| Autore |
 Discussione  |
|
|
paperotti
Starting Member
4 Messaggi |
Inserito il - 30/01/2004 : 15:58:42
|
Ho recentemente cambiato la mia scheda madre e, in tale occasione, ho approfittato per reinstallare nuovamente il sistema operativo da me utilizzato (W2K).
Dopo un pò ho notato che, in fase di collegamento a internet (attraverso un modem DSL, tipo ethernet) il sistema generava, quasi sistematicamente, il messaggio di errore: “svchost.exe ha provocato errori e verrà chiuso…”, con tutti i sintomi successivi (icone del pannello di controllo disposte in verticale sul lato sinistro, impossibilità di effettuare le operazioni di copia/incolla, ecc ecc), che caratterizzavano inequivocabilmente la presenza del virus “Blaster”.
A questo punto, dopo aver attentamente spulciato tutte, o quasi, le discussioni aperte su questo forum e riguardanti questo specifico argomento, ho cercato di seguire alla lettera tutte le misure di prevenzione e protezione indicate: applicazione delle patch di Microsoft, installazione di un software antivirus e di un firewall con i relativi database aggiornati (McAfee VirusScan + McAfee Firewall), installazione del programma Trojan Remover (regolarmente acquistato, con tanto di codice utente originale fornitomi dal produttore), ecc ecc.
Così facendo, ho risolto il problema, almeno per quanto riguarda l’accesso a Windows nella classica “modalità normale”. Mai avuto più nessun problema.
Sono andato avanti tranquillo per circa tre settimane, fino a quando, trovandomi nella necessità di accedere a Windows in “modalità provvisoria con supporto di rete” (in realtà questa non è una vera e propria necessità, ma lo faccio sempre quando devo rimuovere alcuni driver di periferiche, per sostituirli con altri più aggiornati), mi compare la solita mascherina dove devo inserire la password dell’utente “Administrator”: lo faccio, come sempre e, prima ancora che il sistema cominci a caricare le icone sul monitor, mi compare il messaggio: “Svchost.exe ha provocato errori e verrà chiuso. Sarà necessario riavviare il programma. Creazione del registro errori in corso”. Premo “INVIO”, il PC rimane a pensare per circa 30-40 lunghi secondi, fino a che non accede alla modalità provvisoria, ma con alcune opzioni non funzionanti, ad esempio: è possibile aprire regolarmente il “panello di controllo”, ma NON è possibile aprire il pannello “installazione applicazioni”; andando in “gestione risorse”, NON è possibile effettuare operazioni di copia/incolla; NON è possibile aprire la finestra per eseguire la funzione “trova” (file/directory) dal menu di Avvio; ed altre piccole cose “strane” che adesso non mi vengono in mente.
Altra cosa strana che ho notato è la seguente. L’accesso alla modalità provvisoria, in Windows-2000, è di tre tipi: (1)“modalità provvisoria”, (2)“modalità provvisoria con supporto di rete”e (3)“modalità provvisoria con prompt dei comandi”. Il problema sopra descritto mi si presenta solamente quando vado ad utilizzare la “modalità provvisoria con supporto di rete”.
A questo punto ho pensato che, pur avendo preso tutte le precauzioni del caso per la protezione del mio pc, nel frattempo il virus poteva già essersi insediato sul mio disco rigido in precedenza.
Ma un virus non dovrebbe essere “attivo” solamente quando si accede al S.O. in “modalità normale”? E perché a me succede esattamente il contrario?
Allora ho dato, comunque, inizio a tutta una serie di scansioni, facendo attenzione ad eseguire le stesse accedendo al S.O. attraverso una modalità provvisoria funzionante correttamente (in questo caso, ho scelto la numero 3, “modalità provvisoria con prompt dei comandi”), utilizzando dapprima il software antivirus di cui dispongo (McAfee VirusScan 7.0), poi il programma Trojan Remover (versione 6.1.5), poi ho scaricato dai siti McAfee e Symantec i tools per l’individuazione dei più recenti virus/worm in circolazione.
Risultato: nulla di nulla.
E’ possibile che si tratti di un errore di sistema, dovuto ad una qualche incompatibilità di tipo software ?
Riporto qui di seguito le caratteristiche del mio pc.
CONFIGURAZIONE HARDWARE:
- scheda madre Asus P4C800-E Deluxe
- processore Pentium-4 1.8GHz
- memoria ram 2x512 MB Corsair PC3200
- scheda di rete integrata, tipo Realtek
- scheda grafica Wildcat VP-760 (AGP)
- modem analogico, tipo USB-Robotics 56K (su porta seriale COM-1)
- modem DSL, tipo Ericsson HM 210dp Ethernet (su porta di rete RJ45)
CONFIGURAZIONE SOFTWARE:
- Windows 2000 SP4 + altre patch successive
- Office 2000 SP3 (disco 1 + disco 2)
- Autocad 2000
- WinFax Pro 10.0 (Symantec)
- Partition Magic 8.0
- Winzip 9 (beta)
- Acrobat Reader 5.1
- Diskeeper 7.0
- McAfee VirusScan 7.0.3
- McAfee FireWall 4.0
- Trojan Remover 6.1.5
Ringrazio, in anticipo, tutti quanti volessero provare ad interpretare il problema sopra descritto.
