| Autore |
 Discussione  |
|
|
JanMattys
New Member
43 Messaggi |
 Inserito il - 21/01/2010 : 23:56:57
|
Vado con ordine: sappiate che sono un utente non completamente inesperto ma non sicuro nei passi più "delicati" di windows. Tenete conto che cerco di tenere il mio pc pulito.
Ora spiego: oggi mentre navigavo mi è comparso un messaggio "Utilità di avvio processo DCOM" terminato in modo imprevisto, arresto del sistema in 60 secondi.
Perplesso, al riavvio ho googlato un po'. Ho letto che poteva essere un virus chiamato Blaster o uno chiamato Sasser. Pur avendo letto che questi virus sono stati neutralizzati con il service pack ultimo, per sicurezza ho scaricato e fatto girare i relativi remove tools della Symantec, ma mi hanno dato esito negativo entrambi.
Allora ho googlato ancora un po', e mi son imbattuto in un consiglio: disabilitare DCOM, per eliminare il problema. Ho seguito questo consiglio
Citazione:
In effetti dietro l’errore che riporti si nascondeva, qualche tempo fa, il worm Blaster. Ma nel tuo caso, visto che ormai Blaster è diventato innocuo dopo il rilascio del Service Pack 2 di Windows e tenendo conto del fatto che hai provato tutti i possibili rimedi, l’origine del malfunzionamento è da ricercare proprio nel servizio DCOM stesso, che forse si è corrotto.
Puoi disabilitarlo senza problemi, in quanto è utile solo per quegli utenti che vogliono permettere l’accesso remoto ad alcune applicazioni come Windows Media Player.
Nel registro di sistema (avvialo digitando regedit da Start/esegui e confermando con Invio), raggiungi la chiave
Codice: Seleziona tutto
HKEY_LOCAL_ MACHINE\Software\Microsoft\OLEfai doppio clic su EnableDCOM e cambia il valore predefinito in N.
Scrivi poi DCOMCNFG.EXE in Start/Esegui. Quindi, da Pannello di controllo apri Servizi componenti/Computer e clicca col tasto destro del mouse sulla voce Risorse del computer. Dal menu contestuale che appare scegli la voce Proprietà, quindi Proprietà predefinite e togli la spunta da Abilita DCOM in questo computer. Il fastidioso errore dovrebbe ora essere sparito definitivamente.
Purtroppo, il problema mi rimane: ogni tot (non immediatamente al riavvio, dopo un po', diciamo 20-25 minuti, mi continua a comparire il messaggio di riavvio, anche se DCOM è disabilitato. Inoltre, al riavvio dopo ogni errore di DCOM, compare "Per facilitare la protezione del computer, il programma è stato chiuso - Generic Host Process for Win32 Services". Ora, il problema di DCOM mi dicono di risolverlo disabilitando DCOM, il problema di Generic Host potrei risolverlo disabilitando la protezione per Generic Host... ma insomma, preferirei RISOLVERE che dire semplicemente a Windows di non dirmi più che il problema esiste  .
Tornando a parlare seriamente: nei miei tentativi ho anche provato a rimettere a posto DCOM, rimettendo "Y" nel registro, e rimettendo "Enable" in DCOMCNFG... ma non cambia nulla nè che lo abiliti nè che lo disabiliti. Dopo un po' il pc si riavvia comunque.
AVG aggiornato mi dice che sono pulito 100%
Spybot S&D aggiornato mi dice che sono pulito 100%
Malwarebytes Anti-Malware aggiornato mi dice che sono pulito 100%
Lop S&D mi dice che sono pulito. 100%
Qualcuno mi sa dare qualche dritta per favore? Vi prego, son nelle vostre mani.
Ho windows XP originale aggiornato a service pack 3 e con tutti gli aggiornamenti installati fino a oggi.
Sono davvero infastidito, vi prego di aiutarmi. Per il momento ogni volta che compare il messaggio faccio Esegui ---> shutdown -a
ma insomma, preferirei la smettesse, così è un calvario.
Insomma, aiuto per favore! 
|
Modificato da - JanMattys in Data 22/01/2010 00:14:46
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 22/01/2010 : 08:29:12
|
Buon giorno e benvenuto su Notrace, questo tipo di problema è sempre di difficile soluzione e molte volte è dovuto a delle autorizzazioni utente un poco pasticciate, vediamo se con questa utility riusciamo a capire:
Scarica Dcombobulator htt*://majorgeeks[.com]/DCOMbobulator_d3987.html
lancialo,clicca sulla scheda Am I vulnerable? ("sono vulnerabile?") poi sul pulsante Local DCOM test.
Se il programma mostra la frase (di colore verde) DCOM is available but is NOT vulnerable significa che hai correttamente provveduto ad installare le patch risolutive Microsoft.
Se, invece, DCOMbobulator mostra la frase DCOM is available AND vulnerable, significa che non si è provveduto ad installare le opportune patch di sicurezza ed il servizio DCOM risulta attivo e vulnerabile.
Nel tuo caso (se ci sono problemi) si può disattivare DCOM cliccando sulla scheda DCOMbobulate me! e cliccando su Disable DCOM.
