www.MegaLab.it

[demonio78]

Buongiorno a tutti,

ho da giorni un infezione che non riesco a rimuovere, il file che mi dà maggiori problemi è il services.exe.
Ho provato diversi metodi e anche tutta la vostra guida (modalità provvisoria + Avira e Malwarebytes) ma non sono riuscito ad estirparlo.
Addirittura non sono riuscito a far funzionare Combofix che esegue la procedura di installazione ma si chiude prima di far partire la scansione e non restituisce nessun log.
L'unico log che sono riuscito ad ottenere è quello di Hijackthis che vi posto.
Se ci fosse un'anima buona che mi può aiutare...

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:19:02, on 23/08/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16448)
Boot mode: Safe mode with network support

Running processes:
C:\Users\Lucio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Lucio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Lucio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Lucio\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Lucio\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~3\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [3170 Scan2PC] "C:\Windows\Twain_32\Samsung\CLX3170\Scan2pc.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [bdinstaller] "C:\Program Files\Common Files\Bitdefender\SetupInformation\downloader\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\downloader\setupdownloader.exe" /args:"/after_restart"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [GrpConv] grpconv -o
O4 - HKCU\..\Run: [Google Update] "C:\Users\Lucio\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: SmarThru4 Acquisisci selezione - C:\Program Files (x86)\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Program Files (x86)\SmarThru 4\x64\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Salva come HTML - C:\Program Files (x86)\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Salva testo selezionato - C:\Program Files (x86)\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Program Files (x86)\SmarThru 4\x64\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Program Files (x86)\SmarThru 4\x64\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Web Capture - C:\Program Files (x86)\SmarThru 4\WebCapture.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted IP range: http://192.168.0.1
O15 - ESC Trusted IP range: http://192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF25A015-019A-4A50-92EE-2454AE5B53CC}: NameServer = 208.67.222.222,208.67.220.220
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9630 bytes

Grazie.

[crazy.cat]

Chi ti ha detto che services.exe è infetto?
Nel log non mi sembra di vedere niente di anomalo.

In attesa di una tua risposta mi sa che ti consiglierò di procedere con una scansione fatta da un cd live di kaspersky o di gdata.
Ma prima aspettiamo...

[demonio78]

E' quello che mi segnalava AVG all'inizio di tutto il casino, e quello che mi segnala anche Avira, che però non riesce a pulirlo.
Ti allego una parte del log di quest'ultimo.

Avira Free Antivirus
Data del file di report: giovedì 23 agosto 2012 14:31

Ricerca di 4154875 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - Free Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows 7 Ultimate
Versione di Windows : (Service Pack 1) [6.1.7601]
Modalità di avvio : Modalità provvisoria con avvio di rete
Nome utente : Lucio
Nome computer : BABBO

