PDA

Visualizza versione completa : [xp pro] userinit.exe


paolfranco
05-05-2007, 11.07.12
Ciao a tutti, ho un problema con il portatile di mia moglie, probabilmente si è presa un linkoptimizer. Non riuscivo ad aprire hijatchis, sono andato nel task manager ed ho disattivato il processo (strano) nokiacenter, a questo punto sono riuscito a lanciare hijatchis, vi mostro il log dal mio pc fisso perchè da quello di mia moglie non riesco a fare niente.
Sicuramente ci sono degli errori, aiutatemi, GRAZIE.

Logfile of HijackThis v1.99.1
Scan saved at 9.49.08, on 05/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\RF Wireless Mouse\cm20.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\SEAT\PagineBiancheDesktop\SeatPBAgent .exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
F:\Babylon\Babylon.exe
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
F:\software-ok\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metacrawler.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\nokiacenter.exe",
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programmi\RF Wireless Mouse\cm20.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [SEAT PBAgent] C:\Programmi\SEAT\PagineBiancheDesktop\SeatPBAgent .exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - Startup: Babylon.lnk = F:\Babylon\Babylon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Scarica con il Wizard di LeechGet - file://C:\Programmi\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Scarica con LeechGet - file://C:\Programmi\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Scarica pagina con LeechGet - file://C:\Programmi\LeechGet 2004\\Parser.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C9386B9-11F7-4635-AEB5-5E57D6D7C300}: NameServer = 1.253.128.34,1.253.128.11
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspn et_state.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

crazy.cat
05-05-2007, 11.12.38
Cancella il file nokiacenter.exe utilizzando questo tools http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
Poi fai una scansione con virit e il tools della prevx
http://www.prevx.com/gromozon.asp

paolfranco
05-05-2007, 11.45.23
eliminato con il tools del nod32, adesso sta facendo la scansione con prevx che nel log di risposta non mi ha trovato nulla.
Il processo nokiacenter è sparito dal task manager, per quanto riguarda il log di hijatchis devo fixare qualcosa, inoltre potresti suggerirmi un ottimo antispyware (anche a pagamento).
Grazie dell'aiuto

crazy.cat
05-05-2007, 11.53.49
Oltre alla riga della nokia, bisogna eliminare questo servizio fasullo, ma devi andare a mano nel registro,cercando il nome del file, hijackthis non cancella il servizio,
O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing)

scansiona comunque con virit, qualcosa c'è ancora da eliminare.

A2 squared o superantispyware in versione freeware

paolfranco
05-05-2007, 12.04.40
Grazie, molto gentile.
Volevo solamente aggiungere che il file msnet32.exe non lo trovo nel registro ed inoltre non riesco a fixarlo neanche in modalità provvisoria.

crazy.cat
05-05-2007, 12.21.08
Prova con questo programma, ti lascia modificare la lista dei servizi ed eliminare quelli in più.
http://www.download.com/Service-Tuner/3000-2094_4-10558979.html

paolfranco
05-05-2007, 12.42.30
Il programma non funziona.

giancarlof
09-05-2007, 15.07.12
Come ti ha suggerito giustamente crazy.cat è necessario eliminare questa stringa

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\nokiacenter.exe",
meglio verificare nel registro:

Apri il registro di sistema
da START\ESEGUI digita regedit>OK

Aperto l’editor del registro, cliccando sul segno + accanto alle singole voci segui adesso questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon, click su quest’ultima cartella
all'interno della cartella, sulla parte destra dovresti trovare
UserInit= REG
riporta in un post tutte le voci a fianco di Userinit, sulla parte destra della finestra.

paolfranco
14-05-2007, 14.13.47
Scusate per il ritardo, con il portatile di mia moglie riesco a fare ben poco (diventa sempre più lento) comunque:
aperto l’editor del registro, sembra che ci sia solo la chiave c:\windows\system32\userinit.exe,.

Grazie

giancarlof
14-05-2007, 15.30.00
Scusate per il ritardo, con il portatile di mia moglie riesco a fare ben poco (diventa sempre più lento) comunque:
aperto l’editor del registro, sembra che ci sia solo la chiave c:\windows\system32\userinit.exe,.

Grazie

Per favore fai due cose:
1) posta anuovamente un *.log di Hijacthis meglio se metti un allegato con estensione *.txt.