Se per caso il servizio DCOM dovesse servirti potrai riattivarlo successivamente semplicemente cliccando sul pulsante Enable DCOM.
|
 |
|
|
JanMattys
New Member
43 Messaggi |
Inserito il - 24/01/2010 : 21:36:51
|
Ok, grazie mille death. Mi scuso se non ti ho risposto finora ma da venerdì a oggi sono stato fuori casa. Ora che son tornato ho fatto come hai detto.
Allora: decombulator non mi fa nemmeno testare DCOM perchè dice che sono fornito di service pack 2 e quindi non son più vulnerabile. Il test della porta 135 mi dice che ho la porta in Stealth.
Quindi direi tutto bene, no?
In ogni caso ho disabilitato DCOM tramite Disable DCOM, come hai suggerito...
Ma il computer continua a riavviarsi... altre idee?
:-/
ps: Grrr... aggiungo per completezza che ogni tanto il mio browser apre una pagina h***://ad.yieldmanager[.com]/imp?z=0&Z=0x0&s=480501&y=23&w=800&h=600&t=3&B=1 ... mi sa che mi son preso qualcosa. Una procedura standard per pulire bene? |
Modificato da - death in data 25/01/2010 08:09:06 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/01/2010 : 08:10:05
|
Buon giorno, facciamo un giro di pulizie, segui la procedura:
scarica Hijackthis
1) crea una cartella dedicata e scompattalo al suo interno
2) lancia il programma
3) nel menu' di destra clicca su "do a system scan and save a log file"
4) il programma ti rilascerà un file di report in formato txt, salvalo e postalo sul forum secondo il regolamento
poi
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
poi
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt
per postare i report segui questa scaletta:
a) andare sul sito htt*://[www].savefile[.com]/
b) clicca su Upload My file
c) clicca su upload oppure registrarsi per avere più opzioni
d) clicca su browser e scegli il file di log, txt ecc dal tuo computer
e) compila i restanti campi e clicca su Upload File
f) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file:]
g) oppure utilizza questo servizio: htt*://[www].wikisend[.com] |
|
|
|
JanMattys
New Member
43 Messaggi |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/01/2010 : 09:39:25
|
| Buon giorno, il pc è pulito a parte una infezione nel disco e:\, prima di rimuoverla con malwarebytes vorrei sapere a cosa corrisponde e:\, se è una seconda partizione oppure una pendrive usb. |
|
|
|
JanMattys
New Member
43 Messaggi |
Inserito il - 25/01/2010 : 09:55:19
|
L'unità E è un drive virtuale di PowerISO, che uso per montare immagini...
Non credo sia un problema, anche se non sono un esperto.
Cmque te l'avevo detto che il pc era pulito :-/
Altre idee sul perchè mi trovo DCOM che mi fa riavviare, e la protezione di Generic Host Win32 Services che non funziona? :-/
ps: più che altro: come è possibile che mi dica che il servizio DCOM è stato arrestato in modo imprevisto, quando NON DOVREBBE NEMMENO partire???? :-/ |
Modificato da - JanMattys in data 25/01/2010 09:57:57 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/01/2010 : 10:14:30
|
Buon giorno, trovo strano che il file autorun.inf di quella partizione venga segnalato come infetto, pero' potrebbe essere un falso positivo, vorrei tu mi facessi una scansione con un tool, non so quando riusciro' a controllartela ma cercherò di fare il possibile.
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop. |
|
|
|
JanMattys
New Member
43 Messaggi |
Inserito il - 25/01/2010 : 11:04:28
|
Report di Systemscan: htt ://wikisend[.com]/download/856270/report.txt
Io continuo a non capire il problema di DCOM... mi si è corrotto qualcosa? perchè a parte virus e affini, il servizio è disabilitato ma mi dà errore lo stesso... mi pare più, a questo punto, qualche pasticcio di Windows che non una infezione.
...e se devo essere sincero, i pasticci di windows mi fanno molta più paura, perchè rarissimamente ne ho visti di risolti senza piallare tutto e reinstallare, mentre le infezioni si puliscono :-/
Mah. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/01/2010 : 13:07:36
|
Buon giorno, ho dato uno sguardo, non mi sembra di vedere nulla di anomalo, saprò essere piu' preciso domani, l'unica cosa che vedo è questa:
018) "DcomLaunch" - Utilità di avvio processo server DCOM
---> STAT = (RUNNING) Started automatically
---> FILE = C:\WINDOWS\system32\svchost -k DcomLaunch
---> TYPE = SHARE_SERVICE
come vedi è abilitato, devi disabilitarlo dal tabellino dei servizi da pannello di controllo, mettilo su avvio manuale.
Edit:vedi anche questa discussione qui
|
Modificato da - death in data 25/01/2010 13:25:27 |
|
|
|
JanMattys
New Member
43 Messaggi |
Inserito il - 25/01/2010 : 14:49:47
|
Si, questa mattina l'ho notato anche io...
Ho fatto partire Services.msc e ho impostato l'utilità di avvio DCOM in manuale, poi ho usato decombulator per ribadire che lo voglio disabilitato.
