Due explorer.exe------perchè?

[mister giogio]

Da qualche giorno, ho scoperto che ho due explorer.exe, più precisamente:
explorer.exe +
Explorer.EXE

Come potete vedere anche qua:

Ho usato i vari pulitori, ma non trovano nulla, ho loggato anche il log di HijackThis, ma niente.
Se "termino" uno dei due, si chiudono entrambi.
In C\windows c'è solo "explorer.exe" (da notare come lo trovo scritto)

Problemi!?! Non ne ho di certi ed evidenti, però qualcosa che non và ci sarà di certo.

[ExAuter]

È normale se nelle Opzioni cartella - Visualizzazione hai il flag su "Esegui le finestre delle cartelle in un processo separato".


Ex

[Kundalini]

qui -> http://www.pcopen.it/01NET/HP/0,1254...l?lw=10000;CHL dice che se ha l'estensione in maiuscolo é un virus o un trojan

[mister giogio]

1)_Non ho il flag su "Esegui le finestre delle cartelle in un processo separato".

2)_Nel Link, si dice:

Cliccate su Start, Esegui, digitate regedit e premete OK. Selezionate Modifica, Trova, nel campo Trova digitate explorer.EXE, cancellate qualsiasi chiave trovata con il nome del file avente l'estensione in lettere maiuscole mentre non toccate le chiavi che contengono il nome tutto in lettere minuscole.

L'ho fatto e (oltre a explorer. exe) ho trovato: .EXE - .Exe e Explorer.exe
Secondo voi, sono tutti e tre da cancellare?

[Kundalini]

Quote:

Originariamente inviato da mister giogio

1)_Non ho il flag su "Esegui le finestre delle cartelle in un processo separato".

2)_Nel Link, si dice:

Cliccate su Start, Esegui, digitate regedit e premete OK. Selezionate Modifica, Trova, nel campo Trova digitate explorer.EXE, cancellate qualsiasi chiave trovata con il nome del file avente l'estensione in lettere maiuscole mentre non toccate le chiavi che contengono il nome tutto in lettere minuscole.

L'ho fatto e (oltre a explorer. exe) ho trovato: .EXE - .Exe e Explorer.exe
Secondo voi, sono tutti e tre da cancellare?

explorer. exe se questo é scritto bene con lo spazio prima dell'exe si devi eliminarlo

.EXE lo dice nel link é maiuscolo quindi elimina io peró non voglio responsabilita magari fatti un backup del registro giusto per stare tranquilli se tutto va bene il backup lo cancelli dopo

.Exe questo non so o meglio io só che le estensioni di windows sono in minuscolo e questo é per meta sospetto

Explorer.exe questo sembra buono invece,peró é strano che hijackthis non abbia trovato nulla ma che antivirus hai?? comunque comincia con l'eliminare i primi due che ho evidenziato e prova a vedere se lo fá ancora.

[mister giogio]

Sono ancora di più, preoccupato; ho rifatto una ricerca con regedit e non ho trovato più niente, ovvero, è presente solo "explorer.exe"
Ho solo ottimizzato il registro con Erunt.

Quote:

explorer. exe se questo é scritto bene con lo spazio prima dell'exe si devi eliminarlo

Ho sbagliato a digitare, non cè lo spazio.

Quote:

ma che antivirus hai?

Antivir, quello free

In attesa di capire, tengo gli occhi aperti, ho idea che sia "un qualcosa" a tempo o che parta solo in certe situazioni.

Intanto, rimango a DEFCON 2

****************

L'ho già fatto controllare in rete, in tutti i casi, ecco il log di HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.25.05, on 08/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Program file\Sicurezza\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program file\Sicurezza\ZoneAlarm\zlclient.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\explorer.exe
C:\Program file\Browser\Firefox\firefox.exe
C:\Program file\Sicurezza\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program file\Sicurezza\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Program file\Sicurezza\ERUNT\AUTOBACK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{98DA4B7B-6026-416E-8BA0-79C1C6133ABD}: NameServer = 193.12.150.2 212.247.152.2
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program file\Sicurezza\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program file\Sicurezza\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Program file\Utilitari\Power Translator 11\LogoMedia TranslateDotNet Server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program file\Utilitari\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program file\Utilitari\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program file\Audio-Video\Alcohol 52\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4166 bytes

[Kundalini]

in effetti il log é pulito,hai detto che non trovi piú le stringhe nel regedit ma ne vedi ancora due di explorer? comunque potresti provare un altro antivirus aggiornato per vedere se magari ti trova qualcosa che antivir non vede,le scansioni credo sia meglio farle da modalitá provvisoria cosi é sicuro che non ci sono possibili file in uso,se puó essere utile io ad esempio uso nod32 e non ho problemi,oppure provare qualche scansione on line ora non mi viene in mente un indirizzo ma se cerchi in google qualcosa la trovi.