ciao a tutti, ritengo di avere un problema al pc, quindi sto cercando di capire quali processi non desiderati si avviano di nascosto. ho fatto una scansione con hijackthis e sembrerebbe tutto ok. navigando in rete ho scoperto l'esistenza dell'applicazione userinit.exe e che la relativa chiave di registro si trova nel percorso ......\winlogon. usando W7 la chiave winlogon non c'è (almeno io non l'ho trovata), però ho trovato questa chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FTH con al suo interno la voce "exclusionlist" e di seguito le seguenti applicazioni: smss.exe\csrss.exe\wininit.exe\services.exe\lsass.exe\svchost.exe\winlogon.exe\SLsvc.exe\spoolsv.exe\taskhost.exe.
La cosa che mi ha insospettito è la presenza di services.exe, applicazione che se provo a lanciare digitando services in start e cliccando sul risultato che appare in alto services.exe non accade nulla. Stessa cosa se faccio doppio click sull'icona del programma everithing nella barra delle applicazioni. E' da qualche giorno che ho questi problemi, sommati ad altri tipo il fatto che mi spariscono i punti di ripristino, oppure che ripristino c.d.s. si disabilita da sola, oppure che ad ogni avvio viene indicato che è necessario eseguire la verifica di coerenza su uno dei dischi, ma che tutte le volte non parta in quanto è impossibile aprire il volume per accesso diretto. impossibile eseguire autochk a causa di un errore dovuto ad un software installato di recente, utilizzare ripristino c.d.s.
(sul disco in questione, che è il secondo hd, alcuni giorni fa è all'improvviso sparita la cartella che usavo come unica cartella per scaricare qualsiasi file)
proprio provando a fare un ripristino, giorni fa ho scoperto che la funzione non era abilitata, quando sono strasicuro che lo fosse. ho anche eseguito una scansione in mod provv con kaspersky senza trovare nulla. avete una vaga idea di cosa potrei fare, oltre che spararmi????
Scherzi a parte spero di risolvere perchè la cosa mi infastidisce e non poco!!!

aggiungo questo: hijackthis non rileva la cosa come sospetta, ma a me un pò di sospetti vengono. copio ed incollo un sunto del significato delle voci 020 evidenziate da hijackthis:

Voce 020

Questa chiave corrisponde ai file che vengono caricati via il valore di registro AppInit_DLLs e via la sottochiave WinlogonNotify
Il valore AppInit_DLLs contiene la lista delle librerie DLL che sono caricate quando viene avviato user32.dll ,quindi qualunque DLL scritta nella chiave AppInit_DLLs sarà anch'essa caricata.
Se si tratta di una DLL infetta sarà quindi molto difficile da eliminare in quanto viene caricata in molteplici processi,alcuni dei quali se fermati portano all'instabilità del sistema.
Il file user32.dll viene utilizzato anche da alcuni processi avviati in automatico ad ogni apertura di sessione da parte del sistema ,cio vuol dire che la DLL sarà caricata prima che l'utente abbia accesso al sistema, permettendo a quest'ultima di nascondersi e di proteggersi da un eventuale eliminazione.

Chiave di registro corrispondente:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

ecco io alla voce 020 ho questa cosa che non mi piace x niente, primo perchè vedo quelle librerie associate al mio antivirus kaspersky internet security, secondo perchè in rete non ho trovato nessuna libreria avente quei nomi:

O20 - AppInit_DLLs: c:\progra~1\kasper~1\kasper~1\mzvkbd3.dll c:\progra~1\kasper~1\kasper~1\kloehk.dll c:\progra~1\fun4im\bndhook.dll

cosa mi consigliate?

Ciao, per il controllo del log di HJT esiste un 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=937676