Caro Alfonso, ho rimosso quanto specificato, ma l'Avg non mi fa ancora aprire la cartella di restore e ciò mi sembra strano, così non ho modo di capire se ho ancora il trojan e comunque Zone alarm nel settagio dei programmi tra i vari che potrei autorizzare all'accesso ad Internet mi elenca anche mssupdate.exe che avevo rimosso anche dal cestino!!!! Comunque resta il fatto che l'AVG non mi fà fare la scansione in modalità provvisoria e mi dice "DRIVER(CORE) nOT FOUND WINERR=2" e quindo non parte..
Per ultimo quando sono connesso ad internet Zone alarm mi avverte ripetutamente che l'ip 151.6.159.250 è stato bloccato

Logfile of HijackThis v1.98.2
Scan saved at 17.19.47, on 18/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programmi\TRUST\Bluetooth Software\bin\btwdins.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Programmi\Trust\250S Series\lwbwheel.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\TRUST\Bluetooth Software\BTTray.exe
C:\Programmi\Microsoft Encarta\Encarta Enciclopedia Plus DVD\EDICT.EXE
D:\documenti d\programmi\NON INSTALLATI\HiJackThis 1.98.2\HijackThis.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.clicktel.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\TRUST\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\TRUST\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\TRUST\Bluetooth Software\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.clicktel.it

Nel log non si cono programmi spia, ma potresti essere infetto da un virus, in questo caso il log non serve a nulla.

Nella cartella RESTORE nessun programma Antivirus può andare a correggere o eliminare qualcosa in quanto si tratta di una cartella protetta.

Se hai eseguito quanto ti ho indicato, ti dicevo di disattivare il ripristino di configurazione, questa procedura svuota completamente la cartella _RESTORE e qualsiasi virus in esso contenuto verrebbe cancellato.

In Modalità Provvisoria, prova a usare i due programmi di rimozione virus che trovi in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=381&SH=N

---

alfonso_aiutamici@hotmail.it

Forse stavolta è fatta, ecco cosa ha trovato STINGER
McAfee AVERT Stinger Version 2.4.6 built on Dec 14 2004

Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved.

Virus data file v1000 created on Dec 14 2004.

Ready to scan for 47 viruses, trojans and variants.



Scan initiated on Sat Dec 18 19:24:06 2004

C:\WINDOWS\system32\c.bat

Found the W32/Sdbot.bat.b virus !!!

C:\WINDOWS\system32\c.bat has been deleted.

C:\WINDOWS\system32\mssupdate.exe

Found the W32/Sdbot.worm.gen.j virus !!!

C:\WINDOWS\system32\mssupdate.exe has been deleted.

Number of clean files: 51280

Number of infected files: 2

Number of files deleted: 2



Scan initiated on Sat Dec 18 20:01:05 2004

Number of clean files: 92486


Speriamo di avercela fatta, comunque grazie!!!!!!