Processo Services.exe termina inaspettatamente

[boysna]

Salve a tutti, ho il problema illustrato nel titolo: all'improvviso mi da un erore windows del tipo "invia seganlazioni" sul suddetto processo. Dopo un po che esce questo messaggio appare una finestrella dove mi viene detto che il processo è terminato e verrà riavviato windows alla fine di un conto alla rovescia.

Ho fatto la scansione con HiJackThis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14.48.55, on 10/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
d:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
D:\WINDOWS\Explorer.EXE
E:\AntiVir\AntiVir PersonalEdition Premium\avgnt.exe
E:\Java\jre1.5.0\bin\jusched.exe
D:\Programmi\iTunes\iTunesHelper.exe
D:\WINDOWS\AdobeR.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Messenger\msmsgs.exe
E:\Java\jre1.5.0\bin\jucheck.exe
E:\Acrobat 6.0\Distillr\acrotray.exe
D:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Documents and Settings\Stefano\Menu Avvio\Programmi\Esecuzione automatica\ctfmon.exe
E:\AntiVir\AntiVir PersonalEdition Premium\sched.exe
E:\AntiVir\AntiVir PersonalEdition Premium\avguard.exe
E:\AntiVir\AntiVir PersonalEdition Premium\avesvc.exe
D:\WINDOWS\system32\drivers\CDAC11BA.EXE
E:\ewido\ewido anti-spyware 4.0\guard.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
E:\AntiVir\AntiVir PersonalEdition Premium\avmailc.exe
D:\Programmi\iPod\bin\iPodService.exe
D:\WINDOWS\System32\alg.exe
G:\eseguibili e programmi\HiJackThis_v2.exe
E:\FireFox\firefox.exe
D:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "E:\AntiVir\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [byqsxrlg] D:\sjbmjtqh.bat
O4 - HKLM\..\Run: [RavAV] D:\WINDOWS\AdobeR.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1482476501-484763869-839522115-1003\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1482476501-484763869-839522115-1003 Startup: ctfmon.exe (User '?')
O4 - Startup: ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = E:\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://D:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Apacheds - Apache Software Foundation - E:\apacheds-1.5.0\bin\apacheds.exe
O23 - Service: AntiVir Engine Service (AVEService) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - D:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\ewido\ewido anti-spyware 4.0\guard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - D:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - d:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - E:\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe (file missing)

--
End of file - 7175 bytes

[Tidus Strife]

Killa e deleta:
D:\WINDOWS\AdobeR.exe

Fixa:
O4 - HKLM\..\Run: [RavAV] D:\WINDOWS\AdobeR.exe

Sospetti:
O4 - S-1-5-21-1482476501-484763869-839522115-1003 Startup: ctfmon.exe (User '?')
O4 - Startup: ctfmon.exe

[boysna]

Quote:

Originariamente inviato da Tidus Strife

Killa e deleta:
D:\WINDOWS\AdobeR.exe

Fixa:
O4 - HKLM\..\Run: [RavAV] D:\WINDOWS\AdobeR.exe

Sospetti:
O4 - S-1-5-21-1482476501-484763869-839522115-1003 Startup: ctfmon.exe (User '?')
O4 - Startup: ctfmon.exe

Ho killato il processo, cancellato il file, e fixato gli elementi da te segnalati.

Al riavvio del pc il processo non risulta piu in esecuzione il file non si è "ricreato" e le voci in HiJackThis non compaiono piu...

Purtroppo il problema c'è ancora...

[boysna]

Vi posto il nuovo log di HiJackThis nel caso ci fosse qualcos'altro da fixare:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22.53.55, on 11/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
d:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
D:\WINDOWS\Explorer.EXE
E:\AntiVir\AntiVir PersonalEdition Premium\avgnt.exe
E:\Java\jre1.5.0\bin\jusched.exe
D:\Programmi\iTunes\iTunesHelper.exe
E:\Java\jre1.5.0\bin\jucheck.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Messenger\msmsgs.exe
E:\Acrobat 6.0\Distillr\acrotray.exe
D:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Documents and Settings\Stefano\Menu Avvio\Programmi\Esecuzione automatica\ctfmon.exe
E:\AntiVir\AntiVir PersonalEdition Premium\sched.exe
E:\AntiVir\AntiVir PersonalEdition Premium\avguard.exe
E:\AntiVir\AntiVir PersonalEdition Premium\avesvc.exe
D:\WINDOWS\system32\drivers\CDAC11BA.EXE
E:\ewido\ewido anti-spyware 4.0\guard.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
E:\AntiVir\AntiVir PersonalEdition Premium\avmailc.exe
D:\Programmi\iPod\bin\iPodService.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\system32\wuauclt.exe
E:\FireFox\firefox.exe
G:\eseguibili e programmi\HiJackThis_v2.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "E:\AntiVir\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [byqsxrlg] D:\sjbmjtqh.bat
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = E:\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://D:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Apacheds - Apache Software Foundation - E:\apacheds-1.5.0\bin\apacheds.exe
O23 - Service: AntiVir Engine Service (AVEService) - H+BEDV Datentechnik GmbH - E:\AntiVir\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - D:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\ewido\ewido anti-spyware 4.0\guard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - D:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - d:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - E:\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe (file missing)

--
End of file - 7048 bytes




Comunque con Gmer a un certo punto della schermata da schermata blu e si riavvia

[xcdegasp]

allora disabilita il riavvio del sistema a fronte di problemi

pannello di controllo->sistema->avanzate->avvio e ripristino
disabilitare la voce "riavvia automaticamente"

[boysna]

E' gia disabilitata...

[Bugs Bunny]

questo cos'è?

O4 - HKLM\..\Run: [byqsxrlg] D:\sjbmjtqh.bat

[Tidus Strife]

Quote:

Originariamente inviato da Bugs Bunny

questo cos'è?

O4 - HKLM\..\Run: [byqsxrlg] D:\sjbmjtqh.bat

Ah non l'ho visto, è un rootkit o qualcosa del genere, boysna fai una scan con Gmer e vedi se ti da' voci in rosso.

[boysna]

Quote:

Originariamente inviato da Tidus Strife

Ah non l'ho visto, è un rootkit o qualcosa del genere, boysna fai una scan con Gmer e vedi se ti da' voci in rosso.

Fa riavviare il pc durante lo scan Gmer.

Comunque ho scoperto che ho due processi identificati come SERVIZIO DI RETE e un altro identificato come SERVIZIO LOCALE che si chiamano services.exe (ononimi del processo di sistema). Ho provato a chillarli ma a parte che si rigenerano dopo un po di "killamenti" mi fanno apparire la scheramta di riavvio.

Come si killano definitivamente?

[Bugs Bunny]

dove si trovano?

[boysna]

In che senso dove si trova?
Il file svchost è in D:\WINDOWS\System32 e i processi li ho visti da ctrl+alt+canc.

[Bugs Bunny]

il processo services.exe in quale/i cartelle si trova?

[boysna]

Quote:

Originariamente inviato da Bugs Bunny

il processo services.exe in quale/i cartelle si trova?

So solo che il file svchost.exe sta nella cartella su indicata, se intendi qualcos'altro non so dirti.

[boysna]

Chiedo perdono, i processi multipli in esecuzione erano svchost e non services come detto sopra, la ricerca di questi file ha riscontrato che si trova solo in system32.