All'avvio non parte explorer.exe

[marcomanni]

Ringrazio in anticipo chiunque darà una mano, perchè sto uscendo pazzo.

Windows xp home edition di un amico. All'avvio desktop vuoto, e task menager inutilizzabile.
Sono andato in modalità di provvisoria, il task è andato, ho eseguito explorer.exe, e creato un nuovo utente. Ho istallato avira, aveva norton scaduto, ha trovato poche cosucce.

Con il nuovo utente il task rifunziona, ma devo sempre eseguire explorer.exe

Ho controllato
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

e Shell in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
tutto ok.

Utilizzato l'avvio pulito, anche in provvisoria, tanto che gli unici processi attivi erano
svchost (tre volte presente)
lsass
services
winlogon
csrss
System
Ciclo del sistema


Ho inserito un nuovo explore.exe al posto del vecchio con cd di win. Nulla.

Istallato blackbox come shell principale, anche lui non ne ha voluto sapere di avviarsi. Subito disistallato.

Preso iniziativa e aggiunto due righe a system.ini

[boot]
;msconfig shell=Explorer.exe

sotto ;msconfig ; for 16-bit app support

perchè ho letto due tre volte di controllare li ma non c'era proprio la voce.

Inutile anche questo. All'avvio explorer va solo se lo lanci dal task.
Posto il log di hijackthis il prima possibile

Quote:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 16.20.14, on 16/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon32.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Assistant Helper - {2F77CDB7-D730-4B5C-A64F-1515DF0BFB12} - c:\windows\system32\msbyrbk32.dll (file missing)
O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Programmi\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.buy-internetsecurity10.com (HKLM)
O15 - Trusted Zone: http://*.buy-is2010.com (HKLM)
O16 - DPF: {4A85DBE0-BFB2-4119-8401-186A7C6EB653} - http://messenger.zone.msn.com/binary/MJSS.cab69309.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.698698698.info/ware/newp.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\0033.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe

--
End of file - 7106 bytes

[wjmat]

ciao

usa la discussione dedicata
http://www.hwupgrade.it/forum/showthread.php?t=1555416

[marcomanni]

OK continuo dilla, se qualcuno però ha una mezza idea non si faccia problemi a rispondere anche qui finchè rimane aperto

[Chill-Out]

Quote:

Originariamente inviato da marcomanni

OK continuo dilla, se qualcuno però ha una mezza idea non si faccia problemi a rispondere anche qui finchè rimane aperto

La discussione di riferimento ti è stata indicata, questa rimane momentaneamente apera in attesa di sviluppi.

[marcomanni]

OK continuo dilla, se qualcuno però ha una mezza idea non si faccia problemi a rispondere anche qui finchè rimane aperto

[marcomanni]

Quote:

Originariamente inviato da Chill-Out

La discussione di riferimento ti è stata indicata, questa rimane momentaneamente apera in attesa di sviluppi.

Ti ringrazio, ma visto che come puoi notare di test ne ho fatti molti perchè prima di postare mi sono informato decisamente, e tutti sembrano essere riusciti a risolvere cancellando o editando chiavi di sistema o semplicemente con un nuovo explorer.exe e con me non funziona proprio, spero di avere per un po' un attimo più di visibilità...

[Chill-Out]

Quote:

Originariamente inviato da marcomanni

Ti ringrazio, ma visto che come puoi notare di test ne ho fatti molti perchè prima di postare mi sono informato decisamente, e tutti sembrano essere riusciti a risolvere cancellando o editando chiavi di sistema o semplicemente con un nuovo explorer.exe e con me non funziona proprio, spero di avere per un po' un attimo più di visibilità...

Non è questione di visibilità o meno, la Guida ti è stata linkata metti in pratica i suggerimenti descritti nella stessa.

[marcomanni]

l'unica cosa di nuovo che ci ho trovato è stata quella di utlizzare virit, che naturalmente non ha trovato nulla di nulla...

[marcomanni]

doppio

[Chill-Out]

Quote:

Originariamente inviato da marcomanni

Ho istallato avira, aveva norton scaduto, ha trovato poche cosucce.

Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

Quote:

O2 - BHO: Windows Assistant Helper - {2F77CDB7-D730-4B5C-A64F-1515DF0BFB12} - c:\windows\system32\msbyrbk32.dll (file missing)
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O15 - Trusted Zone: hxxp://*.buy-internetsecurity10.com (HKLM)
O15 - Trusted Zone: hxxp://*.buy-is2010.com (HKLM)
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - hxxp://www.698698698.info/ware/newp.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\0033.DLL

successivamente segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[marcomanni]

Ti ringrazio per l'aiuto, scusami non aver potuto rispondere prima ma non c'è stato modo.

Dopo aver fixato con hjt come da te indicato, ma prima di seguire la guida ho provato ad istallare avast con avvio prima del sistema operativo. Ha trovato qualcosa si, l'ho eliminato e non c'è stato più modo di accedere con nessun account, si disconnetteva all'istante. Visto che oramai era una battaglia personale perchè fin dall'inizio potevo semplicemente formattare mi sono arreso...

Grazie ancora cmq, sperando che il thread sia utile a qualcuno.

[Chill-Out]

Quote:

Originariamente inviato da marcomanni

Ti ringrazio per l'aiuto, scusami non aver potuto rispondere prima ma non c'è stato modo.

Dopo aver fixato con hjt come da te indicato, ma prima di seguire la guida ho provato ad istallare avast con avvio prima del sistema operativo. Ha trovato qualcosa si, l'ho eliminato e non c'è stato più modo di accedere con nessun account, si disconnetteva all'istante. Visto che oramai era una battaglia personale perchè fin dall'inizio potevo semplicemente formattare mi sono arreso...

Grazie ancora cmq, sperando che il thread sia utile a qualcuno.

Prego, eventualmente leggi qui Protezione del Computer: consigli e valutazioni