Ciao a tutti, ho un problema con il portatile di mia moglie, probabilmente si è presa un linkoptimizer. Non riuscivo ad aprire hijatchis, sono andato nel task manager ed ho disattivato il processo (strano) nokiacenter, a questo punto sono riuscito a lanciare hijatchis, vi mostro il log dal mio pc fisso perchè da quello di mia moglie non riesco a fare niente.
Sicuramente ci sono degli errori, aiutatemi, GRAZIE.

Logfile of HijackThis v1.99.1
Scan saved at 9.49.08, on 05/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\RF Wireless Mouse\cm20.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\SEAT\PagineBiancheDesktop\SeatPBAgent .exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
F:\Babylon\Babylon.exe
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
F:\software-ok\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metacrawler.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\nokiacenter.exe",
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programmi\RF Wireless Mouse\cm20.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [SEAT PBAgent] C:\Programmi\SEAT\PagineBiancheDesktop\SeatPBAgent .exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - Startup: Babylon.lnk = F:\Babylon\Babylon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Scarica con il Wizard di LeechGet - file://C:\Programmi\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Scarica con LeechGet - file://C:\Programmi\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Scarica pagina con LeechGet - file://C:\Programmi\LeechGet 2004\\Parser.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C9386B9-11F7-4635-AEB5-5E57D6D7C300}: NameServer = 1.253.128.34,1.253.128.11
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspn et_state.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

Cancella il file nokiacenter.exe utilizzando questo tools http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
Poi fai una scansione con virit e il tools della prevx
http://www.prevx.com/gromozon.asp

eliminato con il tools del nod32, adesso sta facendo la scansione con prevx che nel log di risposta non mi ha trovato nulla.
Il processo nokiacenter è sparito dal task manager, per quanto riguarda il log di hijatchis devo fixare qualcosa, inoltre potresti suggerirmi un ottimo antispyware (anche a pagamento).
Grazie dell'aiuto

Oltre alla riga della nokia, bisogna eliminare questo servizio fasullo, ma devi andare a mano nel registro,cercando il nome del file, hijackthis non cancella il servizio,
O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing)

scansiona comunque con virit, qualcosa c'è ancora da eliminare.

A2 squared o superantispyware in versione freeware

Grazie, molto gentile.
Volevo solamente aggiungere che il file msnet32.exe non lo trovo nel registro ed inoltre non riesco a fixarlo neanche in modalità provvisoria.

Prova con questo programma, ti lascia modificare la lista dei servizi ed eliminare quelli in più.
http://www.download.com/Service-Tuner/3000-2094_4-10558979.html

Il programma non funziona.

Come ti ha suggerito giustamente crazy.cat è necessario eliminare questa stringa

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\nokiacenter.exe",
meglio verificare nel registro:

Apri il registro di sistema
da START\ESEGUI digita regedit>OK

Aperto l’editor del registro, cliccando sul segno + accanto alle singole voci segui adesso questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon, click su quest’ultima cartella
all'interno della cartella, sulla parte destra dovresti trovare
UserInit= REG
riporta in un post tutte le voci a fianco di Userinit, sulla parte destra della finestra.

Scusate per il ritardo, con il portatile di mia moglie riesco a fare ben poco (diventa sempre più lento) comunque:
aperto l’editor del registro, sembra che ci sia solo la chiave c:\windows\system32\userinit.exe,.

Grazie

Scusate per il ritardo, con il portatile di mia moglie riesco a fare ben poco (diventa sempre più lento) comunque:
aperto l’editor del registro, sembra che ci sia solo la chiave c:\windows\system32\userinit.exe,.

Grazie

Per favore fai due cose:
1) posta anuovamente un *.log di Hijacthis meglio se metti un allegato con estensione *.txt.

2)la seconda cosa premendo F8 al riavvio vai in modalità provvisoria restaci e dimmi se il rallentamento segnalato si verifica anche in quella localizzazione.

