Explorer.exe

[Gle89]

Salve,

un mio amico ha dei problemi con il pc, fino a pochi giorni fa il suo portatile andava a meraviglia, poi da un paio di giorni ha iniziato a essere molto più lento e che il processo (dal TASK MANAGER) "explorer.exe" a pc a riposo gli da 10-13-.8-7% di utilizzo di CPU.

Allora mi sono fatta dalle il log di HJT ma a me sembra pulito. Unica cosa dubbia è il processo "C:\WINDOWS\explorer.EXE" (nel titolo mi è venuto minuscola l'estensione, perdonatemi, rinominate che è meglio )dato che ho lettto QUI che il processo con l'estensione maiuscola è un virus. Lui però mi ha detto che dal taskmanager risulta il processo in minuscolo, pure l'estensione.

Ho fatto scansionare quel eseguibile con VirusTotal ma lo da pulito al 100 %.

Adesso sta scansionando con "kaspersky online" quando avrò il log lo posterò sempre in questa discussione.

Posto qui il log del notebook del mio amico.

Spero di avere informazioni

Grazie

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:36:12, on 02/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Intel\Wireless\Bin\EvtEng.exe

C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\Alwil Software\Avast4\ashServ.exe

C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe

C:\Programmi\File comuni\LightScribe\LSSrvc.exe

C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe

C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe

C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\TortoiseSVN\bin\TSVNCache.exe

C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\ATK0100\HControl.exe

C:\Programmi\Alwil Software\Avast4\ashWebSv.exe

C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe

C:\Programmi\ASUS\NB Probe\NBProbe.exe

C:\Programmi\ASUS\Wireless Console\wcourier.exe

C:\Programmi\Synaptics\SynTP\SynTPLpr.exe

C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe

C:\Programmi\FlyNet\CnxDslTb.exe

C:\Programmi\PERFECT SERIES\Optical MOUSE\4.0\MOUSE32A.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programmi\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Messenger\msmsgs.exe

C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programmi\Asus\Asus ChkMail\ChkMail.exe

C:\Programmi\iPod\bin\iPodService.exe

C:\Programmi\Internet Explorer\IEXPLORE.EXE

C:\Programmi\MSN Messenger\msnmsgr.exe

C:\Programmi\MSN Messenger\usnsvc.exe

C:\Programmi\DAP\DAP.EXE

C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [NB Probe] C:\Programmi\ASUS\NB Probe\NBProbe.exe

O4 - HKLM\..\Run: [Wireless Console] C:\Programmi\ASUS\Wireless Console\wcourier.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [intelZeroConfig] C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe

O4 - HKLM\..\Run: [intelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\FlyNet\CnxDslTb.exe"

O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\PERFECT SERIES\Optical MOUSE\4.0\MOUSE32A.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe

O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1141635098468

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1142021964984

O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/download/DownloaderActiveX.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe

O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: spmgr - Unknown owner - C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe

--

End of file - 9453 bytes

Modificato October 2, 2007 da Gle89

[Kuma]

Ciao...

Se Virus Total dice che è pulito, non penso che sia l'infezione di cui parli (il log è pulito)

(al limite digli di controllare nella cartella di Windows e vedere quanti Explorer.exe ci sono)

Ha installata qualcosa prima che il problema succedesse???

Il Pc utilizza la CPU anche quando è a riposo... è normale...

Comunque aspettiamo il log di Kaspersky... magari nel frattempo fagli ripulire i file TEMP e il registro

Prova a vedere se questo Task Manager ti fornisce più informazioni:

http://www.kuma215.it/Guide%20K&J/K/Pe...pl%20guida.html

[Gle89]

Ciao...

Se Virus Total dice che è pulito, non penso che sia l'infezione di cui parli (il log è pulito)

(al limite digli di controllare nella cartella di Windows e vedere quanti Explorer.exe ci sono)

ha solo un explorer.exe

Ha installata qualcosa prima che il problema succedesse???

glielo avevo già chiesto ma lui ha detto che 99 su cento di no.

Allego il log di Kapersnky

le righe infette sono:

C:\Programmi\JackSMS 3\etc\dlls\ps.dll Infected: not-a-virus:RiskTool.Win32.PsKill.q skipped

C:\Programmi\JackSMS 3\JackSMS.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.591 skipped

D:\Scarico\software\JackSMS 3[1].11 Install.exe/data.rar/etc/dlls/ps.dll Infected: not-a-virus:RiskTool.Win32.PsKill.q skipped

D:\Scarico\software\JackSMS 3[1].11 Install.exe/data.rar/JackSMS.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.591 skipped

D:\Scarico\software\JackSMS 3[1].11 Install.exe/data.rar Infected: not-a-virus:Client-IRC.Win32.mIRC.591 skipped

D:\Scarico\software\JackSMS 3[1].11 Install.exe RarSFX: infected - 3 skipped

Il mio amico ha detto che non usa JACKSMS da mesi, e mi ha detto che lo ha aperto qualche giorno fa per sbaglio ma CREDE che il pc andasse già a rilento.

report.zip

Modificato October 3, 2007 da Gle89

[Kuma]

Ciao...

sono tutti falsi positivi dovuti all'euristica molto spinta della scansione avanzata... comuque vedi anche tu che c'è scritto--> (not-a-virus)

Il sistema a questo punto non è infetto e il rallentamento è da cercare altrove...

[Gle89]

Grazie Kuma sempre gentile e puntuale come sempre

Ma allora se non è un virus dove devo andare a cercare l origine del rallentamento?

Modificato October 3, 2007 da Gle89

[Kuma]

Ecco questa è una domanda da un milione di euro

Le cause potrbbero essere molte... :leggi:

Per prima cosa, devi fare una pulizia approfondita di tutti i files spazzatura e del registro...

Seguita da una deframmentazione del disco (meglio anche se fai un controllo dei cluster danneggiati prima della deframmentazione e molto meglio se questa la fai dalla console di emergenza)

Per eseguire la Console di ripristino dal CD di Windows XP, attenersi alla seguente procedura:

Accertati che il cd sia la prima periferica nella sequenza di avvio del BOOT

Inserisci il cd di XP poi quando richiesto premi un tasto poi scegli R per accedere alla console di ripristino

Se hai un sistema multiboot ti verrà chiesto di scegliere

l'installazione inserendo il numero corrispondente... (se hai solo un SO solitamente devi digitare solo "1")

inserisci la password dell'utente Administrator se non l'hai messa dai direttamente invio e digiti:

chkdsk /r

Al termine del controllo, togli il CD e digita "exit"