Carissimi,
sono in cerca di benevolo aiuto: dopo pluriennale ed onorata carriera, anch'io ho beccato una bella infezione virale e non posso che aspirare ad una Vs mano tesa per aiutarmi.
Anzitutto allego il log di HijackThis.
Sono su un Pc con Windows 2003 Server Enterprise, aggiornatissimo e con antivirus ed antimalware vari (NOD32, Ad-Aware, Spyware Doctor, XoftSpySE).
Tutto è cominciato (almeno in apparenza) qualche giorno fa, quando IE ha cominciato a fare i capricci (links non più funzionanti, impossibilità a stampare, ...). Con Spyware Doctor ho rilevato la presenza di Trojan.Jakposh che è stato eliminato. Visto che i sintomi di IE persistevano lo ho reinstallato e tutto è sembrato andare a posto.
Al primo riavvio, però, NOD32 mi ha segnalato la presenza di Win32.Agent.RK nel file C:\Programmi\File Comuni\System\NTQgBT.exe (tentativo di accesso a c:\windows\system32\services.exe), proponendone la cancellazione.
Tale cancellazione mi veniva poi notificato che sarebbe stata eseguita al prossimo avvio del sistema.
Riavviando nuovamente non ricevevo nuove segnalazioni di NOD32 (solo da Ad-Aware, che segnalava un tentativo di accesso al registry che ho bloccatto).
Verificando, però, il programma NTQgBT.exe in questione era ancora lì, protetto da qualsiasi accesso (non rinominabile, non cancellabile, non analizzabile da NOD32).
Tentavo anche in modalità provvisoria la cancellazione: niente da fare a causa del solito "access denied".
In più, nella stessa cartella C:\Programmi\File Comuni\System\ notavo altri programmi di dimensioni varie e con nomi random (QxJLO.exe, ZmJc.exe, etc), tutti non accessibili come NTQgBT.exe e tutti con la stessa data (25/07/2006).
Questa data mi ha fatto pensare ad un processo che avevo notato tramite il task manager: Philips-Center.exe... Questo si trovava in C:\Windows\ ed aveva anche lui data 25/07/2006 e non era cancellabile (neppure in modalità provvisoria). Sono solo riuscito a rinominarlo (ora si chiama kakkio.kkk) ma continuo a non poterlo cancellare x il solito Access Denied.
Mi fermo qui x non dilungarmi troppo, ma resto in attesa di suggerimenti o richieste di ulteriori precisazioni.
Intanto un grazie di cuore anche per il solo avermi letto fin qui...
Segnalibri