| Autore |
 Discussione  |
|
|
Androcur
New Member
42 Messaggi |
 Inserito il - 06/03/2006 : 23:52:15
|
Salve amici, ho bisogno del vostro aiuto.
E' da Sabato pomeriggio che, all'avvio di Windows Xp, mi appare stranamente il Desktop tutto vuoto senza icone e senza nemmeno il pulsante start, e con una finestrella di errore che mi appare dopo circa un minuto:
Il sistema sta per essere arrestato. Salvare tutto il lavoro in corso. Le modifiche non salvate saranno perse. Arresto originato da NT AUTHORITY\SYSTEM.
Il processo di sistema C:\WINNT\SYSTEM32\SERVICES.EXE è terminato in modo non previsto con codice di stato 128. Il sistema verrà chiuso e riavviato.
Poi parte un countdown di un minuto, al termine del quale il sistema si riavvia e, ad ogni nuova sessione di Windows Xp, si ripresenta lo stesso identico problema.
All'inizio si era pensato a un virus o a un worm ma non e' di sicuro il blaster, che presi nel 2003 e che faceva comparire una finestra simile, ma non identica (la finestra col countdown, in quel caso, appariva solo durante la connessione a Internet, e faceva riferimento a un servizio RPC, qui non presente).
Un amico di un altro forum mi suggerisce di usare il comando shutdown -i per avere piu' tempo prima del riavvio, ci riesco e in modalita' provvisoria tornano tutti i files e il desktop con tutte le icone.
Cosi', con questo ''trucchetto'', ho il tempo di fare lo scan con lo Stinger e il fix Sasser della symantec, il primo mi trova alcuni virus che rimuove, mentre il secondo non trova niente.
Faccio un ultimo scan con lo strumento di rimozione malware messo recentemente a disposizione dalla microsoft, ma non mi trova niente.
Apparentemente dovrei essere adesso senza worm o malware, ho fatto gli scan detti, ma il problema della finestrella che mi spegne il pc c'e' sempre. Sembra una situazione senza vie d'uscita, anche perche' il Service Pack 2, che qualcuno mi consiglia di installare per risolvere il problema, non riesce a completare il processo di estrazione dei files (a 3quarti dell'estrazione mi da errore, file danneggiato).
Disperato, faccio delle ricerche con Google e trovo, sul sito della microsoft, la descrizione di una finestra di errore similissima alla mia, solo che la microsoft la applica esclusivamente al sistema Windows 2000, mentre io ho Xp. Questa:
htt*://support.microsoft[.com]/?scid=kb%3Bit%3B318447&x=20&y=18
Il messaggio di errore marcato in rosso in quel link e', come detto, praticamente identico al mio, e mi sono chiesto: seguo quella procedura, anche se ho un sistema operativo diverso, o rischio di far danni, e peggiorare ancor di piu' la situazione?
Ed ancora: non ho capito molto di quello che devo fare, di preciso.
Ho rintracciato le cartelle del registro di sistema indicate, shares e security... ma poi?
Che significa se non sono 'cartelle condivise' ?
Condivise da chi? Quali sono questi valori che devo esaminare?
Qualcuno mi potrebbe spiegare? Sono 3 giorni che ci sbatto in sto computer, alla ricerca di una possibile soluzione, sempre in modalita' provvisoria... non ce la faccio piu'.
Vi prego aiutatemi. 
|
Modificato da - Androcur in Data 06/03/2006 23:57:42
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 07/03/2006 : 06:23:32
|
Ciao, certo che non sei andato a cercartela semplice, in effetti avrei optato per Sasser, ma dal links che alleghi e le varie info che hai già scovato credo che la soluzione sia proprio quella, darti una spiegazione certa (o soluzione certa..) non sembra cosa da poco, comunque cerco di spiegarti cosa ho capito con parole mie:
Da cosa dicono sul sito M$ l'errore (che danno per scontato esclusivo Win2K, ma ho riavviato il mio su XP-Pro SP2 - normalmente uso Linux - per controllare la chiave citata sul loro sito, in effetti c'è
Citazione:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Shares
ed è in relazione alle "risorse condivise"), potrebbe essere una semplice cartella, l'HD intero o una stampante (forse anche un URL remoto, non sono sicuro..), ti metto qui un immagine del mio per riuscire a farmi capire perchè a parole è incasinato..
