Win32:Small-CKX in C:\windows\spoolsv32.dll

[drago75rm]

scusate ragazzi,
ho fatto una scannerizzazione con avast e ho trovato un virus nel pc, si tratta del trojan: Win32:Small-CKX in C:\windows\spoolsv32.dll

[paniga]

Quindi?
Cosa vuoi sapere in particolare? :master:

[drago75rm]

vorrei sapere come posso togliere quel maledetto virus.
grazie!

[paniga]

Allora carissimo.
Punto primo: hai provato ad utilizzare il buon avast per la rimozione o riparazione del file?Se no quando ti compare l'avviso di notifica di ritrovamento dell'infezione, il programma ti dovrebbe mostrare una finestrella che ti mette a disposizione varie opzioni: "cancella", "ripara", "ignora" "metti in quarantena" eccetera...
In questo caso l'opzione da scegliere è "cancella", essendo il file "spoolsv32.dll" una replica infetta di un file di sistema genuino.
Questo comunque non basta per essere tranquilli.
Per fartela breve,segui la procedura che ti segnalo qui .
In caso di ulteriori problemi, chiedi pure e vedrai che qulcuno risponderà.
Buona giornata.

[drago75rm]

ciao
ho provato a cancellarlo con avast ma non me lo fa cancellare
purtroppo ce l'ho ancora ... .
Grazie.

[paniga]

Allora,proviamo altre soluzioni.
Ti riporto innanzitutto in maniera succinta quanto ho trovato direttamente su questo forum ed in altri (pertanto basta che fai una ricerchina e vedrai che magari trove altre risposte )

1) Riesci ad aprire Hijackthis?(se non l'hai lo scarichi da qui , scompatti l'archivio compresso in una cartella e lo avvii). Se non si avvia passa al punto 2, se siavvia passa al punto 3)

2)Hijackthis è bloccato da un'applicazione installata dal trojan. Per sapere quale sia devi fare
una ricerca nel registro del pc;pertanto fai Start-->esegui... e nella finestrella che si apre scrivi regedit .
Ti si apre un programma con delle belle cartelline gialle sulla sinistra;usando i + portati alla chiave
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Apri la cartellina gialla Winlogon verifica che c'è scritto a livello della voce Userinit; la prima parte sara di certoC:\%WinDir%\system32\userinit.exe, (la virgola è necessaria!!) mentre a seguire ci sarà un'ulteriore porzione di stringa; nel mio caso c'era C:\\WINDOWS\system32\LotusMonitor.exe.
Tu verifica quale voce hai invece; questa applicazione dovrebbe essere attiva tra i tuoi processi.
Per verificarlo fai CTRL+Alt+Canc per aprire il Task Manager di Windows e seleziona la linguetta "processi": individua il processo e terminalo .

Ritorna su "regedit" riportandoti su
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Clicca 2 volte su Userinit; ti si apre una finestrella di modifica stringa; cancella tutto quello che sta oltre "c:\windows\system32\userinit.exe,"(mi raccomando lascia pure la virgola!)

Scarica quindi "The Avenger "
scompattalo ed avvialo.
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre lafinestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice
Files to delete:
C:\\WINDOWS\nome dell'eseguibile da eliminare compreso d'estensione

Il file da cancellare e il percorso da mettere sono gli stessi che hai trovato prima a livello della voce Userinit nel registro,ovviamente.
Passa al punto 3.

3)Scarica GMER da qui.
fai una scansione del sistema - abilitando la scansione negli ADS - e rimuovi con il tasto destro e la voce delete, se compare, il file lzx32.sys se viene individuato; nella tab SERVICES, sempre nel programma GMER, cerca il servizio denominato PE386 ed eliminalo come hai fatto per lzx32.sys.

4)Apri di nuovo il registro di sistema (regedit) e cerca la chiave di registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run\“1 = Service32.exe” o “1 = Winsys.exe”
ELIMINALA

5)Cerca nel pc un file che si chiama 12201[numeri_casuali].dll; se lo trovi, usa sempre regedit e cerca la chiave:
HKEY_CLASSES_ROOT\CLSID\{14D1A72D-8705-11D8-B120-0040F46CB696}
ELIMINALA

6)Al riavvio del PC cancella il file service32.exe (o winsys.exe)

Ti consiglio pure di andare su "prevx.com" o sul sito di Symantec e cercare i kit di rimozione di "link optimizer" e "rustock", che sono rootkit (ossia un tipo di malware) spesso in accompagnamento a Small.
Per usarli segui le istruzioni.
Se hai bisogno posta.
Ciao