Il processo EXPLORER.EXE utilizza 100MB di RAM già all'avvio di Windows!

[bludiamond]

Ciao a tutti ho un problema: da qualche settimana il processo EXPLORER.EXE mi utilizza quasi 100MB di RAM già all'avvio di Windows (XP), pur non avendo tanti programmi configurati per partire all'avvio. Non penso che sia una cosa normale....
Il mio antivirus (Norton Internet Security) e gli antispyware consigliati non mi segnalano nulla di anomalo, che cosa posso fare?

Questo è il log di Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.47.02, on 03/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.e xe
D:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\TweakRAM\TweakRAM.exe
D:\WINDOWS\system32\svchost.exe
D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
D:\Documents and Settings\USER\Documenti\UTILITY\T-Clock\tclock.exe
D:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Programmi\M1HS\Modem.exe
D:\Programmi\Mozilla Firefox\firefox.exe
D:\PROGRA~1\FILECO~1\SYMANT~1\CCPD-LC\symlcsvc.exe
D:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - D:\Programmi\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - D:\Programmi\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - (no file)
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -

D:\Programmi\BitComet\tools\BitCometBHO_1.1.7.4.dl l
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - D:\Programmi\File comuni\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -

D:\PROGRA~1\FILECO~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -

D:\Programmi\Google\GoogleToolbarNotifier\2.1.1119 .1736\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programmi\Free Download Manager\iefdmcks.dll
O3 - Toolbar: ONSPEED - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - (no file)
O3 - Toolbar: Mostra Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - D:\Programmi\File comuni\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "D:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TweakRAM] D:\Programmi\TweakRAM\TweakRAM.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Disk Cleaner.lnk = D:\Documents and Settings\USER\Documenti\UTILITY\CARTELLA - PRIVACY\Disk Cleaner\dclean.exe
O4 - Startup: ERUNT AutoBackup.lnk = D:\Programmi\ERUNT\AUTOBACK.EXE
O4 - Startup: MRU-Blaster Silent Clean.lnk = D:\Programmi\MRU-Blaster\mrublaster.exe
O4 - Startup: tclock.lnk = D:\Documents and Settings\USER\Documenti\UTILITY\T-Clock\tclock.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Programmi\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Programmi\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Programmi\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

D:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} -

D:\Programmi\BitComet\tools\BitCometBHO_1.1.7.4.dl l
O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - D:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - D:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Libro dei ritagli HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - D:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Selezione intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - D:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} -

D:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -

D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: D:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -

http://download.bitdefender.com/reso...an8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6E31CDE-033D-49CF-814A-2726EF39D2A7}: NameServer = 213.230.129.94 213.230.155.94
O20 - Winlogon Notify: !SASWinLogon - D:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - D:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.e xe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programmi\File comuni\Symantec

Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programmi\File comuni\Symantec

Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - D:\Programmi\File comuni\Symantec

Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe
O23 - Service: iPod Service - Apple Computer, Inc. - D:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - D:\Programmi\Symantec\LiveUpdate\LuComServer_3_4.E XE
O23 - Service: LiveUpdate Notice - Symantec Corporation - D:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Core LC - Unknown owner - D:\PROGRA~1\FILECO~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation -

D:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe

--
End of file - 8498 bytes

[deleted_20230418_1]

Elimina queste voci :

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - (no file)
O3 - Toolbar: ONSPEED - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - (no file)
O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - D:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - D:\WINDOWS\system32\shdocvw.dll
http://download.bitdefender.com/reso...an8/oscan8.cab

Ti consiglio di usare un solo sistema per rilevare virus altrimenti vai solo ad appesantire il sistema , da quello che hai postato si vede che usi 4 tipi diversi di software per scansionare virus o spyware ( non servono a nulla perche vanno in conflitto uno con l altro )

fammi sapere

[bludiamond]

Ciao! Ho fixato le voci che mi hai detto ma il problema rimane, sono a 95MB di explorer.exe e ho appena acceso il pc.............

[hell's bells]

Solo per curiosità, puoi provare ad entrare in modalità provvisoria e dirmi se le percentuali di utilizzo della cpu sono le stesse?

Inoltre cerca sul tuo pc se hai un programma installato "casino" o se trovi la cartella c:\casino, se trovi il programma prova a rimuoverlo, se trovi la cartella rimuovila.
Fai le operazioni da provvisoria.