htt*://tinypic[.com]/view/?pic=qxp386
Questa che ti appare è la finestra del registro che citano, effettivamente sono presenti le risorse che sto condividendo con gli altri PC della rete interna, quello che ti dicono è di controllare se uno (o più) di questi "collegamenti" non esiste (o è sbagliato..) nella realtà, cioè, se vedi in quella chiave un collegamento tipo C:\casa(ecc..) (lascia perdere per ora le autorizzazioni, non credo che c'entrino) e controllando sul tuo disco C: non trovi la directory "casa" o una sotto-directroy che ti indica la chiave, li sta il guaio, e quella è da cancellare.
Ciliegina sulla torta (quando mai non si trova in casa M$..), c'è pure la sotto-chiave
Citazione:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Shares\Security
che può far casini, ma in questo caso non è in relaziona diretta alle condivisioni (cartelle) citate prima, ma alle chiavi che le "puntano", in pratica, se tu hai una chiave nella sezione ...Lanmanserver\Shares\Security che punta una directory condivisa, ma questa directory non esiste più (perchè cancellata, corrotta, modificata....) nella sezione ...Lanmanserver\Shares anche li c'è la "frittata" bella e pronta, ora, visto che la sottochiave è in valore binario (e francamente quando cominciano ad esserci un numero così alto di "0" ed "1" io dichiaro forfait senza esitazioni...), ti consiglio di fare i controlli come indicano, se noti che realmente c'è qualcosa che non coincide lo modifichi (cancelli..) come indicato, altrimenti posta due immagini in riferimento a quelle chiavi.
Segui attentamente le istruzioni che ti danno per fare prima di modificarlo il backup del registro, se ti "inciampi" li....Addio....
"Condivise" vuol dire "accessibili" da un altro PC, sia esso sulla tua rete interna (Lan, Wan..) oppure via internet (p2p o altro)..
"Da chi" sicuramente da "te" come utente del PC, dipende poi le autorizzazioni che dai (lettura, scrittura..), in base alle quali gli utilizzatori "remoti" potranno leggere o ....scrivere
Ciao. |
Modificato da - Yves in data 07/03/2006 06:39:18 |
 |
|
|
Androcur
New Member
42 Messaggi |
Inserito il - 07/03/2006 : 08:47:26
|
Grazie della risposta approfondita, ti sono veramente grato, ma essendo io poco pratico di pc, ti chiedo a questo punto cosa io debba concretamente fare.
Non sapendo come si fa ad inserire l'immagine del registro di sistema, te la trascrivo. In Shares ho le 4 seguenti voci: (predefinito), print$, SharedDocs, Stampante. Nel dettaglio:
Nome Tipo Dati
(Predefinito) REG_SZ (valore non impostato)
print$ REG_MULTI_SZ CSCFlags=0 MaxUses=4294967295 Path=C:\WINDOWS\System32\SPOOL\DRIVERS\ Permissions=0 Remark=Driver della stampante Type=0
SharedDocs REG_MULTI_SZ CSCFlags=0 MaxUses=4294967295 Path=C:\Documents and Settings\All Users\Documenti Permissions=0 Remark= Type=0
Stampante REG_MULTI_SZ CSCFlags=0 MaxUses=4294967295 Path=EPSON Stylus C62 Series (Copia 1),LocalsplOnly Permissions=0 Remark=EPSON Stylus C62 Series (Copia 1) Type=1
Mentre in Security (contenuta come detto nella precedente Shares), mi appaiono questi tre valori, (Predefinito) print$ e Stampante:
Nome Tipo Dati
(Predefinito) REG_SZ (valore non impostato)
print$ REG_BINARY 01 00 04 80 60 00 00 00 70 00 00 00 00 00 00 00 14 00 00 00 02 00 4c 00 03 00 00 00 00 00 14 00 a9 00 12 00 01 01 00 00 00 00 00 01 00 00 00 00 00 00 18 00 ff 01 1f 00...
