Xp ha tutti i servizi fermi

[TNT1130]

Ciao, ho un pc con windows xp sp3.

Questa mattina ho fatto una scansione con gmer per rilevare eventuali rootkit e infatti mi segnala una voce in rosso, quindi sospetta.

Ho eliminato il servizio e al riavvio tutti i servizi di windows erano fermi, audio, scheda di rete, ecc...insomma la totalità se non tutti.

Se cerco di attivarli uno a uno mi restituisce Errore 1068. "Avvio del gruppo o del servizio di dipendenza non riuscito".

Come posso risolvere.

Grazie

[Micha90]

ti ricordi che nome aveva il rootkit rilevato ... probabile che si sia inserito tra i file di sistema e una volta cancellato hai eliminato anche directory/file fissi del sistema ...

[TNT1130]

purtroppo non me lo ricordo, ma era qualcosa tipo xjtghes , un nome strano di questo genere, quindi secondo te ora windows non trova più una file/directory che gli serviva per l'avvio regolare?

[Micha90]

si è molto probabile , ma se non ti ricordi con esattezza il tipo di rootkit è difficile diagnisticare con precisione ... sei in possesso dei cd/dvd di ripristino oppure del cd del sistema operativo originale ??

[TNT1130]

Mi ricordo che tra i file in quarantena di antivir mi veniva segnalato il "conficker" come rootkit

[tallines]

Se hai un punto di ripristino a prima dell'eliminazione del servizio, usalo per portare il pc a prima dell'eliminazione che hai fatto.
Dimmi se hai questa possibilità o meno.

[TNT1130]

Il pc aveva il ripristino configurazione attivo, ma non riesco a ripristinarlo mi dice che il servizio non è attivo e non riesco ad attivarlo.

Comunque ho fatto una scansione con gmer del sistema e vedo che ci sono dei servzi stranissimi che fanno riferimento ad una dll altrettanto strana.

Te lo allego, ti viene qualche idea?se elimino quelle chiavi di registro potrebbe andar bene?

[tallines]

Ti ho chiesto se avevi e se potevi usarlo, un punto di ripristino per questo:

Quote:

Originariamente inviato da TNT1130

Questa mattina ho fatto una scansione con gmer per rilevare eventuali rootkit e infatti mi segnala una voce in rosso, quindi sospetta.

Ho eliminato il servizio e al riavvio tutti i servizi di windows erano fermi, audio, scheda di rete, ecc...insomma la totalità se non tutti.

Se cerco di attivarli uno a uno mi restituisce Errore 1068. "Avvio del gruppo o del servizio di dipendenza non riuscito".

Cioè poter tornare alla situazione di partenza e fare aaltri tipi di scan.
Gmer stesso dice:

ATTENZIONE__Non è detto che tutti i file segnalati in rosso siano dei Rootkit come in questo caso, alcune volte possono essere anche dei file leggittimi,mentre dei file segnalati in nero, possono esserlo

da : http://www.steven.altervista.org/files/gmer.html

Se si riuscisse a capire cos'hai eliminato, per quello ti ho chiesto il famoso punto di ripristino.
Altrettanto strano è che ti dica che non lo puoi fare praticamente.......
Per me hai toccato qualcosa del SO
Lasciamo per un'attimo Gmer.
Fai uno scandisk da C/tasto dx/Proprietà/Strumenti/esegui scandisk.
metti il segno di spunta a tutte e due le opzioni controllo disco e riavvii il pc quando te lo chiede.

[tallines]

Mi è venuta anche questa idea:
vai in Utilità configurazione sistema digitando msconfig da start/esegui e vedi alla voce servizi quali sono le voci che riportano Stato: interrotto

[TNT1130]

No purtroppo non riesco ad avviare il ripristino configurazione per tornare ad un punto precedente andando su start--accessori---utilità---ripristino, ho tentato anche da modalità provvisoria come spiega qui http://support.microsoft.com/kb/304449/it , mi dice il servizio non è avviato e non mi consente di procedere.

Purtroppo con gmer non ricordo qual'è il servizio che ho eliminato, quello che mi fa strano comuqnue è che da quel log si vedono tutta una serie di servizi con nomi stranissimi che fanno riferimento ad una dll che non credpo faccia parte del SO ad esempio:

Reg HKLM\SYSTEM\ControlSet003\Services\ejvtzbcnw@DisplayName Server Driver
Reg HKLM\SYSTEM\ControlSet003\Services\ejvtzbcnw@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\ejvtzbcnw@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\ejvtzbcnw@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\ejvtzbcnw@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\ejvtzbcnw@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\ejvtzbcnw@Description Fornisce servizi di conversione indirizzi di rete, indirizzamento e risoluzione nomi e/o servizi di prevenzione intrusione per una rete domestica o una piccola rete aziendale.
Reg HKLM\SYSTEM\ControlSet003\Services\ejvtzbcnw\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\ejvtzbcnw\Parameters@ServiceDll C:\WINDOWS\system32\gymocetz.dll

in questo caso c'è un servizio creato che si chiama "ejvtzbcnw" che fa riferimento ad una dll "gymocetz.dll" che non fa parte di windows è che non è più nella cartella system32, forse ho eliminato proprio quella con gmer o magari direttamente l'antivirus me l'ha eliminata.