2)la seconda cosa premendo F8 al riavvio vai in modalità provvisoria restaci e dimmi se il rallentamento segnalato si verifica anche in quella localizzazione.

paolfranco
15-05-2007, 13.31.34
Grazie, appena mia moglie mi lascia il portatile, faccio il tutto,

paolfranco
15-05-2007, 18.11.53
Posto il log, in modalità provvisoria mi sembra che sia PIù VELOCE.

giancarlof
16-05-2007, 03.17.14
Posto il log, in modalità provvisoria mi sembra che sia PIù VELOCE.

Purtroppo non serve a nulla perchè in provvisoria molti processi non sono avviati ed a noi interessano proprio quelli, devi farlo in modalità grafica. Aspetto sempre la risposta alla seconda domanda. Grazie

paolfranco
16-05-2007, 10.31.43
Chiedo scusa, mi sono spiegato male, il log non è ottenuto in modalità provvisoria, ma in modalità normale.
La risposta sulla modalità provvisoria riguardava solamente il rallentamento del portatile (come descritto precedentemente).

Grazie

giancarlof
16-05-2007, 10.48.56
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\Adminstrator\51313350.dll (file missing)

Dai FIX CHECKED a questa stringa:
---------------------------------------------------------------

Vista la risposta che mi hai dato sul comportamento in provvisoria fai questa operazione:
Usa la solita metodica che prevede un pò di pazienza ma è l'unica che , se cosi ci permette di capire quale programma si impunta Se risolvi in modalità provvisoria , vuol dire che qualche programma che
parte in modalità normale da fastidio almeno spero.
Per trovarlo Start>>Esegui>>msconfig
Linguetta Avvio disabilita tutto ossia togli la spunta a tutti i programmi che vedi
Linguetta Servizi disabilita tutti i programmi tuoi dopo aver nascosto i servizi Microsoft mettendo la spunta sulla casellina in basso a sinistra
Conferma e riavvia
Se anche adesso funziona, riabilita metti la spunta un programma alla volta riavviando ogni volta. Mi raccomando non avere fretta e agisci su un programma alla volta e quando trovi il colpevole decidi cosa fare.
Togli anche eventuali collegamenti in esecuzione automatica

paolfranco
16-05-2007, 11.17.01
Grazie, proverò.
Ma quello che mi preoccupa di più è la seguente stringa:
"O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing)", navigando ho letto di stare attenti ad eliminarlo dal registro e non ne so di più.

giancarlof
16-05-2007, 11.41.03
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner -

se non programmi in ASP puoi fissare anche questa
------------------------------------------------------------

O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing

Fissalo anche se sembra una rimanenza poi vai nei servizi e mettilo su disabilitato se presente.
Guarda nel task manager e bloccalo poi vai nella sua directory e sempre se presente cancellalo. Puoi usare il tool qui sotto dopo averlo cancellato a mano


http://www.greatis.com/appdata/d/m/msnet32.exe.htm

poi rimetti un *.log

paolfranco
16-05-2007, 13.34.52
In merito alla chiave: "O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing)", ho già provato a fixarla anche in modalità provvisoria ma nulla da fare.

giancarlof
16-05-2007, 13.44.22
Fai le altre cose che ho scritto sopra, altrimenti se è in attività, non potrai cancellarla e scrivimi quello che hai fatto, rileggi il mio post.

paolfranco
20-05-2007, 11.59.30
Grazie a tutti per l'aiuto, ma purtroppo devo formattare il portatile di mia moglie (appena l'avrò a disposizione), ma questa volta creo una partizione nascosta, con acronis true image, per salvare il tutto. Avrei voluto andare più a fondo del problema, anche perchè potrebbe essere di aiuto ad altri.

GRAZIE

Davide71
21-05-2007, 09.39.45
Devi usare Gmer 1.11 per forzare l'eliminazione del servizio nocivo, in piu' disinstalla tutti gli antivirus residenti (nod32, avast, e VirIT), non ti servono a nulla e poi intasano il sistema. Aprendo il regedit e cercando "userinit" dovresti trovare la chiave specifica ed eliminare nella stringa la dicitura Nokiacenter, lasciando solo la stringa come deve essere normalmente:

C:\WINDOWS\system32\userinit.exe, (virgola inclusa)


byezzz

Davide71
21-05-2007, 09.43.55
Eventualmente per rimuovere eseguibili d'avvio puoi utilizzare l'autoruns con cui potrai eliminare la chiave aggiunta all'userinit.exe nella sezione logon se non sbaglio.

http://www.wintricks.it/news2/article.php?ID=14842

byezzz