Здравствуйте, Rok-set.
"нить перерисовки" - это, как я понял, базовая нить, т.е. сам explorer.exe c рабочим столом на борту.
Посмотреть на нити можно программой ProcExp.exe или Process Explorer в простонародии, разработанная в SystemInternals, даже, возможно она у них с исходниками(там у них всё с исходниками). Программа показывает нити процесса, можно подвесить/отпустить нить, посмотреть стек нити.
Надо повспоминать, что последнее время устанавливали. Иногда антивирусы, файрволы и прочие, могут давать такой "эффект". У меня pgp на одной машине постоянно подвешивал explorer.exe, при поднятии контекстных меню.
Может, вирус/троян. Надо посмотреть procexp-ом на explorer внимательно, проверить, все ли нити "родные", посмотреть, кто с каких dll-ек стартовал. Вредоносная программа может прицепить себя к explorer.exe через удалённое открытие нити. Вторая по "популярности" для прицепиться - spoolsv.exe.
Советую так же посравнить нити на своей машине и на другой, где всё хорошо, если есть что-то "лишнее" - будет сразу видно.
На крайний случай можно взять MS VS 2005 и выше и приаттачиться к процессу explorer.exe и попробовать посмотреть его под дебагом.
Ещё полезная штука - антивирус AVZ.exe, у неё в комплекте есть много инструментов для просмотра процессов, драйверов и dll-ек, которые загружены в память. Так же она, при проверке на вирусы и сканировании памяти, показывает все системные перехваты, правда, не показывает кто, но это легко ловится через любую MS VS, достаточно вызвать в коде перехваченную функцию и зайти в вызов, студия в стеке вызова(ctrl + 7) покажет имя dll-ки, которая содержит перехват (я так поймал за руку аутпост
)
Есть ещё такая программа: IceSword, тоже показывает драйвера и процессы, умеет показывать скрытые руткитами и системой файлы (видел только 32-битную версию).
Если что ещё вспомню, напишу.