[WinXP] system shutdown, nt authority/system

[ilgiof]

Allora, ho il seguente problema: all'avvio mi esce 'sto messaggio di errore dovuto a "services and controller app"(ho winxp pro sp3 in iglese), i file interessati sono i seguenti:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WER4962.dir00\services.exe.mdmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WER4962.dir00\appcompat.txt

Dopo aver chiuso questo messaggio, ne esce un altro che impone lo shutdown da parte di NT AUTHORIYTY/SYSTEM, a causa di un errore nel file Windows\system32\services.exe(fornisce anche un codice di errore: 1073741819).

Sono riuscito ad aggirare il reset avviando l'ultima configurazione valida di windows, che funziona più o meno correttamente senonchè molto spesso le pagine internet vengono reindirizzate a link fasulli e vengono avviati misteriosi processi numerici che regolarmente falliscono(e si vanno a depositare nella cartella temp), con annesso messaggio di errore.
Erano stati disabilitati, tra l'altro, il menù opzioni cartella(facendo anche sparire le cartelle nascoste) e l'accesso allo strumento di gestione del registro di sistema.

Ho effettuato scansioni in mod prov con spybot e ad-aware e ho eliminato tutto le voci malevole. La scansione con l'antivirus al momento non posso permettermela perchè dopo un ora e mezza stava ancora al 12% circa e non ho tutto il tempo di stargli dietro.

Qualche idea?

Qui trovate il log di hijackthis, se può servire:

Wikisend: free file sharing service

 

[JeanGrey]

Ciao ilgiof. il log è infetto, segui queste indicazioni.

Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
O2 - BHO: C:\WINDOWS\system32\jh9fgo4ksdgf.dll - {d7bf4552-94f1-42bd-f434-3604812c856d} - C:\WINDOWS\system32\jh9fgo4ksdgf.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKUS\.DEFAULT\..\Run: [] C:\WINDOWS\TEMP\r9uh6.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Windows Resurections] C:\WINDOWS\TEMP\r9uh6.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O22 - SharedTaskScheduler: sfdawtawgreage4tregrgae34 - {D7BF4552-94F1-42BD-F434-3604812C856D} - C:\WINDOWS\system32\jh9fgo4ksdgf.dll
O23 - Service: Background Intelligent Transfer Service (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Automatic Updates (wuauserv) - Unknown owner - C:\WINDOWS\

Segui le indicazioni di questa guida ed allega i rapporti di Combofix e Malwarebytes
http://www.tomshw.it/forum/sicurezza/105415-guida-come-ripulire-un-computer-infetto.html