Blocco del PC non appena sul desktop, impossibile aprire task manager

Angelus666 · 30-01-2012, 19:54

Ciao a tutti.
Oggi è sorto uno strano problema al mio PC, anticipato soltanto da due avvertimenti di Jetico Personal Firewall che dicevano che "system" sta provando ad avviare un'applicazione e inserendo dei codici nel sistema (credo abbia qualcosa a che fare con rundll32).

Partiamo dall'inizio. Stavo normalmente navigando su siti conosciuti, quando Jetico da questi due avvisi. Io nego l'autorizzazione e l'intero desktop si aggiorna, facendo sparire alcune icone in basso a destra, vicino all'orologio (esattamente l'icona dell'antivirus AVG, del firewall e dell'utility del mouse Logitech). A quel punto ho cercato di disconnettere l'utente e riconnettere per far ricomparire le icone, cosa che riesce. Sembrava tutto a posto, almeno fino al riavvio!

Succede che il desktop carichi tutto, sfondo, icone, ecc. e che poi subisca una specie di refresh, facendo sparire di nuovo quelle icone. In più, non riesco ad aprire il task manager (a volte mi dice che è disabilitato dall'amministratore ma più spesso non si avvia e basta) e appena provo ad avviare qualunque cosa, questa non si riavvia. Dopo un pò si blocca tutto e riesco a muovere solo il mouse, costringendomi a riavviare. Ogni volta è così, solo che ogni tanto, dopo lo strano refresh, l'intera pagina diventa come una pagina web a fullscreen e parla di sito non trovato. Dopo tanti tentativi, ogni tanto non si blocca e riesco a usarlo quasi normalmente (infatti vi sto scrivendo).

Ho provato a far partire una scansione con Hijack This in modalità provvisoria da Amministratore, ma all'inizio dello scan mi ha dato 3 strani errori, ma sono riuscito a copiarne solo uno:

"An unexpected error has occurred at procedure: modMain_CheckOther1Item()
Error #5 - Invalid procedure call or argument

Please email me at [email protected], reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan."

Questo l'intero log:

Logfile of HijackThis v1.99.1
Scan saved at 18.57.58, on 30/01/2012
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Angelus\Documenti\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\ASDLOL\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AVG_TRAY] "C:\Programmi\AVG\AVG2012\avgtray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Nikon Monitor.lnk = C:\Programmi\File comuni\Nikon\Monitor\NkMonitor.exe
O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Programmi\Praxisoft\WiziWYG XP\WiziWYGXP.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG2012\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG2012\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

Idee?

Angelus666 · 30-01-2012, 22:57

Credo di aver risolto! Mi è bastato fare la cosa più ovvia possibile, ovvero guardare in esecuzione automatica. Li ho trovato il collegamento al file 0.8195105943856156.exe (tra le proprietà c'era scritto "PAINT" e poi scritte in cirillico. La destinazione portava a:

"C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\Angelus\IMPOST~1\Temp\0.8195105943856156.exe,F1122"

Il bastardo cercava di aprire una pagina internet con internet explorer a tutto schermo, ma non andava perchè la connessione non era avviata.

Ho rimosso il collegamento e il file, poi ho riavviato. E' ricomparso in esecuzione automatica, infatti ha cercato di avviarlo di nuovo, ma non ha trovato nulla nella destinazione. L'ho cancellato nuovamente dall'esecuzione automatico e dopo aver riavviato non è più ricomparso. Adesso sto facendo una scansione con AVG 2012 e poi con Ad-Aware quello nuovo.

Vi tengo informati, sperando di esser d'aiuto a qualcun altro incorso nello stesso problema!

tallines · 31-01-2012, 14:18

Bravo, potresti fare anche un giro con Combofix e in più vedere se hai delle toolbar installate .

Per vedere quante e se ne hai puoi usare Advanced System Care in Pulizia/Disinstallatore Iobit/Toolbar