Stampante REG_BINARY 01 00 04 80 48 00 00 00 58 00 00 00
00 00 00 00 14 00 00 00 02 00 34 00 02 00 00 00 00 00 14 00 ff 01
1f 00 01 01 00 00 00 00 00 01 00 00 00 00 00 00 18 00 ff 01 1f 00...
Premesso che il backup di shares dovrei essere riuscito a farlo come da istruzione (questo backup comprende, quindi, anche quello di Security?), quali chiavi devo cancellare, adesso, di preciso?
Grazie all'anima pia che mi vorra' aiutare |
Modificato da - Androcur in data 07/03/2006 08:52:26 |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 07/03/2006 : 09:16:37
|
io avrei una proposta....prima di incasinare ancora di + cancellando una chiave o facendo un errore nel seguire le istruzioni microsoft...io farei così....se hai un amico molto gentile e con un ottimo antivirus..andrei da lui e attaccherei il tuo HD in slave al suo...in modo da far partire il pc col suo sistema operativo e dopo poter salvare il salvabile ..in modo che se va storto qualcosa poi nella procedura..almeno possiamo fare un bel formattone senza perdere dati...ok?
quindi fai una copia dei dati che servono come documetni foto ecc..del tuo pc e poi proviamo a mettere le mani sulle chiavi..
ciaooooooooooooooooo |
|
|
|
Androcur
New Member
42 Messaggi |
Inserito il - 07/03/2006 : 09:25:54
|
Scusami, ma se una cartella e' 'condivisa' anche da me che semplicemente vi accedo, allora tutte le cartelle dell hd sono condivise, o significa specificatamente condivisa da un altro pc, in connessione remota (p2p) o rete interna (che non ho) ?
Esempio: il percorso C:\Documents and Settings\All Users\Documenti mi porta alla cartella 'Documenti condivisi', che ha dentro di se Immagini condivise, Musica, Video Condiviso, Sports Interactive e altri files, mentre C:\WINDOWS\System32\SPOOL\DRIVERS esiste anch'essa, ma non dovrebbe essere condivisa da nessuno, io 'condivido' il pc solo per Emule, ma non ho reti interne ne' altri users, eccetto me, che si connettono al mio pc.
E il percorso EPSON Stylus C62 Series (Copia 1),LocalsplOnly , a cosa si riferisce?
Non dovrebbe, ogni percorso, iniziare con C o con altra lettera che ne identifica la posizione? Io la stampante non la faccio utilizzare da nessun computer remoto, non e' sicuramente condivisa da nessuno, la uso solo io: e' quindi, questo, un valore da cancellare?
Aiuto!!! |
Modificato da - Androcur in data 07/03/2006 09:27:06 |
|
|
|
Androcur
New Member
42 Messaggi |
Inserito il - 07/03/2006 : 09:33:10
|
Il mio messaggio di prima, con domande annesse, era rivolto principalmente all'amico Yves, che mi aveva risposto per primo (ma chiaramente chiunque possa darmi un aiuto, e' oltremodo ben accetto).
Mentre a Vanx, il cui messaggio vedo solo ora, chiedo: ho fatto il backup di quella chiave, seguendo la procedura Microsoft, proprio per poterla ripristinare se qualcosa dovesse andare male.
Un amico con cui fare quello che hai consigliato tu ce l'ho, ma se posso risolvere da solo, tanto meglio, anche perche' non abita proprio vicinissimo.
Spero che Yves si connetta nuovamente in giornata, per leggere i miei quesiti di sopra.  |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 07/03/2006 : 16:52:20
|
Non pensare che la mia soluzione sia certa, ho solo letto e cercato di capire cosa dicono sul sito M$ (oltretutto abbastanza ben spiegato..).
Da cosa ho capito succede che la chiave "superiore" (Shares) punta un elemento condiviso, mentre la sottochiave punta lo stesso elemento nella chiave superiore, quindi (per es..), la stampante ti appare:
elemento <- Shares <- Security
Stampante <- Stampante REG_MULTI_SZ CSCFlags=0(....) <- Stampante REG_BINARY(....)
ora, visto la descrizione che dai, manca in "Security" la chiave che punta "SharedDocs REG_MULTI_SZ CSCFlags=0(....)", ma non sono sicuro che sia necessaria (comunque sul mio c'è..), inoltre sul sito M$ parlano di "una sottochiave supplementare", non di una mancante, ma anche li potrei essere io ad interpretare male, e non vorrei incasinarlo più di quello che già lo è (il registro..).
