| Autore |
 Discussione  |
|
|
Bartoloni Davy
Senior Member
Città: Cuneo
Nota:
92 Messaggi |
 Inserito il - 27/04/2007 : 17:10:37
|
quest'oggi mi e' capitata di nuovo una macchina molto strana...
il pc e' arrivato con un problema gia' visto.. la shell non si apriva.. ovvero, rimaneva il puntatore del mouse sullo schermo, il desktop, e i servizi si avviavano normalmente... l'unica cosa.. explorer.exe non era nell' elenco task...
vabbe.. ho pensato.. qualche porgrammino ha tolto l'explorer come shell di avvio...
invece no...
c'era uno dei soliti utenti con password, dal nome casuale protetto dalla chive specialaccounts... ok.. tolto pure quello. .tanto non aveva nulla di ereditario a se...
allora.. cancello tutte le cose strane sul disco fisso .. nei file comuni, nell'impostazioni locali... i soliti dialer con nomi random.. piu' altri programmini tipo porno.exe... etc etc.. nulal di strano..
controllo i servizi.. sembra tutto ok.. .ma non mi fido e riguardo con gmer.. non mi sembra ci sia nulla di strano... controllo per i rootkit.. e il gmer mi segna qualcosa dei moduli. .le solite cose che rileva solo lui... e non si sa che farne.. vabbe..
ripristino il sistema con l'opzione R (ah. st0 parlando di XP home sp2) il sistema di riavvia a ciclo continuo durante la rilevazione hardware.. con winpe, cancello gli ultimi driver installati in ordine cronologico. e anche i servizi creati nell'ultimo mese.. .
ritento.. ok.. si conclude.. anche se durante il ripristino c'e' stata una pausa di silenzio di quasi un minuto... boh.
il desktop continua a non apparire..
entro in modalita' provvisoria.. i task sono quei 6 o 7 essenziali.. controllo le dimensioni e la data.. sono quelli originali di windows...
allora dal promp comandi.. eseguo EXPLORER...
impossibile trovare c:\windows\system32\explorer.exe
ehhh?????? system32 ??? ma che sta succedendo?
mi posiziono in c:\Windows
explorer.exe e' presente.. ma per sicurezza lo ripristino estraendolo dal cd originale...
eseguo explorer.exe...
impossibile trovare explorer.exe
eehhhhh'?!??!?''
rinomino explorer.exe in tt.exe ..
avvio tt.exe.. e la finestra si apre correttamente.. anche se non partono icone e start bar, ma e' normale.. solo se si chiama explorer.exe si avvia il desktop..
umh. allora e' sicuramente qualche programmino che "copre" explorer.exe
elimino tutti i servizi in eccesso rispetto a quelli che conosco essere di windows.. (usando gmer)...
ma nessun risultato...
usando la shell aperta da tt.exe (sempre explorer) provo ad eseguire explorer.exe direttamente con il mouse....
impossibile trovare explorer.exe... ma cazzz... l'ho cliccato!!!
ora devo partire per budapest, sono 3 ore che mi trastullo con sto pc... e inizio a preoccuparmi... il registro di sistema l'ho controllato per filo e per segno.. specialmente la parte del winlogon... ho cercato anche degli accoppiamenti che richimassero explorer.exe .. ma nulla.. .
boh...????
qualcuno ha mai visto una cosa del genere===??
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 27/04/2007 : 17:26:59
|
Da Start/Esegui digita regedit/OK portati a questa chiave
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
vedi se hai la sottochiave explorer.exe se c'è, riporta qui i valori
fai lo stesso con
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
nella finestra di destra trova Userinit e Shell riporta qui i valori
ciao |
 |
|
|
Bartoloni Davy
Senior Member
Città: Cuneo
Nota:
92 Messaggi |
Inserito il - 27/04/2007 : 18:29:00
|
ah.. script avenger... o regassasin..
ok, ora e' in aggiornamento ... appena riparte ti dico...
ho provato a far avviare come shell al posto di explorer.exe la copia tt.exe , icone e start menu' sono apparse al riavvio.. quindi c'e' un controllo diretto solo sul nome del file (un po strano un controllo cosi' semplice)...
boh.. 35 minuti e sapro' darti i valori.
|
Modificato da - Bartoloni Davy in data 27/04/2007 18:38:55 |
|
|
|
Bartoloni Davy
Senior Member
Città: Cuneo
Nota:
92 Messaggi |
Inserito il - 27/04/2007 : 18:56:51
|
azz. mi sa che tardero' a postare i valori.. a 34 minuti dalla fine , a circa meta' delle impostazioni periferiche, si e' aperta la finestra delle propieta' dello schermo (ehhhhhhhhhh^^??????) .. si! quella in cui scegli lo sfondo !!! ... durante il ripristino... oltretutto , risulta "BLOCCATA"... e l'installazione non prosegue..
ao' il computer e' indemoniato! hahah
adesso cancellero' il file delle proprieta' schermo e vediamo se riesce a riaprirla!