30-01-2012, 19:54	#1
Angelus666 Senior Member Iscritto dal: Dec 2007 Città: Palermo Messaggi: 660	Problemi avvio Windows XP SP2 (causa: file 0.8195105943856156.exe) Ciao a tutti. Oggi è sorto uno strano problema al mio PC, anticipato soltanto da due avvertimenti di Jetico Personal Firewall che dicevano che "system" sta provando ad avviare un'applicazione e inserendo dei codici nel sistema (credo abbia qualcosa a che fare con rundll32). Partiamo dall'inizio. Stavo normalmente navigando su siti conosciuti, quando Jetico da questi due avvisi. Io nego l'autorizzazione e l'intero desktop si aggiorna, facendo sparire alcune icone in basso a destra, vicino all'orologio (esattamente l'icona dell'antivirus AVG, del firewall e dell'utility del mouse Logitech). A quel punto ho cercato di disconnettere l'utente e riconnettere per far ricomparire le icone, cosa che riesce. Sembrava tutto a posto, almeno fino al riavvio! Succede che il desktop carichi tutto, sfondo, icone, ecc. e che poi subisca una specie di refresh, facendo sparire di nuovo quelle icone. In più, non riesco ad aprire il task manager (a volte mi dice che è disabilitato dall'amministratore ma più spesso non si avvia e basta) e appena provo ad avviare qualunque cosa, questa non si riavvia. Dopo un pò si blocca tutto e riesco a muovere solo il mouse, costringendomi a riavviare. Ogni volta è così, solo che ogni tanto, dopo lo strano refresh, l'intera pagina diventa come una pagina web a fullscreen e parla di sito non trovato. Dopo tanti tentativi, ogni tanto non si blocca e riesco a usarlo quasi normalmente (infatti vi sto scrivendo). Ho provato a far partire una scansione con Hijack This in modalità provvisoria da Amministratore, ma all'inizio dello scan mi ha dato 3 strani errori, ma sono riuscito a copiarne solo uno: "An unexpected error has occurred at procedure: modMain_CheckOther1Item() Error #5 - Invalid procedure call or argument Please email me at [email protected], reporting the following: * What you were trying to fix when the error occurred, if applicable * How you can reproduce the error * A complete HijackThis scan log, if possible Windows version: Windows NT 5.01.2600 MSIE version: 6.0.2900.2180 HijackThis version: 1.99.1 This message has been copied to your clipboard. Click OK to continue the rest of the scan." Questo l'intero log: Logfile of HijackThis v1.99.1 Scan saved at 18.57.58, on 30/01/2012 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\Angelus\Documenti\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [JeticoPFStartup] "C:\ASDLOL\Jetico\Jetico Personal Firewall\fwsrv.exe" O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [AVG_TRAY] "C:\Programmi\AVG\AVG2012\avgtray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Nikon Monitor.lnk = C:\Programmi\File comuni\Nikon\Monitor\NkMonitor.exe O4 - Global Startup: WiziWYG XP Startup.lnk = C:\Programmi\Praxisoft\WiziWYG XP\WiziWYGXP.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG2012\AVGIDSAgent.exe O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG2012\avgwdsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe Idee? __________________ AMD Ryzen 7 7800X3D // ASRock B650E PG Riptide WiFi // 32 GB DDR5 G.Skill Flare 6000 mhz CL36 // Samsung 970 Evo Plus M.2 1 TB // Palit GeForce RTX 4070 Dual 12 GB // Be Quiet Pure Power 11 600W 80+ Gold // Be Quiet Pure Base 500DX // Windows 10 Pro // 24,5" Acer Predator XB2531QGP, 1080p 144hz HDR400. Ultima modifica di Angelus666 : 30-01-2012 alle 23:38.

30-01-2012, 22:57	#2
Angelus666 Senior Member Iscritto dal: Dec 2007 Città: Palermo Messaggi: 660	Credo di aver risolto! Mi è bastato fare la cosa più ovvia possibile, ovvero guardare in esecuzione automatica. Li ho trovato il collegamento al file 0.8195105943856156.exe (tra le proprietà c'era scritto "PAINT" e poi scritte in cirillico. La destinazione portava a: "C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\Angelus\IMPOST~1\Temp\0.8195105943856156.exe,F1122" Il bastardo cercava di aprire una pagina internet con internet explorer a tutto schermo, ma non andava perchè la connessione non era avviata. Ho rimosso il collegamento e il file, poi ho riavviato. E' ricomparso in esecuzione automatica, infatti ha cercato di avviarlo di nuovo, ma non ha trovato nulla nella destinazione. L'ho cancellato nuovamente dall'esecuzione automatico e dopo aver riavviato non è più ricomparso. Adesso sto facendo una scansione con AVG 2012 e poi con Ad-Aware quello nuovo. Vi tengo informati, sperando di esser d'aiuto a qualcun altro incorso nello stesso problema! __________________ AMD Ryzen 7 7800X3D // ASRock B650E PG Riptide WiFi // 32 GB DDR5 G.Skill Flare 6000 mhz CL36 // Samsung 970 Evo Plus M.2 1 TB // Palit GeForce RTX 4070 Dual 12 GB // Be Quiet Pure Power 11 600W 80+ Gold // Be Quiet Pure Base 500DX // Windows 10 Pro // 24,5" Acer Predator XB2531QGP, 1080p 144hz HDR400.

31-01-2012, 14:18	#3
tallines Senior Member Iscritto dal: Feb 2009 Messaggi: 50674	Bravo, potresti fare anche un giro con Combofix e in più vedere se hai delle toolbar installate . Per vedere quante e se ne hai puoi usare Advanced System Care in Pulizia/Disinstallatore Iobit/Toolbar

Strumenti
Mostra una versione stampabile Invia questa pagina per email