neppure in linux

[ddmaster]

Allora... questa non mi era mai capitata...

Ho il pc di un cliente che... dire che è impastato da virus è un eufemismo...

Il problema sostanzialmente è che questo pc non è praticamente mai stato aggiornato sia nel sistema sia norton... perchè lo usa pochissimo in rete ma in compenso gli ha scaricato anni e anni di prrogrammi provenienti da peer to peer...

Ora.... non si riesce ad aggiornare.... non si riescono a rimuovere certi elementi neppure in modalità provvisoria.... o al prompt dei comandi ma il peggio è che credevo di poter cancellare il tutto almeno facendo partire il pc con linux (knoppix da cd) e invece.... NULLA... neppure con linux è possibile rimuovere quei file o modificarne i permessi.... questa è veramente strana....

ripeto... ho l'abitudine di fare tutte le procedure del caso... ma stavolta me l'hanno fatta veramente difficile...
voi come procedereste

il pc è un compaq presario 700 Athlon 492 XP home sp1 (alla 2 non ci va!!!)

[NetEscape]

Per prima cosa bisogna partire dalle infezioni eventualmente presenti sul pc e rimuovere quelle. Puoi collegarlo ad un altro pc e fare una scansione da li, oppure lanciare HJThis e fare una ricerca con google dei file sospetti (è necessario semplicemente inserire il nome del file completo) per evntuali tool di rimozione. dipende molto dalle tue e dalle sue esigenze.

[ddmaster]

sono cavoli amari...
mi ha trovato oltre ai molteplici malware (qualcosa come 486 oggetti 42 chiavi 200 e rotti valori solo in adaware), anche un certo winik.sys che è un maledetto trojan che modifica le impostazioni a livello di privilegi ed ora neppure entrando in provvisoria come admin non mi permette di modificare ne il registro ne di cancellare i file... regedit mi ha detto "picche" quando ho cercato di eliminare le chiavi... idem hjt quando go cercato di fixare le chiavi... adesso sto provando con una serie di procedure trovate inun forum straniero... poi vi dico...ma sto cavolo di winik.sys è veramente un bel carognone

[ddmaster]

ma non vi dembra comunque strano che linux non riesca a cancellare i file una volta montato correttamente il disco... mah!!! :master:

[billiejoex]

E' raro ma può capitare. Esistono dei "cheats" particolari che si possono fare su NTFS che permettono di allocare files o directory in modo non convenzionale di modo che essi, pur essendo accessibili in lettura (e quindi visibili da qualunque utente) e aventi qualunque tipo di permesso, non possono venire cancellati. Per farti un esempio apri una shell e dai:

md \\.\c:\com1

...per rendertene conto.
Non ho mai capito se sia un bug del file system, della shell, di md.exe o di non so cos'altro. :-\

[amvinfe]

scaricati questi tre programmi sul desktop e dezippali, ognuno dev'essere in una propria cartella nuova.

1
http://www.silentrunners.org/Silent%20Runners.zip

2
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

3
http://www.sysinternals.com/files/rootkitrevealer.zip

Ora con il programma 1
apri la cartella ed esegui il file .vbs (attenzione che alcuni Antivirus, Norton ad esempio, lo riconoscono come script dannoso, nel caso disattiva l'antivirus)

Copia in questa discussione il contenuto del file .txt

Programma 2
apri la cartella ed esegui il file .vbs
all'interno della finestra di dialogo che si aprirà inserisci il nome
winik
clicca su OK
dopo alcuni secondi ti si aprirà una seconda finestra, clicca su OK.
Ti si aprirà WordPad, copia in questo 3d il risultato.

Programma 3
apri la cartella esegui il file rootkitrevealer.exe
da "File" seleziona "Scan", finita la scansione salva il report, posta in questo 3d il risultato presente nel file .txt


Poi, una volta fatti questi passaggi e dopo aver letto i report ti darò se necessario il modo di ripristinare i valori modificati nel registro.




N.B.
Domani (martedì) sarò presente solo per un'oretta verso le 13/13/30
poi sarò presente solo nel tardo pomeriggio

[ddmaster]

eccomi qui dal pc infetto....
una lentezza esemplare ma forse riesco a postare...

risultato del primo script:
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"(Default)" = (empty string)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ {++}
"CPQEASYACC" = "C:\Programmi\Compaq\Easy Access Button Support\StartEAK.exe" ["Compaq Computer Corporation"]
"SynTPLpr" = "C:\Programmi\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programmi\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"srmclean" = "C:\Cpqs\Scom\srmclean.exe" [null data]
"Lexmark X74-X75" = ""C:\Programmi\Lexmark X74-X75\lxbbbmgr.exe"" ["Lexmark International, Inc."]
"NeroCheck" = "C:\WINDOWS\System32\NeroCheck.exe" ["Ahead Software Gmbh"]
"DXM6Patch_981116" = "C:\WINDOWS\p_981116.exe /Q:A" [MS]
"LVComs" = "C:\WINDOWS\System32\LVCOMS.EXE" ["Logitech Inc."]
"ccApp" = ""C:\Programmi\File comuni\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"SSC_UserPrompt" = "C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe" ["Symantec Corporation"]
"(Default)" = """ = (data in unrecognized format!)" [file not found]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]
"sunasDTServ" = "C:\Programmi\Sunbelt Software\CounterSpy Client\sunasDTServ.exe" ["Sunbelt Software Inc."]
"(Default)" = (empty string)
"sunasServ" = "C:\Programmi\Sunbelt Software\CounterSpy Client\sunasServ.exe" ["Sunbelt Software Inc."]
"New.net Startup" = "rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Estensione di icona di HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1040\UNBIND.DLL" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandler s\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMen uHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHa ndlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\PC COMPAQ\Impostazioni locali\Dati applicazioni\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\sspipes.scr" [MS]


