---MI SERVE AIUTOOOOOOOOOOOO---

di **/lordanathem** » 15/04/06 20:32

Salve a tutti. Ho un problema con due pop up insistenti. Ho praticamente tutti i programmi adatti a toglierli ma a questi 2 non ho trovato rimedio. Non so se siano veri e propri pop up ma si comportano come tali, ovvero con una pagina internet indesiderata e alcune volte fanno in modo che la linea cada....con hijackthis ho eliminato tutti i file potenzialmente dannosi e lo stesso con ewido, tranne questo:

O23 - Service: MainSafe Service (MSFIE) - Unknown owner - C:\WINDOWS\system32\mainsafe.exe (file missing)

ora, non so se sia la fonte dei "pop up" ma non riesco a toglierlo...io procedo così:
faccio la scansione con hijackthis, disabilito il ripristino di windows, seleziono e fixo...ma rimane sempre li!!! ditemi voi thnx

di **Luke57** » 15/04/06 20:51

Ciao, fa così:
start>esegui>services.msc (lo copi nello spazio)>OK , nella finestra che si apre cerchi il servizio corrispondente, MainSafe Service o MSFIE, clik su di esso, se è avvviato, e scegli arresta, click con il tasto dx>proprietà e imposti a Disabilitato. Poi con hijackthis fissi la voce 023.

di **/lordanathem** » 15/04/06 21:23

ho provato ma mi da impossibile eeguirlo

di **Dylan666** » 16/04/06 01:51

se il file è mancante la causa dei pop-up non è lì

di **/lordanathem** » 16/04/06 14:29

allora come potrei fare per identificare la fonte?

di **Dylan666** » 16/04/06 14:41

Posta un log

di **/lordanathem** » 16/04/06 16:55

Logfile of HijackThis v1.99.1
Scan saved at 17.55.13, on 16/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\ivan.BORGIA-5981D766\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [ViewMgr] C:\Programmi\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [irassync] C:\WINDOWS\system32\irasyncd.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [EQBranch] "C:\Programmi\EQBranch\EQBranch.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {4F8059B8-91B1-4B1C-A9FA-95C178F644DB} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Ba ... b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AAEE1455-E215-433D-8D77-6013FCD5E09E}: NameServer = 85.37.17.17 85.38.28.72
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {994D478A-45D0-4DB4-AE77-288B1E346E99} - C:\Programmi\FCAdvice\FCAdvice.dll
O20 - AppInit_DLLs: jmgdfnih.dll,Runner.dll,EQMini.dll,Runner.dll,feambpei.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MainSafe Service (MSFIE) - Unknown owner - C:\WINDOWS\system32\mainsafe.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

di **/lordanathem** » 16/04/06 19:11

il problema con questi pop up è ke fanno diventare la linea instabilissima....vi prego ragà aiutatemiiii :aaah

di **Dylan666** » 16/04/06 20:23

Questi li conosci?
O4 - HKLM\..\Run: [irassync] C:\WINDOWS\system32\irasyncd.exe
O4 - HKCU\..\Run: [EQBranch] "C:\Programmi\EQBranch\EQBranch.exe"
O18 - Filter: text/html - {994D478A-45D0-4DB4-AE77-288B1E346E99} - C:\Programmi\FCAdvice\FCAdvice.dll
O20 - AppInit_DLLs: jmgdfnih.dll,Runner.dll,EQMini.dll,Runner.dll,feambpei.dll

di **/lordanathem** » 16/04/06 21:22

eh no xò nn sn sicuro che siano dannosi

di **/lordanathem** » 16/04/06 21:24

comunque sono inutili

di **Dylan666** » 16/04/06 22:29

Se non sai cosa sono come fai a dire che sono inutili?

di **/lordanathem** » 16/04/06 23:14

cioè nn so se sono legati a dei programmi che usa windows o che uso io ma, ho visto che uno dei log ha una cartella su C e mi sembra particolarmente inutile visto che è formato da un applicazione x disinstallare qualcosa e un appunto

di **Dylan666** » 16/04/06 23:19

Evitate il linguaggio abbreviato da SMS nei post, è di ostacolo a chi non ci è abituato, a chi non conosce bene l'italiano e a chi cerca nel forum

Non ho capito quello che vuoi dire ma il problema al 99% è uno di quei file...

di **Luke57** » 17/04/06 10:19

Ciao, a integrazione di quanto detto da Dylan sono tutti file più che sospetti. Pertanto, metti l'eseguibile di hijackthis in una cartella del disco fisso apposita, tipo C\HJT, in modo che il programma possa fare un backup delle voci rimosse.
Poi clicchi sul programma, premi "do a system scan only", cerchi e spunti le seguenti voci:
O4 - HKLM\..\Run: [irassync] C:\WINDOWS\system32\irasyncd.exe
O4 - HKCU\..\Run: [EQBranch] "C:\Programmi\EQBranch\EQBranch.exe"
O18 - Filter: text/html - {994D478A-45D0-4DB4-AE77-288B1E346E99} - C:\Programmi\FCAdvice\FCAdvice.dll
O20 - AppInit_DLLs: jmgdfnih.dll,Runner.dll,EQMini.dll,Runner.dll,feambpei.dll
premi fix checked.
Riparti in modalità provvisoria:
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
4)rendi visibili file e cartelle nascosti:
Seleziona strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK
cerca ed elimina i seguenti file:
C:\WINDOWS\system32\irasyncd.exe
"C:\Programmi\EQBranch\EQBranch.exe"
C:\Programmi\FCAdvice\FCAdvice.dll
vai su "installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato tu
Cancella il contenuto di Windows\temp, windows\tmp
(temp e tmp da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)
sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)
svuota il cestino
Posta un nuovo log di hijackthis per controllo

---MI SERVE AIUTOOOOOOOOOOOO---

---MI SERVE AIUTOOOOOOOOOOOO---

Topic correlati a "---MI SERVE AIUTOOOOOOOOOOOO---":

Chi c’è in linea