[bludiamond]

In modalità provvisoria il consumo di RAM è di circa 25MB inferiore.
Per quanto riguarda il programma "Casino", questo fa parte di un pacchetto di installazione che ho scaricato qualche mese fa da questo sito: http://www.arricchirsi.com/ .
Si tratta di un sistema che promette di guadagnare qualcosa giocando ai Casino Online e applicando una particolare tecnica.
Io l'avevo scaricato e installato ma poi non l'ho mai usato; il Norton me l'ha rilevato come "programma pubblicitario" e mi ha cancellato qualche file, ma non tutti. Provandolo a disinstallare normalmente, non si riesce nemmeno da modalità provvisoria, perchè mi dice che manca un certo file e la disinstallazione non può avvenire.
Quindi in C:\PROGRAMMI esiste questa cartella, non l'ho mai cancellata manualmente perchè non so se così provoco danni al sistema (ci sono molte dll dentro quella cartella).
Però, scansionandola con antivirus e antispyware, non risulta esserci più niente di nocivo.

Oltretutto, sono già molti mesi che ho installato quel programma, mentre il problema dell'anomalo consumo di RAM di Explorer.exe me lo fa da nemmeno due settimane (e non ho installato nessun nuovo software).

Mistero?

[hell's bells]

Se vuoi rimuovere quel programma e relativi files e cartelle utilizza questo programma http://www.revouninstaller.com/revosetup.exe dovrebbe bypassarti il problema della dll mancante.

Edit: facciamo una scansione per verifica

Scarica questo programma:

Per scaricare Malwarebytes Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare per ora le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum

[bludiamond]

Ciao, prima di tutto posto il log di Malwarebytes: come puoi vedere è perfettamente pulito.

Malwarebytes' Anti-Malware 1.24
Versione del database: 1027
Windows 5.1.2600 Service Pack 2
18.23.15 06/08/2008
mbam-log-8-6-2008 (18-23-15).txt
Tipo di scansione: Scansione completa (D:\|)
Elementi scansionati: 117278
Tempo trascorso: 59 minute(s), 31 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
(Nessun elemento malevolo rilevato)
Valori di registro infetti:
(Nessun elemento malevolo rilevato)
Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)
Cartelle infette:
(Nessun elemento malevolo rilevato)
File infetti:
(Nessun elemento malevolo rilevato)


RevoUninstaller non riesce a disinstallare il programma con il tradizionale processo di disinstallazione (il messaggio di errore è "Invalid uninstall control file: D:\Sistema1\Uninstall\uninstall.xml).
Mi trova però una serie di voci di registro collegate al programma: posso cancellarle senza problemi? Qui c'è lo screenshot:
screenshot.jpg

[hell's bells]

Prima di rimuoverle esegui questa operazione, non mi fido mai del tutto delle operazioni che fanno questi programmi

da start>esegui digita regedit ti si aprirà l'editor del registro di windows, clicca su file poi su esporta e salvati una copia del registro in c:\ poi rilancia il programma e rimuovi le voci rimaste, visto che norton presumo ti abbia eliminato la dll occorente per rimuovere il programma, segnati le cartelle che vedi scritte nelle voci di registro e poi provvedi a rimuoverle a mano, mi raccomando attenzione a selezionare le voci di registro.

Poi vedremo se Deifobe che è molto piu' esperta di me reputi sia il caso di fare una scansione con system scan per cercare eventuali problemi nascosti.

[bludiamond]

Poi vedremo se Deifobe che è molto piu' esperta di me reputi sia il caso di fare una scansione con system scan per cercare eventuali problemi nascosti

La scansione completa con SystemScan l'avevo fatta proprio ieri sera, ti posto il log:
report.txt

[hell's bells]

Vorrei fare un controllo, scarica questo programma http://technet.microsoft.com/en-us/s.../bb896653.aspx , decomprimi il file zip, ti basta estrarre sul desktop process explorer, ci clicchi sopra 2 volte, poi una volta aperto nel menu' di sinistra cerca l'icona di explorer clicchi sulla crocettina e ti apriranno i vari processi, per cortesia fammi uno screen shot (tasto ctl+alt+stamp, poi apri paint fai nuovo, poi incolla e salvi con nome l'immagine) e poi lo posti come il report di system scan.