[win XP] DRWTSN 32.EXE

[BEY0ND]

Quote:

Originariamente inviato da HighVoltage

come si eliminano i riavvii automatici...???

risorse del pc>visualizza info sistema>avanzate>avvio e ripristino>impostazioni>errore di sistema>togli la spunta su riavvia automaticamente
cosi quando avrai il prossimi bsod ti segni l'errore e risali alla causa che lo ha determinato

[HighVoltage]

Quote:

Originariamente inviato da murack83pa

fai cosi:
clicca col pulsante destro sull'icona di risorse del computer,vai su proprietà, nella finestra che ti appare vai su avanzate,sotto avvia e ripristino cliccasu impostazioni,nella nuova finestra deselezioni riavvia automaticamente sotto la voce errori di sistima
in questo modo, in caso di errore di sistema ti comparirà eventualmente la schermata blu con l'indicazione dell'errore
poi vai in pannello di controllo, strumenti di amministrazone, visualizzatore eventi, sistema e controlla se c sono icone rosse (che indicano gli errori di sistema)
xò cosi siamo ot, nn è piu una questione di infezione, devi chiedere nella sezione windows xp....
vediamo cosa dicono gli altri, io ti suggerrisco di verificare il tuo hardware e aggiornare tutti i driver delle periferiche (sia esterne che interne)
ciao

Quote:

Originariamente inviato da BEY0ND

risorse del pc>visualizza info sistema>avanzate>avvio e ripristino>impostazioni>errore di sistema>togli la spunta su riavvia automaticamente
cosi quando avrai il prossimi bsod ti segni l'errore e risali alla causa che lo ha determinato

grazie

[peddinira]

Ciao a tutti, avevo postato in un' altra discussione ma ho sempre dei dubbi. Il problema è questo:dopo alcuni minuti che sono collegato alla rete compare questo messaggio di errore



dopo dichè non è più possibile usare internet, non va piu nei siti con messaggi tipo pagina non trovata, impossibile visualizzare pagina ecc.Poi addirittura non si connette più alla rete...

Nei primi minuti in cui si può utilzzare internet, devo anche disattivare la "difesa proattiva" di kaspersky altrimenti non trova nessuna pagina..e comunque va su alcuni siti e non su altri.. ma dopo alcuni minuti arriva l'errore..
In particolare non ho capito sto dr watson..non so cos'è e neppure se c'entra anche nel mio caso
Premetto che ho installato il vista miezer (da Xp a Vista) ma da molti mesi ormai senza alcun problema fino ad'ora, e che ho fixato le prime due voci del log di hijack nel tentativo di pulire

La prima era R0 - HKCU/Software/microsoft/internet explorer/main. Start Page = WWW. italian.eazel....e porcherie varie che mi pare sia qualcosa di modificato..no?
La seconda non ricordo bene ma aveva a che fare con la prima e in più c'era l'indirizzo di una porta...
Siccome avevo già postato qui e il buon riverside mi aveva aiutato a pulire il log...Mi ero fatto una copia del log pulito e ho fixato quello che era diverso cioè queste due voci..sempre che non abbia tralasciato qualcosa..

Qualcuno mi può aiutare???
Vi posto il log

Codice:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23.45.21, on 21/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe
C:\Programmi\VisualTaskTips\VisualTaskTips.exe
C:\Documents and Settings\PC\Desktop\Utilities\Widows xp themes\Xp a Vista\WFlip041\WinFlip.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\PC\Desktop\Utilities\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programmi\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programmi\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programmi\styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [LClock] C:\Programmi\LClock\LClock.exe
O4 - HKCU\..\Run: [Vista Sidebar] C:\Programmi\Vista Sidebar\sidebar.exe
O4 - HKCU\..\Run: [ViStart] C:\Programmi\ViStart\ViStart.exe
O4 - HKCU\..\Run: [VisualTooltip] C:\Programmi\VisualTooltip\VisualToolTip.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Collegamento a WinFlip.exe.lnk = C:\Documents and Settings\PC\Desktop\Utilities\Widows xp themes\Xp a Vista\WFlip041\WinFlip.exe
O4 - Global Startup: VisualTaskTips.lnk = C:\Programmi\VisualTaskTips\VisualTaskTips.exe
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link to &MidpX - C:\Programmi\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 5832 bytes

Fra l' altro in questo log c'è anche la voce : C:\WINDOWS\system32\wuauclt.exe Che non c'era nel suddetto log pulito...

Edit
dimenticavo prima di pulire il log ho fatto la scansione con kaspersky e questo è ciò che ho eliminato



Adesso vedo che altri utenti hanno problemi con internet dopom avere eliminato lo stesso trojan..Non capisco più niente e non so neanche dove postare..
Fra l'altro stamattina l'errore non è ancora comparso (dopo un'ora) ma internet funziona a a caxxo

[xcdegasp]

nel mio caso quello che in teoria mi dava l'errore era il servizio "hpqwmiex" che lo avevo disabilitato perchè lo credevo inutile...

dava questo alert:

Quote:

Tipo evento: Errore
Origine evento: DCOM
Categoria evento: Nessuno
ID evento: 10005
Data: 22/01/2008
Ora: 9.56.06
Utente: xxxxxxx\Daniele
Computer: xxxxxxx
Descrizione:
DCOM ha ricevuto l'errore "Impossibile avviare il servizio. Il servizio è disabilitato oppure non è associato ad alcuna periferica attiva. " durante il tentativo di avviare il servizio hpqwmiex con gli argomenti "-Service" per eseguire il server
{F5539356-2F02-40D4-999E-FA61F45FE12E}

Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.

che appunto rilanciandolo diventa:

Quote:

Tipo evento: Informazioni
Origine evento: Service Control Manager
Categoria evento: Nessuno
ID evento: 7035
Data: 22/01/2008
Ora: 11.24.16
Utente: PC131823210829\Daniele
Computer: PC131823210829
Descrizione:
Invio di un controllo avvio da parte del servizio hpqwmiex riuscito.

Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.

[peddinira]

Quote:

Originariamente inviato da xcdegasp

nel mio caso quello che in teoria mi dava l'errore era il servizio "hpqwmiex" che lo avevo disabilitato perchè lo credevo inutile...

dava questo alert:


che appunto rilanciandolo diventa:

Non ho disabilitato niente tranne le 2 voci fixate con hijack come ho detto sopra....Questa è la segnalazione dell'errore per microsoft non so se serve



Ditemi se c'è qlc che posso fare per capire almeno da dove viene il prob.

[xcdegasp]

cerca il file:
netapi32.dll

segnati i vari percorsi in cui la trovi e falla analizzare su www.virustotal.com e su http://virusscan.jotti.org/, per il primo puoi salvare qui il link diretto alla pagina mentre per il secondo dovrai fare una fotografia dei risultati con la combinazione di tasti "ALT" + "STAMP" (il + non va premuto), poi vai su start->tutti i programmi -> accessori -> paint e premi la combinazione di tasti "CTRL" + "V"
poi la hosti su imageshake.com e copi il link thumbnail forum1

[peddinira]

al momento sembra che stia funzionando...
ho seguito il suggerimanto nell'altro post e ho svuotato la cartella prefetch