Terminando (sempre seguendo cosa credo che vogliano dire..), si dovrebbe eliminare la chiave:
SharedDocs REG_MULTI_SZ CSCFlags=0 MaxUses=4294967295 Path=C:\Documents and Settings\All Users\Documenti Permissions=0 Remark= Type=0
nella sezione "Share", visto che in "Security" non è presente, ma visto che sono supposizioni da "smanettone", ti consiglio di aspettare che qualcuno ti dia la conferma o controlli pure lui sul suo registro cosa appare, il tuo settaggio sembra di default, quindi grossomodo devono essere più o meno uguali (sottochiave che punta chiave che punta elemento).
Ciao. |
|
|
|
Androcur
New Member
42 Messaggi |
Inserito il - 07/03/2006 : 19:46:22
|
Scusami, ma sempre andando per supposizioni, non dovrebbe essere anche il valore print$ ad essere cancellato?
Esso riporta il Path=C:\WINDOWS\System32\SPOOL\DRIVERS, ma questa cartella non e' in condivisione con nessun altro, sicuramente non con un accesso remoto, ne' tantomeno con un p2p. Non e', quindi, 'condivisa', ma e' una cartella 'normale'. O non c'entra niente?
Sono osservazioni che mi detta la mia ignoranza informatica, aspettero' con trepidazione una tua nuova connessione, per visionare la tua risposta al mio quesito. Thanks.Thanks.Thanks
|
Modificato da - Androcur in data 07/03/2006 19:48:06 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 07/03/2006 : 21:34:07
|
Non fare confusione, XP inserisce "elementi condivisi" di default, questo è chiaro, ma questi elementi possono essere o no attivi, quindi a seconda delle tue esigenze "abiliti" la condivisione dell'elemento oppure no, ed in ogni caso non è il soggetto, visto che:
Share = print$ REG_MULTI_SZ CSCFlags=0
Security = print$ REG_BINARY
Come vedi esiste sia nella chiave che nella sottochiave (la cartella non è "condivisa", ma c'è..).
Ora, andando a vedere un secondo PC (con SO Win 2k SP4, prima non ci avevo pensatp, mea culpa..) mi sono accorto che non appaiono nessuna di queste stringhe (a parte una relativa alla condivisione reale in uso nella sezione "Share"..), quindi a questo punto penso opportuno "rimangiarmi" quanto detto nel primo post mio, e cercare il colpevole da un altra parte, non so quanto il tuo sistema sia aggiornato, ma visto che l'SP2 non si installa potresti già tentare di installare la patch specifica per Sasser (visto che, tutto sommato, le varianti del virus erano diverse..), qui il collegamento diretto alla versione per XP in italiano:
htt*://download.microsoft[.com]/download/a/2/f/a2fddb77-f81d-4fe5-a819-8787cba53a4b/WindowsXP-KB823980-x86-ITA.exe
Non sarà la soluzione, ma almeno leviamo un dubbio, posta per vedere come è andata e se ne sei al corrente dicci lo stato di aggiornamento del tuo PC, se riesci a farlo (da normale, non provvisoria..), fai una scansione con HijackThis seguendo queste istruzioni: htt*://[www].notrace.it/forum2/regolamento.asp , vediamo se non c'è qualcosa annidato nel sistema che possa generare questo errore.
Ciao. |
|
|
|
Androcur
New Member
42 Messaggi |
Inserito il - 07/03/2006 : 21:45:15
|
Da normale non posso fare niente.
Scansioni e istallazioni di patch le posso fare solo in modalita' provvisoria, adesso provvedo a seguire i tuoi consigli... hijackThis ce l'ho ma lo posso fare solo in provvisoria.
Lo posso fare comunque? |
|
|
|
Lollo
Advanced Member
Città: Varese
624 Messaggi |
Inserito il - 08/03/2006 : 10:01:55
|
| si puoi fixare le voci in provvisoria ma non salvare il log. |
|
|
|
Androcur
New Member
42 Messaggi |
Inserito il - 08/03/2006 : 10:13:29
|
Non riesco a installare la patch che mi hai consigliato, in quanto mi esce una scritta di errore: Server RPC non disponibile.