Ora lascio acceso il pc per un po', diciamo tutto il pomeriggio, e vedo se prima o poi mi rompe le scatole o no...
Per il momento, grazie mille. Sei stato gentilissimo. Posterò appena ho verificato se il problema è risolto o no. |
|
|
|
JanMattys
New Member
43 Messaggi |
Inserito il - 25/01/2010 : 16:40:11
|
Dunque, il problema persiste.
Vado con ordine:
Da dentro services.msc ho impostato il servizio "Utilità di avvio processo DCOM" sia su manuale sia su disabilitato (non ho notato differenze). Ho anche settato "nessuna azione" nella casella "Ripristino", prima impostata su "riavvia il sistema".
Questo ha tolto perlomeno il problema fastidioso, ovvero il riavvio del sistema quando DCOM si impallava.
Però.
Però, il problema rimane, ora sotto forma di fastidioso errore grafico su Explorer e sulla barra delle applicazioni. Ogni tot, mentre sono su Explorer, c'è un piccolo flicker di un microsecondo sullo schermo, e dopo explorer è così:
htt*://img687.imageshack.us/img687/3551/exploreru.jpg
...e la barra del desktop è così:
htt*://img94.imageshack.us/img94/3628/barraapplicazioni.jpg
(inutile che dica che questo non è come dovrebbe sembrare una barra del desktop di WinXP col tema blu!!!)
Aggiungo che dopo che questo succede, la connessione al router non funziona più e devo riavviare il pc perchè funzioni di nuovo. Ovviamente, al riavvio, mi dà il problema "per facilitare la protezione del computer, il programma è stato chiuso Nome: Generic Host Process for Win32".
Il problema è sicuramente sempre del DCOM, in qualche modo..
Ovvio, questo problema è minore, ma mi dà comunque l'idea che qualcosa è andato a rotoli nel sistema operativo, e vorrei capire come rimetterlo a posto. C'è modo di ricaricare i files relativi al servizio dal CD originale? E' possibile che abbia un svchost.exe corrotto, infetto o quant'altro?
Disabilitando DCOM con decombulator e services.msc ho risolto il problema del pc che si riavviava, ma cmque ho una macchina che ha qualcosa di sbagliato... idee su dove cercare una soluzione? :-/
In ogni caso, grazie per quanto hai fatto. |
Modificato da - JanMattys in data 25/01/2010 19:41:57 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/01/2010 : 09:39:05
|
Buon giorno, vediamo se combofix trova qualcosa, dal report di systemscan ho solo visto 2 file compressi in upx che dovrebbero appartenere alla scheda video:
scarica ComboFix
Scarica il programma in c:\ dove sia facilmente raggiungibile anche da provvisoria
Riavvia il computer in modalità provvisoria (segui lo specchietto)
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe (o nome nuovo) e segui le istruzioni passo a passo, ricordati di dare invio se richiesto dopo i vari passaggi
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso accossenti, si tratta probabilmente di drivers infetti.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
Disattiva l'antivirus e i programmi anti-spyware
Disconnetti il pc da internet
NON TOCCARE mouse e tastiera mentre combofix lavora |
|
|
|
JanMattys
New Member
43 Messaggi |
Inserito il - 29/01/2010 : 13:07:53
|
:-((((((((((
Ho scaricato ComboFix, ho riavviato il computer per farlo partire in modalità provvisoria, ma cliccando F8 veniva solo fuori una schermata i cui mi chiedeva da quale drive cercare il boot... niente maschera per la modalità provvisoria. (Non so perchè).
Allora ho eseguito MSconfig e nella sezione BOOT ho flaggato "Safemode", pensando "beh, così quando si riavvia parte in modalità provvisoria da solo, e poi quando ho fatto, deflaggo Safemode e sono a posto".
Beh, riavviato, il pc va in loop di riavvio. La prima volta è arrivato al logo di windows, e si è riavviato da solo dopo una schermata blu con del testo che è durata un decimo di secondo (impossibile leggere cosa c'è scritto).
Ora mi arriva nella schermata di scelta della modalità di avvio sempre, ma non va nessuna di esse: sia la modalità provvisoria, sia quella normale, sia la "ultima funzionante" risultano in un riavvio, e ritorno sempre lì. Pc bloccato, non riesco ad arrivare al desktop, figuriamoci a far partire Combofix... :-(
Idee? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 30/01/2010 : 17:58:01
|
Buona sera, il tasto f8 va ripremuto dopo qualche secondo proprio per evitare di entrare nel menù di scelta del boot, è per questo che sui pc recenti il menù di boot è stato assegnato al tasto f2, detto questo la tua unica speranza è di usare un cd linux live per salvarti i dati e poi tentare di utilizzare la console di ripristino di xp per modificare il file di avvio.
EDIT: vedi questa discussione e stampati le necessarie istruzioni htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=14418&whichpage=1 |
Modificato da - death in data 30/01/2010 18:19:03 |
|
|
| |
Discussione |
|
|
|
Problema DCOM - Aiuto per favore
Forum Bloccato
