Avvio Anomalo Explorer.exe Winxp

[nikko86]

Salve,

premetto che ho provato a cercare sia sul forum che su internet una soluzione a questo problema ma per ora non sono riuscito a trovare nulla che lo risolva; può darsi che mi sia sfuggito qualcosa, se così fosse mi scuso per in anticipo per il post inutile.

Ho un Asus EEE Pc con in stallato Win Xp Home Edition e, da un giorno all'altro, senza aver fatto particolari operazioni, ho riscontrato il seguente problema:

all'avvio dopo la schermata azzurrina di caricamento di windows viene caricata l'immagine dello sfondo e il processo di caricamento finisce li. Aprendo Task Manager con ctrl-alt-canc è presente un processo explorer.exe in esecuzione. Se provo a killare il processo e a farlo ripartire tramite il comando nuova operazione (scrivendo "explorer" come nuova operazione) il processo parte normalmente e tutto viene caricato correttamente.

Dalle prove che ho fatto sembra che la prima esecuzione del processo explorer.exe venga in qualche modo bloccata; uccidendolo e facendolo ripartire poi va tutto a meraviglia.

Se provo ad avviare il computer in modalità provvisoria il problema non si riscontra.

Vi elenco le prove/operazioni che ho provato a fare per risolvere il problema senza però ottenere risultati:

- Ho provato a cancellare (in realtà l'ho solo rinominato) il file explorer.exe presente nella cartella c:/windows/ in modo che l'os ricreasse il file pulito.

- Ho controllato, cambiato il valore della chiave SHELL all'interno del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Ho provato con explorer.exe, Explorer.exe e con questi due valori il problema permane. Ho anche provato a mettere il path per eseteso c:/windows/explorer.exe. Originariamente comunque era presente il valore explorer.exe che reputo corretto quindi non credo il problema sia da ricercare in questo registro.

- Ho controllato che non sia presente HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

- Ho provato a creare un altro Account con i diritti di amministratore ma la situaziuone è la medesima.

- Ho provato a fare una scnsione con HiJack this e MalawareByte Anti Malaware senza trovare nulla di rilevante.

Inoltre se nella chiave SHELL del registro Winlogon prima menzionato provo inserire un valore a caso ovviamente allo startup il processo explorer non viene caricato; se con task manager provo ad avviarlo devo farlo 2 volte perchè funzioni (avviarlo-ucciderlo-avviarlo) proprio come se la prima volta avesse qualcosa che lo blocca.

C'è qualche opzione/passaggio che vi viene in mente o potrebbe essere un virus/malaware/trojan di qualche tipo? Tenderei a scartare questa seconda ipotesi perchè mi sembra alquanto stupido che semplicemente killando e riavviando il processo riesco ad aggirare il problema... ma a questo punto non saprei che altri pesci pigliare.

Grazie

Niccolò

[pike]

Ciao nikouz,

il problema di fondo è che explorer.exe, al primo lancio, parte male. Toccare il registro o il file, nel modo in cui hai fatto tu, a mio parere non può risolvere il problema.

Posta intanto li log di HJT e tramite autoruns genera un report di quanto viene avviato. Il file che risulta è abbastanza ciccione (oltre 3mb), comprimendolo in formato zip puoi ridurlo di parecchio e postarlo tramite Wikisend, per esempio.

Fatto questo, nell'attesa della risposta, fai un giro di TFC sul computer http://www.bleepingcomputer.com/download/tfc/ (pulisce i file temporanei anche in cartelle come c:\Temp, quindi occhio prima di usarlo)

Scarica CCleaner dal sito di Piriform https://www.piriform.com/ccleaner/download/standard ed usalo per rimuovere gli uninstaller delle patch di sicurezza Microsoft.

Finito questo, fai una deframmentazione del disco.

Non ritengo che queste operazioni possano realmente risolvere il tuo problema, ma si tratta di manutenzione che normalmente non viene fatta, e che può rendere ancora più lento l'avvio del sistema operativo (che su un computer come un EEEPC non è il massimo della vita...)

[nikko86]

Grazie per la risposta tempestiva appena posso cerco di fare tutte le operazioni che hai descritto!

[nikko86]

Ciao,

di seguito allego i report generati con HJT e Autorun... nel frattempo ho pulito i file temporanei con TFC, pulito un po' di roba con CCleaner e deframmentato ma il problema rimane

link report Autorun -> M-0BAF4EDAD4A04.rar

Grazie

Niccolò

hijackthis.log

[pike]

E l'avevo pure scritto...

comprimendolo in formato zip puoi ridurlo di parecchio e postarlo tramite Wikisend, per esempio.

Perchè l'hai fatto in rar?

[nikko86]

Pardon errore mio.

Link report autorun -> M-0BAF4EDAD4A04.zip

[pike]

Intanto ho scoperto che tanto Chrome quanto Firefox ritengono pericolosi i file .Zip che contengono i file .ARN... Non si smette mai d'imparare.

E che sfortunatamente i file .ARN non si riescono a trasmettere tra computer... nel senso che per quanto tento di aprirlo, mi legge i dati del mio PC e non queli che tu hai salvato nel file. Ergo per quanto l'ho aperto... non posso vedere quel che si esegue automaticamente. Mannaggia.

Tentiamo con OTL. Se sai l'inglese, questa è una guida su come usarlo e come pubblicare i listati, direttamente da GeeksToGo (che ringraziamo)

http://www.geekstogo.com/forum/topic/277391-otl-tutorial-how-to-use-oldtimer-listit/

Se invece non te la cavi con l'inglese, "scippiamo" da TomsHW (forum) e Tecnico24 (autore) una serie d'istruzioni su come farlo in italiano (ringraziando)

http://www.tomshw.it/forum/sicurezza/220749-ripulire-un-computer-infetto-leggere-prima-di-postare.html

ti pregherei di seguire solo la sezione relativa ad OTL, per piacere

[nikko86]

Ciao,

con un po di latenza ecco gli scan di OTL.

Report OTL -> OTL_Report.zip

[pike]

Scusa una cosa, onde evitare errori...

Veramente sono passati

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

Tutti questi software su quel pc? Se la risposta è sì direi che occorre necessariamente un giro di CCleaner per pulire il registro.

Disinstalla immediatamente WinCheck, per come la vedo io qui sono passati almeno 3-4 schifezzine niente male...

[nikko86]

Ciao, ho fatto come mi hai consigliato, pulendo con Ccleaner e disinstallando WinCheck, anche se come immaginavi la situazione non è cambiata. Dato che dalle nostre indagini (più tue che mie) ho visto che nel pc c'è entrata parecchia robaccia e posso comunque accedere ai pochi dati che davvero mi servono ho deciso di salvare quello che mi serve e di reinstallare tutto o addirittura, visto che è un po' vecchiotto, prendere qualcosa di nuovo e più performante.

Ti ringrazio moltissimo per il tempo che comunque mi hai dedicato.

Grazie

Niccolò

[pike]

Opinione legittima... Se ti vorrai divertire a smontare il tuo EEEPc potresti recupare il disco da 250gb.

che per carità, non è gigantesco ma... E' pronto all'uso, se occorre