[win xp sp2] slymhjsb.exe si autoesegue all'avvio persistentemente

[dominoes]

Sono perseguitato da due file che si autoeseguono a ogni avvio. E' in realtà uno stesso file di 106 kB situato in "C:\Programmi\kihbflhq\slymhjsb.exe" e
in "C:\Documents and Settings\pc\Menu Avvio\Programmi\Esecuzione automatica\slymhjsb.exe".
Avviando il pc in modalità provvisoria con l'account da amministratore il secondo si colloca in "C:\Documents and Settings\Administrator\Menu Avvio\Programmi\Esecuzione automatica\slymhjsb.exe".

Nelle proprietà del file leggo che la descrizione è AntiVir Command Line Scanner for Windows e a quanto pare AntiVir® is a registered trademark of Avira GmbH, Germany. Ora, essendo questo un problemino che persiste da qualche mese e che avevo finora trascurato, visto che non ha apparentemente nessun effetto sul sistema, non riesco più a ricordare se ho o meno installato recentemente avira antivir. Non mi pare comunque un comportamento da innocuo antivirus.

Provando a eliminare manualmente i file ottengo il solito avviso 'file già in uso da un altro utente e programma'. In più per quello in C:\Programmi\kihbflhq mi si dice anche che è un file di sistema. Wholockme mi informa che a utilizzarli è firefox. In effetti è sempre presente nel taskmgr anche a browser chiuso una istanza di firefox.exe, terminandola è possibile eliminare i file in questione ma ricompaiono poco dopo. Una volta disinstallato firefox a occupare i file è iexplore.exe ossia il browser predefinito del momento.

Inoltre in varie directory più o meno sparse per il pc c'erano svariati file .exe con la medesima "icona" e con la stessa descrizione del suddetto slymhjsb.exe, di nome "nomeapplicazionemgr.exe". Ad esempio in C:\Programmi\Mozilla Firefox c'era firefoxmgr.exe, e nelle relative directories itunesmgr.exe, photoshopmgr.exe eccetera. Questi si sono lasciati eliminare senza problemi e non sono ricomparsi. In C:\WINDOWS abbiamo invece un explorermgr.exe il quale invece si ripresenta a ogni avvio ma anche lui si lascia eliminare senza problemi e pare sia inutilizzato.

Inoltre in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon la chiave Userinit ha valore "C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\Programmi\kihbflhq\slymhjsb.exe". Ogni volta che lo modifico a "C:\WINDOWS\SYSTEM32\Userinit.exe," esso ritorna immediatamente al valore "C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\Programmi\kihbflhq\slymhjsb.exe". Quindi immagino che qualcosa a monte rimodifichi in continuazione questa maledetta chiave di registro. Ho cercato slymhjsb.exe nel registro e ho trovato solo un altro risultato, HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^pc^Menu Avvio^Programmi^Esecuzione automatica^slymhjsb.exe che ho eliminato e che è sparito definitivamente.

Una scansione con PrevX ha individuato i file e le chiavi suddette e pare che questo slymhjsb.exe sia una variante di tale BKAVFIREWALLSERVICEMGR.EXE. Qui il link.

Ho provato con il fidato ComboFix circa un migliaio di volte ma il problema non si è risolto.

Allego il log di HiJackThis.

Le seguenti chiavi una volta fixate ritornano immediatamente:

Codice:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\Programmi\kihbflhq\slymhjsb.exe
O4 - S-1-5-21-1454471165-2147107159-1177238915-1004 Startup: slymhjsb.exe (User '?')
O4 - Startup: slymhjsb.exe

[Chill-Out]

Se desideri fare un controllo approfondito segui la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.