Questi due processi chiedono al mio Zone Alarm di accedere alla rete, ne sapete qcosa?
Su Google, in italiano, niente! In inglese e tedesco, qualcosa...
Cmq sto provando spybot e hijackthis!

Questo è il log di hijackthis, dopo aver scansionato gli hdd con spyBot e Ad-Aware...

che ne pensate?

Logfile of HijackThis v1.98.2
Scan saved at 21.56.58, on 12/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\winsocker.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\mgabg.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchosts.exe
C:\WINDOWS\System32\msiexec.exe
C:\Documents and Settings\bompis\Impostazioni locali\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft WinUpdate] svchosts.exe
O4 - HKLM\..\Run: [Microsoft Update] winsocker.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\RunServices: [Microsoft WinUpdate] svchosts.exe
O4 - HKLM\..\RunServices: [Microsoft Update] winsocker.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] winsocker.exe
O4 - HKCU\..\Run: [Microsoft WinUpdate] svchosts.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE

Ciao,

attenzione: nel tuo log ci sono dei processi svchosts.exe ed altre cosette che riconducono a qualche variante del trojan sdbot

Un'occhiata qui: http://securityresponse.symantec.com/avcenter/venc/data/backdoor.sdbot.t.html

Fai un passaggio con un buon antivirus aggiornato dalla mod. provvisoria naturalmente dop aver cancellato tutti i temporanei, i temp di internet e disattivato il system restore.

Edit: Un bun antivirus on line è questo: http://it.trendmicro-europe.com/consumer/products/housecall_it.php

Contro SDBOT è buono anche lo stinger: http://vil.nai.com/vil/stinger/
... sempre da modalità provvisoria

...ho controllato bene le indicazioni della symantec, sono molto
dettagliate.
In effetti gli eseguibili nel log di hijack non sono gli stessi
indicati per questo trojan.

Ecco i colpevoli indicati da symantec
Winsock2 driver"="kgzgjkpcw.exe"
Winsock2 driver"="ZONEALARM.EXE"

Ed ecco invece quello che ho io, anche nel registro di sistema:

O4 - HKLM\..\Run: [Microsoft WinUpdate] svchosts.exe
O4 - HKLM\..\Run: [Microsoft Update] winsocker.exe

Il primo è un generico processo del so, può essere associato a diversi eseguibili, in effetti anche pericolosi, ma sul pc possono comparirne diversi, anche tutti innoqui.
Il secondo si occupa della funzione "windows update".

Per quel che riguarda zonealarm.exe, in effetti è un file maligno, ma io ne ho uno dal nome diverso, contenuto nella legittima cartella di zonealarm.

Insomma, dovrei essere pulito, come hanno già sentenziato spybot, ad-aware e stinger.
Tuttavia sto scansionando, proprio ora, col sw online della trend.

Ho cancellato i file temporanei internet, l'unica cosa è che non riesco ad avviare in modalità provvisoria: dopo averla scelta, il pc s'incanta su schermata nera e cursore lampeggiante, in alto a sx.

Ti faccio sapere, grazie mille!

Anche la scansione online della Trend dice che è tutto a posto.
Cmq continuerò a stuiare la situazione.
Vorrei capire il problema della modalità provvisoria che non riesco ad attivare...

[QUOTE]Ed ecco invece quello che ho io, anche nel registro di sistema:

O4 - HKLM\..\Run: [Microsoft WinUpdate] svchosts.exe
O4 - HKLM\..\Run: [Microsoft Update] winsocker.exe

Il primo è un generico processo del so, può essere associato a diversi eseguibili, in effetti anche pericolosi, ma sul pc possono comparirne diversi, anche tutti innoqui.
Il secondo si occupa della funzione "windows update/[QUOTE]

Attenzione,

per come la so io:

svchost.exe è un processo legittimo

mentre

svchosts.exe con la "S" finale è un malware!

Inoltre

winsock.exe è regolare

mentre

winsocker.exe è sconosciuto imho fortemente sospetto

Ciao, ;) buon lavoro

Quella "s" finale mi era sfuggita!
Ho appena tolto il permesso di accedere alla rete a quei due processi, solo non mi spiego perchè tutte le scansioni che ho fatto, anche in modalità provvisoria finalmente, non abbiano riscontrato nulla.

Continuerò a cercare, grazie.

Sono riuscito ad eliminare sia winsocker.exe che svchosts.exe, effettivamente rivelatisi dei file malevoli.
Si trattava di due varianti del Gaobot, in particolare
W32/Gaobot.AFV.worm
W32/Gaobot.gen.worm
rilevati ed eliminati dal servizio di scansione online di PANDA ANTIVIRUS.

Norton, sempre online, ne aveva rilevato uno, ma il tool di romozione gratuito non aveva funzionato.
McAfee, sempre online gratuitamente, li rilevava entrambi, senz aperò offrire una soluzione gratuita.

PANDA ha anche rilevato un altro virus, finora sfuggito alle molte scansioni fatte, online e non.
Virus:Trj/Libie.A in G:\syslibie.dll, nel terzo hd di questa macchina, davvero infestato!

Bene, spero sianonotizie utili.
Vorrei inoltre segnalare questi due link:
- http://www.mvps.org/sramesh2k/Scanners.htm
- http://www.computerselect.com/getmoreinfo.cfm?sid=40&level=1

Davvero utilissimi!