Che altro faccio? |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 08/03/2006 : 11:26:57
|
per attivare i server rpc basta che vai nei servizi di win...start--pannello di cont.-->prestazioni--strumenti amministrazione--servizi..apri e attivi i servizi che hanno a che fare con rpc....
ciaoooo |
|
|
|
Androcur
New Member
42 Messaggi |
Inserito il - 08/03/2006 : 16:39:56
|
Grazie... anche se comunque non ho ben capito quali siano questi servizi che abbiano a che fare con Rpc, e cosa rappresenti questa sigla.
Oggi ho provato a fare un'ultima scansione con il Nod32 (sempre in versione trial), e mi ha trovato giusto un paio di cavalli di *a... ma nessun virus.
Quindi, arrivati a questo punto, le conclusioni possono essere solo due:
1) Il virus c'e', ma non e' stato rilevato perche' e' recentissimo e le versioni trial dei programmi antivirus non sono aggiornate 'on a daily basis', come avviene per gli update veri e propri.
2) Non c'e' alcun virus, ma la causa di questo problema va rintracciata altrove, forse nelle chiavi del registro di sistema, forse nella soluzione gia' prospettata dalla microsoft per una finistra di errore simile, ma per una altro sistema operativo (Windows 2000 server).
Io, a questo punto, penso la seconda. Ho chiamato un ragazzo che se ne intende molto di pc e che domani pomeriggio verra' a dare un'occhiata al mio; l'ultima parola, a questo punto, spettera' a lui (sebbene abbia poco piu' della meta' dei miei anni )
Un'ultima chicca per chi mi sa rispondere: oggi ho provato a installare un aggiornamento sull'xp, sono riuscito a estrarre tutti i files ma mi ha segnalato comunque un errore di installazione, questo:
Autorizzazioni sufficienti per aggiornare windows.
Rivolgersi all'amministratore del sistema.
A parte che avrebbe dovuto dire insufficienti, ma che significa?
Mi sono collegato come Administrator, ed e' ovvio che l'amministratore sono io. Devo, pertanto, rivolgermi a me stesso? |
Modificato da - Androcur in data 08/03/2006 16:44:37 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 08/03/2006 : 18:54:34
|
Scusa, ma se nel post di prima dici che non riesci ad installare niente in "normale", quindi sei in "provvisoria", da cosa sò io in provvisoria non è che si possa installare gran cosa, visto e considerato che la maggior parte dei drivers e dei servizi non vengono caricati.
Inoltre, dici che Nod32 trova due "troyan", mi spiace deluderti, ma quelli sono "virus", quindi è molto probabile che il tuo sistema sia infetto, inoltre ne avevi già tolti prima (vedi il tuo primo post..), per il fix quando mi ero beccato lo str......tto non aveva funzionato nemmeno sul mio, (risolto alla drastica con l'ennesimo "formattone"..), so che c'erano diverse varianti di Sasser, quindi diversi tipi di fix... |
|
|
|
Androcur
New Member
42 Messaggi |
Inserito il - 09/03/2006 : 15:27:40
|
In provvisoria sono riuscito a installare la versione trial di alcuni programmi antivirus, come il kaspersky e il nod32, e una patch per la protezione di Xp del 2004, che mi hanno consigliato un altro sito.
Ho fatto vari scan e pulizie ma il problema rimane, a tutt'oggi: ragion per cui, essendomi io leggermente scoglionato di fare questa "caccia al tesoro" che sta durando quasi da una settimana, ho deciso di passare alla extrema ratio.
Stasera mi compro un hd esterno e mi ci trasferisco i 36Gb di files che intendo salvare, poi passo al formattone e reinstallo il sistema operativo, o forse me lo faccio reinstallare da qualcuno piu' capace, non vorrei combinare guai.
Anche se se non ho risolto, rimanendo in pratica al punto di partenza, vorrei ringraziare tutti quelli che hanno cercato di aiutarmi, dedicandomi un po' del loro tempo. |
|
|
| |
Discussione |
|
|
|
Windows Xp sotto scacco : sono in ginocchio
Forum Bloccato