Informazioni sulla versione:
BUILD.DAT : 12.0.0.298 40868 Bytes 23/07/2012 15:13:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 02/07/2012 13:39:38
AVSCAN.DLL : 12.3.0.15 63440 Bytes 05/06/2012 22:40:21
LUKE.DLL : 12.3.0.15 68304 Bytes 02/07/2012 13:39:45
AVSCPLR.DLL : 12.3.0.27 97064 Bytes 02/07/2012 13:39:38
AVREG.DLL : 12.3.0.33 232232 Bytes 02/07/2012 13:39:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 23:26:32
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 23:34:41
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 09:58:50
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 22:40:11
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 08:15:36
VBASE006.VDF : 7.11.34.117 2048 Bytes 29/06/2012 08:15:36
VBASE007.VDF : 7.11.34.118 2048 Bytes 29/06/2012 08:15:36
VBASE008.VDF : 7.11.34.119 2048 Bytes 29/06/2012 08:15:36
VBASE009.VDF : 7.11.34.120 2048 Bytes 29/06/2012 08:15:36
VBASE010.VDF : 7.11.34.121 2048 Bytes 29/06/2012 08:15:36
VBASE011.VDF : 7.11.34.122 2048 Bytes 29/06/2012 08:15:36
VBASE012.VDF : 7.11.34.123 2048 Bytes 29/06/2012 08:15:36
VBASE013.VDF : 7.11.34.124 2048 Bytes 29/06/2012 08:15:36
VBASE014.VDF : 7.11.38.18 2554880 Bytes 30/07/2012 09:48:18
VBASE015.VDF : 7.11.38.70 556032 Bytes 31/07/2012 09:48:19
VBASE016.VDF : 7.11.38.143 171008 Bytes 02/08/2012 09:48:19
VBASE017.VDF : 7.11.38.221 178176 Bytes 06/08/2012 09:48:20
VBASE018.VDF : 7.11.39.37 168448 Bytes 08/08/2012 09:48:20
VBASE019.VDF : 7.11.39.89 131072 Bytes 09/08/2012 09:48:20
VBASE020.VDF : 7.11.39.145 142336 Bytes 11/08/2012 09:48:21
VBASE021.VDF : 7.11.39.207 165888 Bytes 14/08/2012 09:48:21
VBASE022.VDF : 7.11.40.9 156160 Bytes 16/08/2012 09:48:22
VBASE023.VDF : 7.11.40.49 133120 Bytes 17/08/2012 09:48:22
VBASE024.VDF : 7.11.40.95 156160 Bytes 20/08/2012 09:48:22
VBASE025.VDF : 7.11.40.155 181760 Bytes 22/08/2012 09:48:23
VBASE026.VDF : 7.11.40.156 2048 Bytes 22/08/2012 09:48:23
VBASE027.VDF : 7.11.40.157 2048 Bytes 22/08/2012 09:48:23
VBASE028.VDF : 7.11.40.158 2048 Bytes 22/08/2012 09:48:23
VBASE029.VDF : 7.11.40.159 2048 Bytes 22/08/2012 09:48:23
VBASE030.VDF : 7.11.40.160 2048 Bytes 22/08/2012 09:48:23
VBASE031.VDF : 7.11.40.190 132096 Bytes 23/08/2012 09:48:24
Motore : 8.2.10.132
AEVDF.DLL : 8.1.2.10 102772 Bytes 23/07/2012 12:28:35
AESCRIPT.DLL : 8.1.4.42 459129 Bytes 23/08/2012 09:48:29
AESCN.DLL : 8.1.8.2 131444 Bytes 16/02/2012 16:11:36
AESBX.DLL : 8.2.5.12 606578 Bytes 10/07/2012 08:15:52
AERDL.DLL : 8.1.9.15 639348 Bytes 20/01/2012 23:25:54
AEPACK.DLL : 8.3.0.24 811381 Bytes 23/08/2012 09:48:28
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 23/07/2012 12:28:35
AEHEUR.DLL : 8.1.4.86 5165429 Bytes 23/08/2012 09:48:28
AEHELP.DLL : 8.1.23.2 258422 Bytes 10/07/2012 08:15:52
AEGEN.DLL : 8.1.5.34 434548 Bytes 23/07/2012 12:28:35
AEEXP.DLL : 8.1.0.74 86387 Bytes 23/08/2012 09:48:29
AEEMU.DLL : 8.1.3.2 393587 Bytes 23/07/2012 12:28:35
AECORE.DLL : 8.1.27.4 201078 Bytes 23/08/2012 09:48:24
AEBB.DLL : 8.1.1.0 53618 Bytes 20/01/2012 23:25:50
AVWINLL.DLL : 12.3.0.15 27344 Bytes 02/07/2012 13:39:40
AVPREF.DLL : 12.3.0.15 51920 Bytes 02/07/2012 13:39:38
AVREP.DLL : 12.3.0.15 179208 Bytes 02/07/2012 13:39:38
AVARKT.DLL : 12.3.0.15 211408 Bytes 02/07/2012 13:39:36
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 02/07/2012 13:39:37
SQLITE3.DLL : 3.7.0.1 398288 Bytes 02/07/2012 13:39:47
AVSMTP.DLL : 12.3.0.32 63480 Bytes 02/07/2012 13:39:38
NETNT.DLL : 12.3.0.15 17104 Bytes 02/07/2012 13:39:45
RCIMAGE.DLL : 12.1.0.13 4449488 Bytes 20/01/2012 23:26:50
RCTEXT.DLL : 12.3.0.31 100344 Bytes 02/07/2012 13:39:48

