presente???

Cusioso proprio....e non trovo maleware, virus o altro!!!
Ciao a tutti
MAx

[pornografo]

niente dopo aver fatto tutta la procedura l'audio continua a saltare... aiuuuuuut

[wjmat]

Quote:

Originariamente inviato da pornografo

niente dopo aver fatto tutta la procedura l'audio continua a saltare... aiuuuuuut

mi pare di averti linkato delle modalità per evitare di incollare tutto.....
dato che sei chiaramente infetto sarebbe meglio farci spostare nella sezione adatta

non vedo il log di f-secure/kaspersky
il log di cureit viene salvato in automatico, bigino in firma per info
il log di eset devi caricarlo come tutti gli altri semplicemenete su un server remoto

hai questo rootkit attivo

Codice:

Service system32\drivers\gaopdxrswputhq.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

rilancia gmer tasto dx su quella riga e delete service e poi nuovo log, secondo le modalità

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

il log di prevx vorrei vederlo anche testuale, a me risulta si possa ancora farlo, bigino per info


aspetto i nuovi log

[wjmat]

Quote:

Originariamente inviato da tomatic

Eccomi qua...sono il quarto della serie!
Stesso problema......se non chiudo la finestra di dialogo con l'errore, l'audio continua a funzionare.....come chiudo (segnala il problema oppure no) l'audio salta e curiosamente mi imposta la grafica da XP a stile win 2000...avete presente???

Cusioso proprio....e non trovo maleware, virus o altro!!!
Ciao a tutti
MAx

ciao
segui quanto detto qui
http://www.hwupgrade.it/forum/showpo...09&postcount=4

[pornografo]

aemh... mica avevo visto la sezione modalita sry mo li linko i log

cmq solo due cose da dire apparte i log quando ho fatto la prima scansione con

1
gmer e ho provato a cancellare la riga specificata mi ha dato questo:

File"system32\drivers\gaopdxrswputhq.sys" couldn't be deleted. Error 0x000000003 !: impossibile trovare il percorso specificato.
cmq credo lo abbia cancellato cmq visto ke alla scansione successiva nn me lo ha piu rilevato.

2
il log di Prevx non me lo fa fare mi dice solo "Clean" ma non mi fa fare neanhce quello perche vuole una chiave di registrazione =| cmq l'unica stringa che mi dice è questa:
Treath c:\windows\temp\tempo-2340671.tmp Malicius software


vado con i link dei log:

LOG DI GMER
http://wikisend.com/download/579038/gmerlog.log

LOG DI HIJACKTHIS
http://wikisend.com/download/887004/HijackThis.txt

Grazie ancora per l'aiuto spero di nn aver sbagliato niente stavolta :P

[wjmat]

hai fatto pulizia con atfcleaner?
il problema persiste?
IE è assolutamente da aggiornare alla 7, info nel trattamento in firma

[pornografo]

si ho fatto la pulizia con aft cleaner ora aggiorno explorer ma cmq si il problema ancora c'è =( ora faccio l'aggiornamento.

[wjmat]

carica un log di Combofix (leggi bene le info)

[pornografo]

Quote:

Originariamente inviato da wjmat

carica un log di Combofix (leggi bene le info)

Grazie mille provo subito.


EDIT: mi da errore quando provo a installarlo =| ho chiuso tutte le applicazioni sia di antivirus antispyware piu le altre e ho staccato internet ma mi da questo errore

AppName: prep.com AppVer: 0.0.0.0 ModName: unknown
ModVer: 0.0.0.0 Offset: 00000000


non è che quando lo installo devo stare collegato ?_?

RIEDIT: no ho provato anche con internet =| nn me lo fa installare sempre lo stesso errore >_<





RIRIEDIT: ho lasciato il pc acceso so tornato a casa ora non mi ha piu dato l'errore mortacci loro comunque dovevo per forza aggiornare explorer >_<"" grazie mille veramente dell'aiuto XD spero non si ripresenti ancora questo problema XD senno torno qui a chiedere aiuto <.< :P ciau e davvero grazie

[Vash84]

Io mi sa che sono il quinto ^_^ Io ho questo problema da novembre.. Dal nulla ha cominciato, e ogni tanto, a random mi crasha l'audio e non rileva piu' la periferica e lo sistemo soltando andando in servizi e riavviando l'"audio windows".. Io ho provato a fare di tutto, ho ank formattato 2 volte installando prima XP sp3 e poi XP sp3 nlite-ato, ma niente, questo errore continua a riproporsi a random senza alcun motivo apparente (tra l'altro ogni tanto mi cambia l'aspetto di windows xp e rimette quello del 98 o 2000)..

