Win32.Agent.RK.. e altre presenze!!

[ccarrano]

Carissimi,
sono in cerca di benevolo aiuto: dopo pluriennale ed onorata carriera, anch'io ho beccato una bella infezione virale e non posso che aspirare ad una Vs mano tesa per aiutarmi.
Anzitutto allego il log di HijackThis.
Sono su un Pc con Windows 2003 Server Enterprise, aggiornatissimo e con antivirus ed antimalware vari (NOD32, Ad-Aware, Spyware Doctor, XoftSpySE).
Tutto è cominciato (almeno in apparenza) qualche giorno fa, quando IE ha cominciato a fare i capricci (links non più funzionanti, impossibilità a stampare, ...). Con Spyware Doctor ho rilevato la presenza di Trojan.Jakposh che è stato eliminato. Visto che i sintomi di IE persistevano lo ho reinstallato e tutto è sembrato andare a posto.
Al primo riavvio, però, NOD32 mi ha segnalato la presenza di Win32.Agent.RK nel file C:\Programmi\File Comuni\System\NTQgBT.exe (tentativo di accesso a c:\windows\system32\services.exe), proponendone la cancellazione.
Tale cancellazione mi veniva poi notificato che sarebbe stata eseguita al prossimo avvio del sistema.
Riavviando nuovamente non ricevevo nuove segnalazioni di NOD32 (solo da Ad-Aware, che segnalava un tentativo di accesso al registry che ho bloccatto).
Verificando, però, il programma NTQgBT.exe in questione era ancora lì, protetto da qualsiasi accesso (non rinominabile, non cancellabile, non analizzabile da NOD32).
Tentavo anche in modalità provvisoria la cancellazione: niente da fare a causa del solito "access denied".
In più, nella stessa cartella C:\Programmi\File Comuni\System\ notavo altri programmi di dimensioni varie e con nomi random (QxJLO.exe, ZmJc.exe, etc), tutti non accessibili come NTQgBT.exe e tutti con la stessa data (25/07/2006).
Questa data mi ha fatto pensare ad un processo che avevo notato tramite il task manager: Philips-Center.exe... Questo si trovava in C:\Windows\ ed aveva anche lui data 25/07/2006 e non era cancellabile (neppure in modalità provvisoria). Sono solo riuscito a rinominarlo (ora si chiama kakkio.kkk) ma continuo a non poterlo cancellare x il solito Access Denied.
Mi fermo qui x non dilungarmi troppo, ma resto in attesa di suggerimenti o richieste di ulteriori precisazioni.
Intanto un grazie di cuore anche per il solo avermi letto fin qui...

[darnota]

trovo difficile che qualcuno apra un files zip in teoria potrebbe essere infetto ti suggerisco di seguire queste indicazioni
http://forum.swzone.it/showthread.php?t=52573

[ccarrano]

Chiedo perdono...
Riecco il log in allegato e, questa volta, in formato txt.
Scusate ancora e grazie del suggerimento.

[darnota]

piccole anomalie da controllare
intanto elimina questo sconosciuto
O16 - DPF: {E53458D2-5A83-4BD1-8DE2-EEEBE73BAB77} -
controlla gli altri 016

questa è roba tua
O23 - Service: NTRsupport Installable RC (installablerc) - Net Transmit & Receive - C:\Programmi\NTRsupport Installable RC\installablerc.exe
O23 - Service: NTRadmin (ntradmin) - Net Transmit & Receive - C:\Programmi\NTR global\NTRadmin\ntradmin.exe
controlla se si sono aperti nuovi servizi da parte dei trojan

[frabi]

ccarrano benvenuto.
Consiglio la lettura del regolamento perchè rischi che ti vengano chiuse le discussioni con simili titoli.

Lo modifico io visto che sei al primo post