Per le altre prove ti faccio sapere lunedì mattina, se hai altre idee fammi sapere.

Ciao

[Micha90]

ma hai il dvd del sistema operativo originale ??? se si fai prima ad spostare il file che ti interessano un un altra unita ottica / magnetica o

stato solido , e formattare tutto ... fai prima così te lo garantisco , che andare alla ricerca di un possibile file/directory di sistema eliminato

accidentalmente ... fammi sapere se hai questa possibilità altrimenti procediamo diversamente !!

[tallines]

Quote:

Originariamente inviato da TNT1130

No purtroppo non riesco ad avviare il ripristino configurazione per tornare ad un punto precedente andando su start--accessori---utilità---ripristino

Non ho capito se hai Xp Pro o Home.

Nel senso che nella prima schermata tu gli dici "avanti" e si blocca?
Quindi non riesci a vedere se hai o meno dei punti di ripristino? Oppure li riesci a vedere ma no ti fa partire la procedura?
Andando in C/tasto dx/Proprietà/Ripristino config di sistema alla voce Disattiva ripristino config di sistema il segno di spunta c'è o no?

Se ti dice come tu hai riportato "Il pc aveva il ripristino configurazione attivo, ma non riesco a ripristinarlo mi dice che il servizio non è attivo e non riesco ad attivarlo.",
prova ad andare nei Criteri gruppo

Digita il comando gpedit.msc in start/Esegui
Vai in Configurazione computer/Modelli amministrativi/Sistema.
In sistema aprendolo (click su +) seleziona la voce Ripristino configurazione di sistema.
Alle due voci che ti appaio dovresti avere Stato non configurato.
Se così non è fai doppio click e seleziona la voce "non configurato".

[TNT1130]

Il sistema operativo è xp pro.

Ho già tentato con il ripristino del sistema operativo con il comando sfc /scannow ma non ho risolto niente, il problema secondo sta in quelle chiavi di registro che sono presenti nel log di gmer che in fase di avvio di xp vengono richiamate tentando di avviare qualcosa che non trovano e mandano in blocco xp.

Per quanto riguarda il ripristino configurazione potrebbe essere sicuramente la soluzione migliore e meno indolore, il fatto è che non mi appare proprio la scehrmata di rirpristino dicendomi che il servizio non è attivo, i punti di ripristino ci sono, lo dico perchè me lo ricordo.

Proverò ormai lunedì a fare come dice tallines tramite i criteri di gruppo e vi farò sapere.

Ciao a presto

[TNT1130]

Quote:

Originariamente inviato da tallines

Non ho capito se hai Xp Pro o Home.

Digita il comando gpedit.msc in start/Esegui
Vai in Configurazione computer/Modelli amministrativi/Sistema.
In sistema aprendolo (click su +) seleziona la voce Ripristino configurazione di sistema.
Alle due voci che ti appaio dovresti avere Stato non configurato.
Se così non è fai doppio click e seleziona la voce "non configurato".

Ho seguito questa procedura, ma li è apposto lo stato è su non configurato in ogni caso tentando di fare doppio click su una qualsiasi delle due voci la finestrella proprietà non appare

[tallines]

Quote:

Originariamente inviato da TNT1130

Il sistema operativo è xp pro.

Ho già tentato con il ripristino del sistema operativo con il comando sfc /scannow ma non ho risolto niente, il problema secondo sta in quelle chiavi di registro che sono presenti nel log di gmer che in fase di avvio di xp vengono richiamate tentando di avviare qualcosa che non trovano e mandano in blocco xp.

Per quanto riguarda il ripristino configurazione potrebbe essere sicuramente la soluzione migliore e meno indolore,

Codice:

il fatto è che non mi appare proprio la scehrmata di rirpristino

Se andando in Risorse del computer/Proprietà no ti appare la schermata
ripristino configurazione di sistema, per esperienza hai un bel pò di virus.

Fai un bel giro con Combofix, lo avvi da modalità provvisoria.
I report di Combofix e Combofix-quarantined-files su www.wikisend.com

[TNT1130]

Ciao tallines, ti ho postato il log di combofix ComboFix.txt .

Se vedi qualcosa fammi sapere.

[tallines]

Mi farebbe piacere che tu postassi anche il log di
Combofix-quarantined-files che trovi in C/QooBox

[TNT1130]

Ciao, in parte ho risolto....infatti se guardi nel log di combofix c'è scritto "svchost.exe ... è mancante !!", quindi ho preso un svchost.exe da un'altro pc ho riavviato il pc ed i servizi sono tornati tutti a funzionare, evidentemente gmer me l'ha cancellato.

INoltre c'è scritto anche "cngaudit.dll ... è mancante !!" è quella dll non so cosa sia

[tallines]

Lo so:

c:\windows\System32\svchost.exe ... è mancante !!
c:\windows\System32\cngaudit.dll ... è mancante !!

Ti ha sgridato Combofix

Hai cancellato due voci in system32.........magari basta che fai un
sfc /scannow per rimetterla a posto la seconda voce

Quote:

Originariamente inviato da tallines

Mi farebbe piacere che tu postassi anche il log di
Combofix-quarantined-files che trovi in C/QooBox

[TNT1130]

Ora ci provo e comunque se utilizzate gmer andateci piano se no rischiate di fare casini come ne ho fatti io