RPC ha terminado en forma inesperada... WINXP SP2

[pp970179]

hola a todos, espero que alguien pueda ayudarme con este problema, mi pc con Windows XP service pack 2 repentinamente al reiniciarla el dia de hoy, me comenzo a dar un mensaje de error "el proceso llamada a procedimiento remoto ha terminado en forma inesperada" y se reinicia automaticamente el sistema.



Esto ocurria con ms blaster, pero el problema es que tengo el service pack 2 y ya intente usar Avert stinger y no me indica ninguna infeccion al menos por los virus que tiene en su base de datos, al igual con NOD32, esto es desde el segundo sistema operativo instalado en esta pc.



Otro problema es que no puedo iniciar restaurar sistema ni iniciar en modo a prueba de fallos; intentare colocar un log de hijackthis , si es que me permite abrirlo el sistema.



Espero que alguien pueda ayudarme, ya que he buscado durante todo el dia en la red por alguna posible causa y no he podido encontrar nada.



Gracias de antemano.



Edicion:/

Algo que olvide anotar, no me abre la barra de tareas, asi como tampoco inicia el servicio de conexiones de red por lo cual no puedo entrar a internet desde windows xp, actualmente estoy usando el windows server 2003 para publicar este mensaje, en la misma pc; otro síntoma es que los programas tarda mucho en abrirlos y no puedo editar nada usando services.msc o gpedit.msc.



A continuacion anexo el LOG de Hijackthis



Logfile of HijackThis v1.99.1

Scan saved at 07:04:14 p.m., on 13/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\Archivos de programa\Intel\Intel(R) Active Monitor\imontray.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\WINDOWS\mHotkey.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus1.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\FSI\F-Prot\F-StopW.EXE

C:\Archivos de programa\LClock\lclock.exe

C:\Archivos de programa\Internet Download Manager\IDMan.exe

C:\Archivos de programa\IC Media Corp\ICM532\Launchpad.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\FSI\F-Prot\fpavupdm.exe

C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

C:\Archivos de programa\Intel\Intel(R) Active Monitor\imonnt.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe

C:\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Archivos de programa\Internet Download Manager\IDMIECC.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [IMONTRAY] C:\Archivos de programa\Intel\Intel(R) Active Monitor\imontray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus1.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [F-StopW] C:\Archivos de programa\FSI\F-Prot\F-StopW.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKCU\..\Run: [LClock] C:\Archivos de programa\LClock\lclock.exe

O4 - HKCU\..\Run: [IDMan] C:\Archivos de programa\Internet Download Manager\IDMan.exe /onboot

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Launchpad.lnk = ?

O8 - Extra context menu item: Download All Links with IDM - C:\Archivos de programa\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Archivos de programa\FSI\F-Prot\fpavupdm.exe

O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Archivos de programa\Intel\Intel(R) Active Monitor\imonnt.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe

[msc hotline sat]

Del log del HJT:



Esta clave y el fichero exe de su nombre sos sospechosos pero se ignora lo que son



O4 - Global Startup: Launchpad.lnk = ?



C:\Archivos de programa\IC Media Corp\ICM532\Launchpad.exe



Si no sabes lo que es, pon el fichero en cuarentena y arramca de nuevo.





Esta otra debe elñiminarse:



O18 - Protocol: msnim - {82800A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)







Y estas dos tambien son desconocidas.



O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL



O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll





Sobre lo indicado del servicio RPC, prueba el ELITRIIP e informanos de los resultados



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





saludos



ms, 14-10-2005

[pp970179]

Antes que nada, gracias por su antencion.



Pasando al tema, al ejecutar EliTriIP.exe no encuentra ningún archivo infectado.



Noté algo curioso, al iniciar windows tras pasar un tiempo, me pone el mensaje de reinicio del sistema por haber terminado RPC, y detengo el reinicio con "shutdown -a"; bien, entonces si cierro el proceso explorer.exe, y lo ejecuto nuevamente usando el administrador de tareas, me vuelve a poner el mensaje de RPC ha terminado.



En cuanto al ejecutable que menciona usted, el Launchpad.exe es parte del software de una web cam, y el otro DLL es de la tarjeta gráfica de intel. Ya eliminé la entrada que hacia referencia al msnmessenger usando hijackthis, pero aun continua igual la pc.



Durante el proceso con EliTriIP.exe, obtuve dos mensajes de error, con carpetas en la papelera de reciclaje a las cuales no podia tener acceso. De ahi en fuera , ninguna otra cosa. :?



alguna idea?

[msc hotline sat]

Ya que menciona lo del explorer.exe, veamos que no este corrupto.



Copie en un disquete dicho fichero de otro ordenador con igual sistema operativo, y arranque el problematico con el CD de ionstalacion y pulse R para entrar en consola de recuperacion, y desde ahi copie eñ fichero del disquete sonbre el del disco duro, sobreescribiendolo, que asi podrá hacerlo



Luego reinicie normalmente y cuentenos el resultado.



Recuerde que el shutdown lo lanza windows ante un error de sistema, y si la aplicacion esta coruupta, lo hace.



saludos



ms, 15-10-2005

[pp970179]

Hice esto que usted me sugirió y el resultado es el mismo; no tengo idea de lo que haga que RPC termine; en otra cuenta de usuario si me carga la barra de tareas , pero al abrir algun programa no me lo pone en dicha barra. En esa cuenta al abrir explorer.exe no me pone el error de RPC, solamente al intentar abrir, por ejemplo, el servidor de firewall de windows, el cual no se carga ya que RPC no se inicia al cargar windows. Me da la impresion de que cada servicio o programa que haga una llamada a RPC provoca este mensaje de error, porque no puedo desinstalar ningun programa. Por ejemplo al intentar desinstalar el monitor de sistema de intel me aparece un mensaje de error indicando que el servicio RPC no está disponible, y al iniciarlo en forma manual desde services.msc e intentar nuevamente desinstalar el monitor de sistema de intel, aparece el mensaje de reinicio de sistema.



Me preocupó mucho la idea de que un virus pudiera haber provocado el problema, pero como usted bien indica, tambien puede tratarse de archivos corruptos.



Intenté, asimismo, instalar windows desde windows, para que lo tomara solo como actualización y los resultados fueron los mismos.



Creo que intentare reparar windows y ver que resultados obtengo, iniciando desde el cd.



Muchas gracias por su atención.



PD: También intenté eliminando los dll de RPC y substituyéndolos con los del CD de windowsXP SP2, asimismo eliminando los de la carpeta /dllcache/ para evitar su recuperacion automática, y tampoco obtuve buenos resultados, siguiendo windows comportandose de la misma manera. Probablemente algun otro archivo corrupto?



/EDICION:

Intenté recuperar desde el cd, y son los mismos resultados, definitivamente me deshare de la instalación de XP y me quedare con el server 2003 :? creo que no vale la pena intentar recuperar en este punto, de cualquier manera gracias por la atención prestada :D

[msc hotline sat]

Por lo que cuesta, yo probaría de arrancar con el CD de instalacion del XP como si fuera a instalar, y tras aceptar contrato y detectar la particion instalada le ofrecerá REPARAR o reinstalar.



Escogiendo REPARAR sobreescribirá todos los ficheros del sistema, ejecutavñles, DLL y demás, tras lo que procederá lanzar un wiondowsupdate para actualizar los parches en dichos ficheros y ver si, al reiniciar, se han solucionado los problemas.



Si lo hace, comentenos el resultado y en cualquier caso informenos de su decision para cerrar el Tema si es el caso.



saludos



ms, 16-10-2005