scrss32.dll! come eliminarlo???

[cortomalteseit]

Ciao ragazzi,
vi allego il log di hijackthis. come vedete dall'oggetto, mi risulta difficile eliminare questa bestia... come faccio? help!

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\OfficeScan NT\ntrtscan.exe
C:\OfficeScan NT\tmlisten.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\service32.exe
C:\OfficeScan NT\pccntmon.exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmi\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\MalteseD\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe


[webmaster - Nota: sono state rimosse alcune righe per preservare la privacy dell'utente]

[Luke57]

Ciao, prova questa procedura
Apri hijackthis, premi ope the misc tools section", "open process manager", cerchi tra i processi:
C:\WINDOWS\service32.exe
lo evidenzi e premi "kill porcess".
Poi apri il registro di sistema
da START\ESEGUI digita regedit>OK

Cliccando sul segno + accanto alle singole voci, segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, click su quest’ultima cartella e sulla parte destra della finestra dovresti trovare:
1 = C:\WINDOWS\service32.exe
click tasto dx sulla voce e scegli Elimina.

Portati anche alla voce:
HKEY_LOCAL_MACHINE\SOFTWARE\
e cancella la chiave: 9F65E3H10M
(questa chiave è variabile.... ad esempio: 9P78Q3B10L, potrebbe anche non esserci))
se c’è la cancelli con la stessa modalità indicata sopra.

Chiudi il registro.

Riavvia in modalità provvisoria (premi il tasto F8 ripetutamente all'accensione del computer, prima che si carichi Windows, nella schermata che appare scegli modalità provvisoria spostandoti con le freccette, confermi la scelta premendo invio e segui le istruzioni a schermo)

Rendi visibili file e cartelle nascosti:
da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

Cerca ed elimina i seguenti file seguendo l'ordine sottoindicato(potresti non averli tutti, ma se li trovi li elimini):
C:\WINDOWS\service32.exe
C:\WINDOWS\scrss32.dll
C:\WINDOWS\syst32.dll
C:\WINDOWS\syshost.dll
C:\WINDOWS\623958248.exe
C:\WINDOWS\mdm32.dll
C:\WINDOWS\winsmgr32.dll
C:\WINDOWS\iexplorer32.dll
C:\WINDOWS\spoolvs32.dll

Elimina anche tutti i file temp e tmp di windows, di IE, cookies, svuota il cestino.

[Aires]

Ciao Luke,
innanzitutto vorrei ringraziarti perchè la tua risposta è stata molto utile anche a me
Un amico ha lo stesso problema e leggendo il tuo post sto provando a risolverlo. Tuttavia, prima di cancellare chiavi di registro per sbaglio, vorrei un tuo parere, se non è troppo disturbo

Portati anche alla voce:
HKEY_LOCAL_MACHINE\SOFTWARE\
e cancella la chiave: 9F65E3H10M
(questa chiave è variabile.... ad esempio: 9P78Q3B10L, potrebbe anche non esserci))
se c’è la cancelli con la stessa modalità indicata sopra.

In questa voce, io ho la seguente chiave: 0D92R7F92J.
Visto che hai scritto che la chiave è variabile, ho pensato che potesse essere questa quella sospetta...Mi dai l'ok per l'eliminazione?
Ti ringrazio per la tua pazienza e mi scuso per l'intromissione.
A presto

[Luke57]

@Aires
Ciao, cancella la voce.