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 27/04/2007 : 20:06:08
|
io credo che il tuo problema sia proprio relativo a quelle chiavi, prima fai un controllo é meglio é
ciao |
|
|
|
Bartoloni Davy
Senior Member
Città: Cuneo
Nota:
92 Messaggi |
Inserito il - 04/05/2007 : 11:25:31
|
appena tornato da budapest, allora tutto ok, explorer.exe compariva nell'elenco dei file execution ... :)
tutto ok. ora funge.. a parte un servizio che rallenta la macchina all'avvio... (sapete quando non compaiono i nomi admin-utente- etc a fianco ai task...)
ps.s tra l'altro qualcuno sa se esiste qualche programma per testare quale componente/servizio rimane in attesa=?
oggi mi e' arrivata un altra macchina con un dialer (cosi' dice il cliente) alal veloce , anche se explorer sembra essere a posto e in genere la macchina a prima vista e' ok, ho scovato nuovamente explorer.exe nei file execution... . .. azz sta diventando un' abitudine'???
rimango in attesa per la domanda sul prog che identifica i processi bloccati in startup. .oppure quello che ne setta il wait a poco ... tipo un secondo...
|
|
|
|
Kapo
New Member
38 Messaggi |
 Inserito il - 29/05/2007 : 15:19:12
|
Ciao - io ho lo stesso problema sopra descritto - stamattina ho deciso di fare un po' di pulizia dalla provvisoria con antivirus e antispyware (che non hanno rilevato niente di che cmq..) e al riavvio - sorpresa!!! Non conoscendo i valori corretti del registro di sistema mi affido a voi:
htt*://it.geocities[.com]/kattiva1983/ieo.jpg
htt*://it.geocities[.com]/kattiva1983/shell.jpg
htt*://it.geocities[.com]/kattiva1983/use.jpg
Grazie in anticipo a tutti! |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 29/05/2007 : 19:12:53
|
posta un log di Hijackthis htt*://[www].trendsecure[.com]/portal/en-US/threat_analytics/hijackthis.php
salva il programma sul desktop
lancia e clicca il tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare
secondo le regole htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
prima cmq elimina Corelcenter.exe e Macromediamonitor.exe dal registo di sistema  |
Modificato da - Leleago in data 30/05/2007 06:32:50 |
|
|
|
Kapo
New Member
38 Messaggi |
Inserito il - 30/05/2007 : 00:39:37
|
Ok grazie - appena ho un attimo di tempo ci torno sopra - al momento l'ho abbandonato xchè mi innervosiva - senza explorer ci si mette il triplo a muoversi sul sistema...  che tra l'altro controllo regolarmente anche con hijackthis...
Ma dei valori che ho "fotografato" e linkato sopra che mi dite? Corelcenter.exe e Macromediamonitor.exe direi che li posso levare senza problemi... del primo su google non c'è traccia ma il secondo già l'ho incontrato e credevo rimosso mesi fa... cmq chiedo pareri dato che l'ultima volta che ho optato per una pulizia manuale dal registro ho fatto + danni che altro...  appunto x questo questa volta avevo pensato bene di lanciare qualche programmino autonomo... ma il risultato è sempre quello: manuali o meno le mie pulizie pasquali fanno sempre danni... sono i malware che s'incavolano xchè cerco di toglierli di mezzo?? 
Questa volta mi ero buttata nelle grandi pulizie x ovviare ai crash di firefox con il plugin flash... magari le cose sono collegate cmq ora prima di tutto rivorrei il mio explorer funzionante! |
|
|
|
Kapo
New Member
38 Messaggi |
 Inserito il - 30/05/2007 : 02:59:16
|
Beh non ho resistito e ho fatto da me incrociando le dita... e alla fine ho risolto - ho riscritto il reg pulito per Userinit e cancellato - abiltando il controllo completo - il debugger...
Cmq HJT ho fatto una fatica tremenda a lanciarlo xchè oltre alle difficoltà motorie di essere senza explorer (pur avendolo anch'io rinominato e quindi essendo riuscita parzialmente a usarlo) mi si chiudeva da sè - sono riuscita ad usarlo solo dopo aver riscritto il reg Userinit e in quella scansione l'unica anomalia rilevata era il reg che avevo scritto male...  Grazie x l'imput cmq  |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 30/05/2007 : 06:32:17
|
| di niente cmq ho visto che avevi capito anche senza il mio aiuto che dovevi eliminare Corelcenter.exe e Macromediamonitor.exe |
Modificato da - Leleago in data 30/05/2007 06:33:54 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 30/05/2007 : 20:29:32
|
Citazione:
Messaggio inserito da Leleago
di niente cmq ho visto che avevi capito anche senza il mio aiuto che dovevi eliminare Corelcenter.exe e Macromediamonitor.exe
saranno stati i valori di dubugger.. come da me indicato a monte |
|
|
| |
Discussione |
|
explorer.exe .. c'e' .. ma non si puo' avviare.
Forum Bloccato