Solo che a me da due tipi diversi di errori.. Ha fatto due mesi a darmi questo:

Applicazione che ha provocato l'errore svchost.exe, versione 0.0.0.0, modulo che ha provocato l'errore unknown, versione 0.0.0.0, indirizzo errore 0x00000000.

Mentre ieri mi ha dato questo:

Applicazione che ha provocato l'errore svchost.exe, versione 5.1.2600.5512, modulo che ha provocato l'errore AcGenral.dll, versione 5.1.2600.5512, indirizzo errore 0x000116e2.

Tutti e due hanno portato allo stesso risultato di crash audio e problemi alla scheda di rete..

La configurazione del mio pc e':

Asus p5K - e6750 @ 3.2 - 2 giga di Geil Black Dragon @ 400 - 8800 gts 512 - HD Seagate Barracuda 500 giga - Audigy X-Fi pro gamer

Chiedo aiuto ank io perche' sta cominciando a darmi noia qst problema..

[wjmat]

Quote:

Originariamente inviato da Vash84

Io mi sa che sono il quinto ^_^ Io ho questo problema da novembre.. Dal nulla ha cominciato, e ogni tanto, a random mi crasha l'audio e non rileva piu' la periferica e lo sistemo soltando andando in servizi e riavviando l'"audio windows".. Io ho provato a fare di tutto, ho ank formattato 2 volte installando prima XP sp3 e poi XP sp3 nlite-ato, ma niente, questo errore continua a riproporsi a random senza alcun motivo apparente (tra l'altro ogni tanto mi cambia l'aspetto di windows xp e rimette quello del 98 o 2000)..

Solo che a me da due tipi diversi di errori.. Ha fatto due mesi a darmi questo:

Applicazione che ha provocato l'errore svchost.exe, versione 0.0.0.0, modulo che ha provocato l'errore unknown, versione 0.0.0.0, indirizzo errore 0x00000000.

Mentre ieri mi ha dato questo:

Applicazione che ha provocato l'errore svchost.exe, versione 5.1.2600.5512, modulo che ha provocato l'errore AcGenral.dll, versione 5.1.2600.5512, indirizzo errore 0x000116e2.

Tutti e due hanno portato allo stesso risultato di crash audio e problemi alla scheda di rete..

La configurazione del mio pc e':

Asus p5K - e6750 @ 3.2 - 2 giga di Geil Black Dragon @ 400 - 8800 gts 512 - HD Seagate Barracuda 500 giga - Audigy X-Fi pro gamer

Chiedo aiuto ank io perche' sta cominciando a darmi noia qst problema..

ciao

segui quanto richiesto qui
http://www.hwupgrade.it/forum/showpo...09&postcount=4

[Vash84]

Quote:

Originariamente inviato da wjmat

ciao

segui quanto richiesto qui
http://www.hwupgrade.it/forum/showpo...09&postcount=4

Ciao ! Intanto grazie per la risposta.. Allora:

- malwerebyte lo uso gia da tempo e non ha rilevato niente
- Prevx non ha rilevato niente neank lui
- log di Hijackthis: http://wikisend.com/download/177486/hijackthis.log
- log di gmer: http://wikisend.com/download/947924/gmer.log

Spero di riuscire a trovare una soluzione xke' ankora e' partito qst errore...

[wjmat]

Quote:

Originariamente inviato da Vash84

Ciao ! Intanto grazie per la risposta.. Allora:

- malwerebyte lo uso gia da tempo e non ha rilevato niente
- Prevx non ha rilevato niente neank lui
- log di Hijackthis: http://wikisend.com/download/177486/hijackthis.log
- log di gmer: http://wikisend.com/download/947924/gmer.log

Spero di riuscire a trovare una soluzione xke' ankora e' partito qst errore...

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Codice:

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1230123276546

con gmer hai cliccato su scan, mi sembra troppo corto come log

[Vash84]

Quote:

Originariamente inviato da wjmat

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

Codice:

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1230123276546

con gmer hai cliccato su scan, mi sembra troppo corto come log

Con Hj ho fatto tutto come mi hai detto, e le 3 voci sono spariti.. Mentre con gmer si, avevo gia fatto scan.. per sicurezza ne ho fatto un altro, te lo riallego:

http://wikisend.com/download/969164/gmer2.log

Intanto grazie !

[wjmat]

Quote:

Originariamente inviato da Vash84

Con Hj ho fatto tutto come mi hai detto, e le 3 voci sono spariti.. Mentre con gmer si, avevo gia fatto scan.. per sicurezza ne ho fatto un altro, te lo riallego:

http://wikisend.com/download/969164/gmer2.log

Intanto grazie !

in un caso precedente gmer ha evidenziato un rootkit, nel tuo caso non si vede nulla

hai già provato ad aggiornare i driver audio dal sito della casa costruttrice della scheda madre?