Grazie, appena mia moglie mi lascia il portatile, faccio il tutto,

Posto il log, in modalità provvisoria mi sembra che sia PIù VELOCE.

Posto il log, in modalità provvisoria mi sembra che sia PIù VELOCE.

Purtroppo non serve a nulla perchè in provvisoria molti processi non sono avviati ed a noi interessano proprio quelli, devi farlo in modalità grafica. Aspetto sempre la risposta alla seconda domanda. Grazie

Chiedo scusa, mi sono spiegato male, il log non è ottenuto in modalità provvisoria, ma in modalità normale.
La risposta sulla modalità provvisoria riguardava solamente il rallentamento del portatile (come descritto precedentemente).

Grazie

O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\Adminstrator\51313350.dll (file missing)

Dai FIX CHECKED a questa stringa:
---------------------------------------------------------------

Vista la risposta che mi hai dato sul comportamento in provvisoria fai questa operazione:
Usa la solita metodica che prevede un pò di pazienza ma è l'unica che , se cosi ci permette di capire quale programma si impunta Se risolvi in modalità provvisoria , vuol dire che qualche programma che
parte in modalità normale da fastidio almeno spero.
Per trovarlo Start>>Esegui>>msconfig
Linguetta Avvio disabilita tutto ossia togli la spunta a tutti i programmi che vedi
Linguetta Servizi disabilita tutti i programmi tuoi dopo aver nascosto i servizi Microsoft mettendo la spunta sulla casellina in basso a sinistra
Conferma e riavvia
Se anche adesso funziona, riabilita metti la spunta un programma alla volta riavviando ogni volta. Mi raccomando non avere fretta e agisci su un programma alla volta e quando trovi il colpevole decidi cosa fare.
Togli anche eventuali collegamenti in esecuzione automatica

Grazie, proverò.
Ma quello che mi preoccupa di più è la seguente stringa:
"O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing)", navigando ho letto di stare attenti ad eliminarlo dal registro e non ne so di più.

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner -

se non programmi in ASP puoi fissare anche questa
------------------------------------------------------------

O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing

Fissalo anche se sembra una rimanenza poi vai nei servizi e mettilo su disabilitato se presente.
Guarda nel task manager e bloccalo poi vai nella sua directory e sempre se presente cancellalo. Puoi usare il tool qui sotto dopo averlo cancellato a mano


http://www.greatis.com/appdata/d/m/msnet32.exe.htm

poi rimetti un *.log

In merito alla chiave: "O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing)", ho già provato a fixarla anche in modalità provvisoria ma nulla da fare.

Fai le altre cose che ho scritto sopra, altrimenti se è in attività, non potrai cancellarla e scrivimi quello che hai fatto, rileggi il mio post.

Grazie a tutti per l'aiuto, ma purtroppo devo formattare il portatile di mia moglie (appena l'avrò a disposizione), ma questa volta creo una partizione nascosta, con acronis true image, per salvare il tutto. Avrei voluto andare più a fondo del problema, anche perchè potrebbe essere di aiuto ad altri.

GRAZIE

Devi usare Gmer 1.11 per forzare l'eliminazione del servizio nocivo, in piu' disinstalla tutti gli antivirus residenti (nod32, avast, e VirIT), non ti servono a nulla e poi intasano il sistema. Aprendo il regedit e cercando "userinit" dovresti trovare la chiave specifica ed eliminare nella stringa la dicitura Nokiacenter, lasciando solo la stringa come deve essere normalmente:

C:\WINDOWS\system32\userinit.exe, (virgola inclusa)


byezzz

Eventualmente per rimuovere eseguibili d'avvio puoi utilizzare l'autoruns con cui potrai eliminare la chiave aggiunta all'userinit.exe nella sezione logon se non sbaglio.

http://www.wintricks.it/news2/article.php?ID=14842

byezzz