Ciao
Sandro
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 30/01/2004 : 23:44:34
|
Uhmm strano....
fai una cosetta, apri la cartella \winnt\system32 e controlla se ci sono i seguenti file:
msblast.exe(per il W32.Blaster.Worm), penis32.exe(per il W32.Blaster.B.Worm), teekids.exe(per il W32.Blaster.C.Worm), mspatch.exe(per il W32.Blaster.D.Worm), mslaugh.exe(per il W32.Blaster.E.Worm), Enbiei.exe(per il W32.Blaster.F.Worm)
server admin opensirio.homeip.net:8888
op3n n3twork |
 |
|
|
paperotti
Starting Member
4 Messaggi |
Inserito il - 31/01/2004 : 08:26:52
|
Ho controllato. Nessuna traccia dei file da Lei indicati.
Il mistero si infittisce?
|
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 31/01/2004 : 09:02:55
|
il blaster non è :p e non credo nemmeno ad una incompatibilità software.Nin zo... :(
server admin opensirio.homeip.net:8888
op3n n3twork |
|
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 31/01/2004 : 13:49:17
|
Strano, se il sistema è patchato il blaster non dovrebbe riuscire a far crashare scvhost.exe...
Forse qualcosa e' andato storto durante l'applicazione di una patch e il fatto che il firewall probabilmente e' disattivato in modalita' provvisoria permette al blaster di mandare in crash il servizio, ma non di installarsi. Strano, ma puo' essere.
Prova ad avviare manulamente il firewall anche in modalita' provvisoria.
Ciao
Gimli |
|
|
|
paperotti
Starting Member
4 Messaggi |
Inserito il - 01/02/2004 : 14:39:53
|
Ho provato ad avviare manualmente, in modalità provvisoria, sia l'antivirus che il firewall: l'antivirus parte regolarmente (mi fa anche la scansione, senza però trovare nulla), mentre il firewall mi restituisce il seguente errore:
"McAfee Firewall Error - McAfee Firewall encountered an error attempting to start the Firewall service. Avvio del gruppo o del servizio di dipendenza non riuscito."
Comunque, mi sono andato a guardare anche i messaggi di errore nel registro degli eventi, dopo che si verifica il crash del programma Svchost.exe; questo è il risultato:
Tipo evento: Errore
Origine evento: Service Control Manager
Categoria evento: Nessuno
ID evento: 7001
Data: 24/01/2004
Ora: 16.50.37
Utente: N/D
Computer: END-FOOHO0CN7KJ
Descrizione:
Il servizio "Notifica eventi di sistema" dipende dal servizio "Sistema di eventi COM+" che non è stato avviato per il seguente errore:
Non è stato effettuato nessun tentativo di avviare il servizio a partire dall'ultimo avvio.
Tipo evento: Errore
Origine evento: Service Control Manager
Categoria evento: Nessuno
ID evento: 7001
Data: 24/01/2004
Ora: 16.50.38
Utente: N/D
Computer: END-FOOHO0CN7KJ
Descrizione:
Il servizio "Connection Manager di Accesso remoto" dipende dal servizio "Telefonia" che non è stato avviato per il seguente errore:
Non è stato effettuato nessun tentativo di avviare il servizio a partire dall'ultimo avvio.
Tipo evento: Errore
Origine evento: Service Control Manager
Categoria evento: Nessuno
ID evento: 7001
Data: 24/01/2004
Ora: 16.50.38
Utente: N/D
Computer: END-FOOHO0CN7KJ
Descrizione:
Il servizio "McAfee Firewall" dipende dal servizio "Connection Manager di Accesso remoto" che non è stato avviato per il seguente errore:
Avvio del gruppo o del servizio di dipendenza non riuscito.
Tipo evento: Errore
Origine evento: Service Control Manager
Categoria evento: Nessuno
ID evento: 7031
Data: 24/01/2004
Ora: 16.50.41
Utente: N/D
Computer: END-FOOHO0CN7KJ
Descrizione:
Il servizio "RPC (Remote Procedure Call)" è terminato in modo imprevisto. Questo problema si è verificato 1 volta/e. Le seguenti azioni di correzione saranno eseguite tra 60000 millisecondi: Nessuna operazione.
Spero di essere riuscito a dare qualche utile informazione aggiuntiva.
Ciao
Edited by - paperotti on 01/02/2004 14:40:49 |
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 01/02/2004 : 23:05:38
|
Boh, mi viene in mente solo che puoi provare a cercare il codici degli errori sul sito della Microsoft e vedere se possono dipendere da qualche software che hai installato.
Ciao 
Gimli |
|
|
|
paperotti
Starting Member
4 Messaggi |
Inserito il - 02/02/2004 : 11:07:07
|
OK.
Comunque, la cosa più importante è che in "modalità normale" il problema non esiste.
D'altra parte, e in caso di necessità, posso benissimo utilizzare gli altri due tipi di accesso in modalità provvisoria, che non danno problemi ("modalità provvisoria" e "modalità provvisoria con prompt dei comandi").
Poi, con calma, vedo se riesco a trovare qualcosa all'interno delle Knowledge Base di Microsoft.
Grazie a tutti Voi per la disponibiltà e la cortesia dimostrate.
Ciao
Sandro
|
|
|
| |
Discussione |
|
|
|
Svchost.exe e "modalità provvisoria"
Forum Bloccato
