Scarica Avenger, SmitfraudFix e CCleaner.

Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"

Fai questo intervento con molta cura:
apri il registro -> Start / Esegui, digita regedit e dai l'ok
- Portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

- Seleziona la cartella in grassetto e nel pannello di destra trova "Userinit "
- Cliccaci sopra due volte e, nella finestra che si apre, ti comparira' scritto:

C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System 32\ntos.exe,

evidenzia ed elimina SOLO C:\WINDOWS\system32\ntos.exe,

ATTENZIONE a non eliminare tutto il valore altrimenti il computer non sarà più in grado di riavviarsi!

Devi eliminare solo la voce infetta: C:\WINDOWS\system32\ntos.exe,

la chiave dopo la modifica deve rimanere cosi :
c:\windows\system32\userinit.exe, (compreso la virgola)

Eventualmente dovessi cancellare anche c:\windows\system32\userinit.exe,
devi riscriverlo con molta attenzione.

Poi chiudi il registro di sistema.

Lancia Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"
O2 - BHO: e404 helper - {A3D76B96-30B9-4DCC-9B3D-D12E31280D29} - C:\Programmi\Helper\1204041889.dll
O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} - C:\Programmi\Helper\1204041937.dll
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-ABCD-7DD20B8622FF} - C:\Programmi\Helper\1202159786.dll
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O23 - Service: Distributed Allocated Memory Unit - Unknown owner - C:\WINDOWS\system32\dllcache\mravsc32.exe sophos

Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra "Wiew/edit script" copia/incolla:
files to delete:
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\system32\dllcache\mravsc32.exe
C:\WINDOWS\System32\ntos.exe

folders to delete:
C:\Programmi\Helper
Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Entra in modalità provvisoria ed esegui SmitfraudFix.
Seleziona l'opzione 2 (Clean) e premi invio.
Alla domanda "Registry cleaning - Do you want to clean the registry ?", rispondi "Y" e dai l'invio.
Il computer si riavviera' per completare il processo di pulizia (altrimenti riavvialo tu in modalita' normale).
Sul desktop verra' visualizzato un file di testo con risultati (C:\rapport.txt). Posta il log di SmitfraudFix

Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.

Posta anche un nuovo log di hjt.