dialer ?

[KID.A]

ciao,
da 2 giorni, mi succede che quando sono connesso con Explorer, dopo qualche minuto la connessione cade, e cerca di riconnettersi con l'accesso remoto predefinito.

Il fatto è che, al tentativo di ri-connessione, mi dice:

Il modem è già in uso o non è configurato per le chiamate in uscita con Accesso remoto

Vado a controllare gli account di AccessoRemoto e trovo un nuovo account NON creato da me:
nome: "au"
numero: "0" (e basta)

Poi provo a riconnettermi, funziona e l'account "au" è sparito...???
(da scansione AV nulla, da netstat neppure)
...ASPETTA stavolta nei Processi attivi è comparso "au.EXE" !
è posizionato in C:\WINNT\system32\ShellExt
Cosa può significare? la rimozione basterà ? (da qui sembrerebbe Worm con funzione pure di Backdoor...ma i sintomi non corrispondono al mio caso...compare e scompare? e poi non ho neppure i sintomi indicati da Dylan ne suo help spyware
e perché McAfee non lo rileva ?)
AU.exe, apperto con Notepad, ultime righe parzilam. leggibili:

D V C L A L  P A C K A G E I N F O  P A R A M S 
Ü

ì
&
ô
3
ü
?

J
X
h
v
„
”
¤
KERNEL32.DLL advapi32.dll oleaut32.dll shell32.dll user32.dll LoadLibraryA GetProcAddress ExitProcess RegCloseKey SysFreeString ShellExecuteA SetTimer

in più ho trovanto in C:\WinNT un file "VSRUNNER.exe", che era sempre presente nei Processi, (se non ricordo male, era comparso dopo che avevo spostato da c:\WinNT il precedente file "msorunner.exe")e che ha le stringhe finali così:
[quote] à PE-PACK: MEMORY ALERT PE-PACK: IMPORT LDR ERROR Memory allocation failed! Unable to load %s %s not found in %s Ordinal %.4Xh not found in %s ÿ¥¥ ÿ¥© ÿ¥™ ÿ¥

[KID.A]

?

vi aggiungo che, tolto vsrunner.exe, chiavi relative,
au.exe non si è (sinora) più ripresentato...
però vorrei capire meglio perché si erano verificate quelle strane cose (trojan per metà, dialer solo per metà...)