Startup items in "PC COMPAQ" & "All Users" startup folders:
-----------------------------------------------------------

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
"Microsoft Office" -> shortcut to: "C:\Programmi\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"Promemoria del Calendario di Microsoft Works" -> shortcut to: "C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"]
"WinZip Quick Pick" -> shortcut to: "C:\Programmi\WinZip\WZQKPICK.EXE" ["WinZip Computing, Inc."]


Enabled Scheduled Tasks:
------------------------

"Norton AntiVirus - Scansione del computer - PC COMPAQ" -> launches: "C:\PROGRA~1\NORTON~1\Navw32.exe /task:"C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]
"Symantec NetDetect" -> launches: "C:\Programmi\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Pa rameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programmi\NewDotNet\newdotnet6_38.dll" ["New.net, Inc."]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Pa rameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\Programmi\NewDotNet\newdotnet6_38.dll ["New.net, Inc."], 01 - 02, 08 - 09
%SystemRoot%\system32\mswsock.dll [MS], 03 - 05, 10 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 06 - 07


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll" [MS]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programmi\Messenger\MSMSGS.EXE" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
Norton AntiVirus Firewall Monitor Service, NPFMntor, "C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe" ["Symantec Corporation"]
Norton Unerase Protection, NProtectService, "D:\Norton Utilities\NPROTECT.EXE" ["Symantec Corporation"]
Servizio Auto-Protect di Norton AntiVirus, navapsvc, ""C:\Programmi\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Speed Disk service, Speed Disk service, "D:\Speed Disk\nopdb.exe" ["Symantec Corporation"]
Symantec Core LC, Symantec Core LC, "C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, "C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 266 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 51 seconds.
---------- (total run time: 899 seconds)

purtroppo devo dividere i due risultati degli script in due post perchè supero i 13000 caratteri

[ddmaster]

SECONDO SCRIPT
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "winik" 12/07/2005 12.59.49

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WINIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WINIK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WINIK\0000]
"Service"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WINIK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WINIK\0000\Control]
"ActiveService"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W inIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W inIK]
"DisplayName"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W inIK\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W inIK\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W inIK\Enum]
"0"="Root\\LEGACY_WINIK\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_WINIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_WINIK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_WINIK\0000]
"Service"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\W inIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\W inIK]
"DisplayName"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\W inIK\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WINIK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WINIK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WINIK\0000]
"Service"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WINIK\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WINIK\0000\Control]
"ActiveService"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WinIK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WinIK]
"DisplayName"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WinIK\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WinIK\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WinIK\Enum]
"0"="Root\\LEGACY_WINIK\\0000"

[HKEY_USERS\S-1-5-21-1241443622-1292286586-3675345140-1006\Software\Microsoft\Windows\CurrentVersion\App lets\Regedit]
"LastKey"="Risorse del computer\\HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet00 1\\Services\\WinIK"

mentre rootkit revealer non parte proprio e mi va in errore...
e si... una vera faticaccia...
grazie ragazzi

[LUCASS]

ciao hai un bel malware in avvio automatico non so dirti come rimuoverlo ma se vuoi puoi leggere un po di informazioni qui
"New.net Startup" = "rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s" [MS]
scusate dell'intromissione ciao ciao a tutti

[amvinfe]

come prima cosa salva il registro (!)

Aggiorna l'antivirus

Ora apri il Notepad ed inserisci queste stringhe, mi raccomando, non sbagliare (!!!)

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WINIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W inIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ LEGACY_WINIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\W inIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WINIK]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WinIK]

[HKEY_USERS\S-1-5-21-1241443622-1292286586-3675345140- 1006\Software\Microsoft\Windows\CurrentVersion\App lets\Regedit]
"LastKey"=-

salva sul desktop il file con questo nome fix.reg

Fai doppio click sul file fix.reg
alla domanda se vuoi approntare le modifiche seleziona "Si", dovrebbe apparire una finestra che ti conferma del successo delle modifiche appena approntate.
Riavvia.

Fai una scansione con l'antivirus.

Posta un log di HijackThis

P.S.
mi sembra superfluo, ma comunque, quando esegui il file .reg va fatto non connesso e con tutti i programmi chiusi, browser compreso