errore di explorer.exe in fase di arresto

[gozer_67]

Purtroppo qualche giorno fa a causa di un mancato avvio del firewall diversi trojan hanno infettato il pc. Dopo la rimozione purtroppo ho notato che in fase di arresto o riavvio si apre (in windows 2000) una finestra che mi segnala:termine del programma explorer.exe. E' ovvio che questo processo debba terminare in fase di arresto ma è strano che me lo segnali ogni volta, Alla fine mi dice che non è possibile terminarlo e mi chiede se lo voglio fare manualmente (termina adesso) o tornare a windows per controllare lo stato del programma. Ho provato a fare una ricerca nel forum ma non ho trovato nessun caso simile al mio per cui quello che chiedo è se qualcuno conosce la causa di questo problema o se è possibile in qualche modo reinstallare explorer.exe (non internet explorer!) e dove eventualmente posso reperire questa applicazione.
grazie

[Luke9792005]

Ciao.

Probabilmente qualche malware impedisce la chiusura automatica del processo explorer.exe

La cosa più semplice che mi viene in mente è scaricare dalla sezione Download di pc-facile ed installare il software HijackThis.
Dopo averlo lanciato, seleziona Do a system scan and save a log.

Posta il contenuto completo del log, così ci diamo un'occhiata.

Ciao

[gozer_67]

Vi posto il log. Comunque ho pensato che l'altro giorno ho reinstallato internet explorer 6 sulla versione precedente (perchè mancava il comando per avviare outlook express ) e non vorrei che in qualche modo dipendesse da questo. Quando ho scaricato internet explorer 6 una finestra mi avvertiva che tutti i componenti erano già correttamente installati e suggeriva di non procedere al download ma in realtà a me mancava msimn.exe. Non so che relazione c'è fra IEexplore.exe e explorer.exe ma non vorrei che le due cose siano in qualche modo collegate.
intanto ecco il log

Logfile of HijackThis v1.99.1
Scan saved at 21.07.21, on 27/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PDesk\PDesk.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\GSICON.EXE
C:\WINNT\system32\dslagent.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Programmi\MemoRex\MemoRex.exe
C:\Programmi\SpywareGuard\sgmain.exe
C:\Programmi\SpywareGuard\sgbhp.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Rar$EX00.482\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmi\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Printer Spooler] C:\WINNT\system32\rxnh.exe
O4 - HKLM\..\Run: [winsync] C:\WINNT\system32\cqwiwr.exe reg_run
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\RunServices: [DRam prosessor] WindowsUpdate.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmi\SpywareGuard\sgmain.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5192234117
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4F64D4F-F996-4EDA-9D0F-D7BC5FB1BCA1}: NameServer = 85.37.17.52 151.99.125.1
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: Performance Logs (Perfhmon) - Unknown owner - C:\WINNT\system32\Perfhmon.exe (file missing)
O23 - Service: Remote Procedure Call (RPC) Monitoring (RpcMon) - Unknown owner - C:\WINNT\system32\Rpcmon.exe (file missing)
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe

[gozer_67]

A proposito, intanto grazie. Ero così arrabbiato con i miei problemi al PC che mi sono dimenticato di salutare

[Dylan666]

Incolla il log qui:
http://www.hijackthis.de/index.php?langselect=italian

Interrogati sulle voci in giallo e se non le conosci levale.
Mi suonano poco queste:

O4 - HKLM\..\Run: [Printer Spooler] C:\WINNT\system32\rxnh.exe

O4 - HKLM\..\Run: [winsync] C:\WINNT\system32\cqwiwr.exe reg_run

O4 - HKLM\..\RunServices: [DRam prosessor] WindowsUpdate.exe

Poi leva quelle gialle e rosse

[gozer_67]

Intanto grazie. Credimi, ho letto la netiquette e ho cercato a lungo. Purtroppo la funzione di ricerca cerca le parole chiave sia nel titolo del topic che nel messaggio. Converrai con me che parole come explorer.exe sono estremamente comuni in un forum.. Se fosse stato possibile circoscrivere la ricerca solo ai titoli avrei forse trovato direttamente topic che si riferivano all'applicazione explorer.exe. Comunque grazie dell'aiuto... Adesso comunque cercherò di analizzare i risultati e prima di eliminare le voci leggerò con attenzione la guida di Hijack this per capire come creare un backup..

[Dylan666]

Intanto grazie. Credimi, ho letto la netiquette e ho cercato a lungo. Purtroppo la funzione di ricerca cerca le parole chiave sia nel titolo del topic che nel messaggio. Converrai con me che parole come explorer.exe sono estremamente comuni in un forum..

Quella che leggi dopo la linea _________________ è la mia firma, cioè una frase, serie di frasi o immagini che ogni utente può far inserire in automatico alla fine di OGNI suo post (si configura dal pannello "Profilo"). Ciò che dice quindi non è riferito a te in particolare ma a tutti in generale

[gozer_67]

Quella che leggi dopo la linea _________________ è la mia firma, cioè una frase, serie di frasi o immagini che ogni utente può far inserire in automatico alla fine di OGNI suo post (si configura dal pannello "Profilo"). Ciò che dice quindi non è riferito a te in particolare ma a tutti in generale

oops...scusa . Ho provato ad eliminare alcune delle voci sospette che mi hai indicato (ho fatto anche una ricerca con Google). Di alcune ho trovato traccia di altre no ma sicuramente non si tratta di processi noti di windows o altre applicazioni molto usate. Comunque il problema non si è risolto e a questo punto vista comunque la presenza di molti Trojan (che anche anche se rimossi fanno sempre qualche danno) sto pensando di formattare, a meno che non riesca a reinstallare explorer.exe o a correggere il problema in altro modo.

[Dylan666]

Dopo ogni modifica con HijackThis devi dire esattamente cosa hai tolto e postare un nuovo log.

PS: mai in vita mia formatterei per un virus, doverebbe essere veramente devastante