www.MegaLab.it

da **gordon89** » gio nov 09, 2006 6:31 pm

Ciao a tutti, da circa 1 mese ho un problema e penso si tratti di un virus.dopo un po di tempo che il pc è acceso (il tempo varia) mi viene un errore del processo svchost.exe:
"Si è verificato l'errore di exception eccezione software sconosciuta (0xc0000409) nel'applicazione alla posizione 0x5bc7a3c0".
ho letto molti altri post che parlano di questo ed ho seguito tutti i consigli citati ma non sono arrivato a capo della situazione.

i problemi causati dall'errore sono:
- non si sentono più i suoni (wmplayer dice che nessuana periferica audio è attiva) e si disattiva il mixer di windows
- la grafica di windows sembra riavviarsi
- internet explorer è diventato più instabile
- riavvii casuali del pc
- cercando programmi come GMER e hijackthis con google si chiude internet explorer appena inizia la ricerca
- si blocca l'aggionamento di avast

ho provato a fare una scansione con:
-avast
-FixLinkopt
-PrevxFixGrom
-VirIT
-ad-Aware
-Spyboot search and destroy
alcuni di loro hanno dato esito negativo mentre ad-aware mi ha trovato 13 file infetti che ho eliminato.
non so proprio cosa fare...spero che qualcuno possa aiutarmi...e lo ringrazio in anticipo....

da **crazy.cat** » gio nov 09, 2006 8:30 pm

Se non si tratta proprio di un virus è almeno un problema collegato alla sicurezza o qualche tentativo di infiltrazione sul tuo pc.

Codice: Seleziona tutto: Problema di protezione all'apertura di un documento da un sito Web Quando si apre un documento da un sito Web, è possibile che un utente malintenzionato si serva di questo file per ottenere l'accesso al computer dal quale è stata richiesta l'apertura del documento mediante l'esecuzione di codice dannoso. Inoltre, quando si verifica questa situazione, potrebbe essere visualizzato un messaggio di errore analogo al seguente: L'errore di eccezione "eccezione software sconosciuta" (0xc0000409) si è verificato nell'applicazione "nome_applicazione" alla posizione 0x00000000. Fare clic su OK per terminare l'applicazione. Fare clic su Annulla per eseguire il debug dell'applicazione.

Come sei messo ad aggiornamenti da windowsupdate?
Fai una scansione con hijackthis e posta qui il log
http://www.MegaLab.it/2286
il programma lo trovi in allegato all'articolo

da **gordon89** » ven nov 10, 2006 4:06 pm

Ecco qui il file Log:

Logfile of HijackThis v1.99.1
Scan saved at 15.03.06, on 10/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\AdunanzA\Incoming\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\javadrv.exe","c:\windows\mcafeeutility.exe",userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Programmi\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [atidrv] "c:\windows\atidrv.exe"
O4 - HKLM\..\Run: [javadrv] "c:\windows\javadrv.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://mgualtieri1989.spaces.live.com// ... nPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9944308975
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15026/CTPID.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: fsecure 2006 (fsecure) - Unknown owner - C:\WINDOWS\fswinsys.exe (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: WinMtf - Unknown owner - C:\Programmi\File comuni\System\fIkjC.exe (file missing)

comunque ho avuto problemi a far partire HijackThis perché se lo apro come un utente senza privilegi mi si chiude subito e lo stesso con il file Log.Inoltre ho dovuto scaricare il programma con un altro pc perché come citato in precedenza appena tento di aprire il link (quello che mi hai dato te ad esempio) mi si chiude internet explorer.
Ma tutti le voci che riportanto la scritta "(file missing)" non conviene che le elimino?

da **crazy.cat** » ven nov 10, 2006 5:17 pm

Oltre agli altri problemi hai un bel virus gromozon.
Con unlocker e dalla modalità provvisoria cancella i file che ti ho indicato in rosso, scaricati virit da un altro pc e lo installi su quel pc e poi ti copi la cartella dove è installato su un cdrom o chiavetta usb.
Lo porti sul tuo pc e sempre dalla modalità provvisoria avvii la scansione.
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\javadrv.exe","c:\windows\mcafeeutility.exe",userinit.exe
O4 - HKLM\..\Run: [atidrv] "c:\windows\atidrv.exe"
O4 - HKLM\..\Run: [javadrv] "c:\windows\javadrv.exe"

Queste sono le uniche due voci che puoi eliminare dei file missing, però la seconda fa parte del virus gromozon.
O23 - Service: fsecure 2006 (fsecure) - Unknown owner - C:\WINDOWS\fswinsys.exe (file missing)
O23 - Service: WinMtf - Unknown owner - C:\Programmi\File comuni\System\fIkjC.exe (file missing)

Leggi il post in rilievo in questa sezione sul virus e vedi se riesci a scaricare i tools rinominati che trovi in allegato all'articolo
http://www.MegaLab.it/2615
e scansioni anche con questi dalla modalità provvisoria, con quello della prevx o della symantec.

Alla fine riposta il log e vediamo cosa è rimasto.

da **gordon89** » ven nov 10, 2006 6:02 pm

Unlocker non me lo fa partire come posso fare?

da **crazy.cat** » ven nov 10, 2006 6:07 pm

E' il gromozon che te lo blocca, c'è Delete doctor o Killbox che fanno la stessa cosa.

da **gordon89** » ven nov 10, 2006 6:47 pm

sia con killbox che con delete doctor non riesco ad eliminarli perché dice che non riesce.

da **gordon89** » ven nov 10, 2006 6:49 pm

ma non si può fare la stessa cosa con hijackthis fixando i file? oppure non posso farlo a mano?(sempre se me lo lascia fare)

da **Amantide** » ven nov 10, 2006 7:00 pm

gordon89 ha scritto:Unlocker non me lo fa partire come posso fare?

Prova a curarlo con questo, seDebug-Restore

da **Amantide** » ven nov 10, 2006 7:01 pm

gordon89 ha scritto: oppure non posso farlo a mano?(sempre se me lo lascia fare)

Puoi provare ad eliminarli dalla modalità provvisoria (F8 all avvio).

da **gordon89** » ven nov 10, 2006 7:21 pm

non riesco neanche così comunque ho scoperto che sono messi in "sola lettura" e se provo a disattivarla dice "si è verificato n errore durante l'applicazione degli attributi del file: c:\WINDOWS\mcafeeutility.exe accesso negato."
ti ringrazio di tutto l'aiuto che mi stai dando!

da **gordon89** » ven nov 10, 2006 7:24 pm

comunque ho scoperto inoltre che me li lascia rinominare e che atidrv.exe sono riuscito ad eliminarlo ma non me ne ero neanche accorto..

da **gordon89** » ven nov 10, 2006 7:34 pm

sono riuscito ad eliminare javadrv..è bastato aggiungersi nelle autorizzazioni ma con mcafee non si riesce e non c'è nessuno nelle autorizzazioni

da **gordon89** » ven nov 10, 2006 7:38 pm

ok...sono riuscito ad eliminare anche mcafee è bastato spostarlo sul desktop, riavviare e mi ha dato accesso alle autorizzazioni e l'ho eliminato ora passo la scansione con virit e con gli altri tools e poi ti faccio sapere e ti posto il nuovo log di hijackthis che così al max mi dici se c'è qualcos'altro da eliminare.grazie di tutto

www.MegaLab.it

problema svchost.exe disattiva audio

problema svchost.exe disattiva audio

Chi c’è in linea