Invasione di cartelle bak e programmi fittizzi

[Inuyasha89]

Salve, stamattina, appena ho acceso il pc ho trovato una strana incongruenza.
Non si apriva eMule, e non si erano aperti automaticamente neanche lo spyware Spybot e l'antivirus con il proprio centro di controllo (e non l'antivirus che scansiona, ma l'eseguibile che monitora il pc e che effettua aggiornamenti ecc., preciso che uso AVG 7.5)

Provo allora a far partire questi programmi manualmente, ma niente. Non girano.
Provo a scansionarli con AVG, ma niente. Non sono infetti.
Poi l'incongruenza fatale...sia nella cartella di emule che in quella di avg c'è una cartella chiamata bak. Contengono i file emule.exe e avgcc.exe.
Quindi viene spiegato il fatto per cui non sono partiti automaticamente all'avvio. Windows non li trovava. Ma nelle cartelle dove si trovavano prima c'è una copia degli stessi...ma non si eseguono, e non hanno neanche l'icona.

Adesso quello che mi chiedo è: ma chi ha creato ste cazzo di cartelle a rompermi i coglioni?
Di certo non io...e qui penso a qualche virus che mi ha colpito. Proprio ora sto facendo eseguire una scansione, ma non credo troverò qualcosa. Forse sarò più fortunato dopo eseguendo Spybot.

Cmq quello che è più grave è che questi 2 programmi che sostituiscono emule e avgcc hanno lo stesso nome dei precedenti (facendo capire all'utente che niente è stato cancellato). Inoltre questi programmi fittizzi hanno le stesse specifiche.
Ecco le proprie caratteristiche (in pratica cambia solo il nome):


Incuriosito dalla gravità dei fatti allora voglio sapere anche in quali altre cartelle è accaduto il misfatto...mi sono cadute le mani:


Alcune di queste cartelle sono vuote, in altre invece ci sono i programmi originali che sono stati sostituiti.
Ed i programmi che queste fottute copie cercano di sostituire sono:
emule e avg già menzionati
teatimer di spybot (pure lo spyware hanno toccato...bastardi...teatimer è quello che monitora il pc, praticamente chi ha fatto questo ha sabotato gli eseguibili che monitorano il pc)
ctfmon (qui ho molta paura, questo è un file di sistema, però da una parte sto tranquillo perchè la copia fittizzia in system32 non c'è, ma c'è l'originale, perchè le specifiche non sono dello stesso file considerato sopra e ha la propria icona)
PDVDserv (un file di PowerDVD)
HPWuSchd2 (file associato alla periferica stampante/scanner/fotocopiatrice all in one HP)
Nerocheck e NMbgMonitor (si trovano in Ahead, ma non so cosa siano)
Realsched (anche questo non so cosa sia, ma nel tipo di file c'è scritto realNetwork...)

Prima di rimettere tutto al proprio posto vorrei fare una scansione con spybot, mettendo solo spybot al proprio posto (in questo momento sto ancora effettuanto la scansione con AVG). E vorrei anche sapere da voi chi cazzo può aver combinato questo...e come posso debellare perchè in futuro non accada più...

Grazie.

edit: ho appena finito con AVG, come credevo dice che tutto è apposto...ora eseguo Spybot, mettendolo prima al proprio posto...

edit2: ecco il responso di spybot:

Anche qui credo non sia stato trovato niente, perchè quelle voci mi escono sempre...

[Fenris]

A volte mi succede dopo aver scansionato con nod32. I file disinfettati vengono posti in queste cartelle bak e al loro posto vi sono file con lo stesso nome ma non eseguibili.

[Inuyasha89]

A volte mi succede dopo aver scansionato con nod32. I file disinfettati vengono posti in queste cartelle bak e al loro posto vi sono file con lo stesso nome ma non eseguibili.

E allora come si risolve il problema?

[Fenris]

E allora come si risolve il problema?

Io mi limito a fare una ricerca delle cartelle bak e ripristinarne i file. Non conosco le impostazioni per NOD32 per impedire questo strano modus operandi, però se non viene trovato nulla non lo fà.