Ciao a tutti!
O.S. Windows 10 Pro 1511 Build 10586.545
Da qualche giorno mi ero reso conto che ogni volta che installavo o disinstallavo un programma partiva autonomamente un rundll32.exe annidato sotto a svchost.exe che occupava il 25% della CPU.
Riavviando il pc non accadeva più fino alla prossima installazione/disinstallazione.
Ho provato a terminare il processo manualmente ma dopo un tot di minuti ricompariva!
Ho scoperto inoltre che lasciandolo andare se ne apriva un altro e poi un altro ancora fino ad avere 4 rundll32.exe occupanti ciascuno il 25% della CPU (quindi con 4 processi attivi avevo la CPU al 100%).
Ho cercato in rete ma ho trovato solo consigli sulla disabilitazione (che per altro avevo già fatto) del task schedulato chiamato ProgramDataUpdater riferito all'Application Experience.
Cosa ho fatto quindi: ho inannzitutto usato Process Explorer per identificare la command line di uno di quei rundll32.exe, che è risultata essere rundll32.exe aeinv.dll,UpdateSoftwareInventory
Lasciando il processo in esecuzione ho attivato Process Monitor ed ho applicato un filtro sulla command line rundll32.exe aeinv.dll,UpdateSoftwareInventory ed a quel punto hanno inziato a comparire una sfilza di righe di attività sul registro.
Ho stoppato dopo qualche secondo, onde evitare il riempimento della memoria e guardando attentamente il log ho visto che erano tutte operazioni che si ripetevano in loop.
Ho notato una chiave di registro che veniva richiamata in continuazione, e tale chiave stava sotto a HKEY_CLASSES_ROOT\Installer\Products
Contrariamente a tutte le altre lì presenti, quella chiave non aveva sotto-chiavi ma soltanto un valore di PackageCode che per altro non mi dava alcuna indicazione sull'applicazione che potesse averla lasciata lì.
Appena ho eliminato la chiave in questione, tutti i processi di rundll32.exe si sono chiusi.
Insomma la presenza di quella chiave "monca" faceva sì che il processo di aggiornamento dell'inventario software non finisse mai, quando in condizioni normali impiega meno di 10 secondi per terminare le sue attività.
O.S. Windows 10 Pro 1511 Build 10586.545
Da qualche giorno mi ero reso conto che ogni volta che installavo o disinstallavo un programma partiva autonomamente un rundll32.exe annidato sotto a svchost.exe che occupava il 25% della CPU.
Riavviando il pc non accadeva più fino alla prossima installazione/disinstallazione.
Ho provato a terminare il processo manualmente ma dopo un tot di minuti ricompariva!
Ho scoperto inoltre che lasciandolo andare se ne apriva un altro e poi un altro ancora fino ad avere 4 rundll32.exe occupanti ciascuno il 25% della CPU (quindi con 4 processi attivi avevo la CPU al 100%).
Ho cercato in rete ma ho trovato solo consigli sulla disabilitazione (che per altro avevo già fatto) del task schedulato chiamato ProgramDataUpdater riferito all'Application Experience.
Cosa ho fatto quindi: ho inannzitutto usato Process Explorer per identificare la command line di uno di quei rundll32.exe, che è risultata essere rundll32.exe aeinv.dll,UpdateSoftwareInventory
Lasciando il processo in esecuzione ho attivato Process Monitor ed ho applicato un filtro sulla command line rundll32.exe aeinv.dll,UpdateSoftwareInventory ed a quel punto hanno inziato a comparire una sfilza di righe di attività sul registro.
Ho stoppato dopo qualche secondo, onde evitare il riempimento della memoria e guardando attentamente il log ho visto che erano tutte operazioni che si ripetevano in loop.
Ho notato una chiave di registro che veniva richiamata in continuazione, e tale chiave stava sotto a HKEY_CLASSES_ROOT\Installer\Products
Contrariamente a tutte le altre lì presenti, quella chiave non aveva sotto-chiavi ma soltanto un valore di PackageCode che per altro non mi dava alcuna indicazione sull'applicazione che potesse averla lasciata lì.
Appena ho eliminato la chiave in questione, tutti i processi di rundll32.exe si sono chiusi.
Insomma la presenza di quella chiave "monca" faceva sì che il processo di aggiornamento dell'inventario software non finisse mai, quando in condizioni normali impiega meno di 10 secondi per terminare le sue attività.