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Report......................................: avanzato
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:,
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: avanzato
Categorie irregolari delle minacce..........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Avvio della scansione: giovedì 23 agosto 2012 14:31

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!
[AVVISO] Errore di sistema [21]: Dispositivo non pronto.
Record master di avvio dell'Hard Disk 2
[INFO] Nessun virus è stato trovato!
[AVVISO] Errore di sistema [21]: Dispositivo non pronto.
Record master di avvio dell'Hard Disk 3
[INFO] Nessun virus è stato trovato!
[AVVISO] Errore di sistema [21]: Dispositivo non pronto.
Record master di avvio dell'Hard Disk 4
[INFO] Nessun virus è stato trovato!
[AVVISO] Errore di sistema [21]: Dispositivo non pronto.

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Non è stato possibile inizializzare il driver.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '80' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '108' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '103' modulo(i) scansionato(i)

Avvio della scansione dei file di sistema:
Firmato -> 'C:\Windows\system32\svchost.exe'
Firmato -> 'C:\Windows\system32\winlogon.exe'
Firmato -> 'C:\Windows\explorer.exe'
Firmato -> 'C:\Windows\system32\smss.exe'
Firmato -> 'C:\Windows\system32\wininet.DLL'
Firmato -> 'C:\Windows\system32\wsock32.DLL'
Firmato -> 'C:\Windows\system32\ws2_32.DLL'
NON firmato -> 'C:\Windows\system32\services.exe'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
Firmato -> 'C:\Windows\system32\lsass.exe'
Firmato -> 'C:\Windows\system32\csrss.exe'
Firmato -> 'C:\Windows\system32\drivers\kbdclass.sys'
Firmato -> 'C:\Windows\system32\spoolsv.exe'
Firmato -> 'C:\Windows\system32\alg.exe'
Firmato -> 'C:\Windows\system32\wuauclt.exe'
Firmato -> 'C:\Windows\system32\advapi32.DLL'
Firmato -> 'C:\Windows\system32\user32.DLL'
Firmato -> 'C:\Windows\system32\gdi32.DLL'
Firmato -> 'C:\Windows\system32\kernel32.DLL'
Firmato -> 'C:\Windows\system32\ntdll.DLL'
Firmato -> 'C:\Windows\system32\ntoskrnl.exe'
Firmato -> 'C:\Windows\system32\ctfmon.exe'
I file di sistema sono stati sottoposti a scansione (file '21')

[devicepenguin]

Sono curioso di sapere cosa esce fuori da un controllo supplementare (se ti va di farlo)

http://www.MegaLab.it/6725/hitman-pro-l ... -i-malware

[GERONIMO*]

hai installato il service pack 1 di recente?
o installato qualche software magari craccato?
che appunto va a modificare il file system rendendolo non firmato,e quindi gli antivirus lo trovano come infetto

[crazy.cat]

Carica il file sul sito www.virustotal.com e vediamo se è realmente infetto.

NON firmato -> 'C:\Windows\system32\services.exe'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile

[demonio78]

Sono curioso di sapere cosa esce fuori da un controllo supplementare (se ti va di farlo)

http://www.MegaLab.it/6725/hitman-pro-l ... -i-malware

Ce l'ho fatta!
Il file service.exe che era quello più ostico sono riuscito a pulirlo proprio grazie a Hitman, dopodiché un altro paio di passaggi con Avira (con Win in modalità provvisoria) e con il disco di avvio di Kaspersky per essere sicuro di eliminare tutto (in effetti ognuno è riuscito a scovare qualche altra piccola traccia) e ora sembra tutto pulito!

Grazie a tutti!!