la schermata grigia (message box?) immagino si riferisca alla chiamata di avvio dell'eseguibile infetto inserita nel system.ini
la puoi rimuovere manualmente oppure sempre con hijackthis
il services.exe corretto è posto in system32, non in windows, e NON devi ripristinare nulla poichè il vero services.exe si avvia sicuramente (controlla con task manager o con hijackthis se esiste questo processo attivo "C:\WINDOWS\system32\services.exe")
vale come consiglio generale per gli eventuali futuri problemi, è preferibile usare un programma per terminare i processi maligni ben più potente del task manager come ad esempoi il
procexp oppure
autoruns, entrambi citati nell'articoletto che ti ho linkato prima (e segnalati in news gli step di aggiornamento).
le rimozioni vanno sempre fatte da mod. provvisoria oppure con l'avvio di un'ambiente di tipo "live" (es: bartpe, winpe, etc.) oppure dal cd di xp
ciao
