Ho provato a fare la scansione con bitdefender , ma mi si pianta a un certo punto.
Ho invece scaricato ewido e provveduto a fare una scansione, anche in mod. provvisoria; mi ha trovato alcuni cookie da eliminare (roba vecchia, comunque) ma niente altro; messi i cookie in quarantena, il problema rimane.
Il log di hijackthis (premetto che ho anche reinstallato windows - le ho provate proprio tutte ):
Logfile of HijackThis v1.99.1
Scan saved at 21.11.51, on 10/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Eset\nod32krn.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S 2.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Documents and Settings\tiziano\Desktop\Documenti\hijackthis\Hija ckThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S 2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: NOD32 Control Center.lnk = C:\Programmi\Eset\nod32kui.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1149819389937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1149888564984
O17 - HKLM\System\CCS\Services\Tcpip\..\{5009D20A-3623-4873-A012-2BD5B2E2B37C}: NameServer = 85.37.17.55 85.38.28.93
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe


L'unica voce che mi viene segnalata come sospetta é la 017, che ho provato + volte inutilmente a fixare ma viene puntualmente riscritta ogni volta che mi connetto a internet; visto che ne il nod32 ne ewido hanno trovato virus, suppongo sia una voce lecita (anche se le perplessitā rimangono).

Per quel che riguarda il problema in oggetto riepilogo un attimo:

a ogni riavvio del pc mi viene creato in una qualsiasi sottocartella di c:\programmi un file eseguibile di 64 kb (un settore del disco direi), con nome ripreso da uno qualsiasi dei file giā presente nella cartella, data di creazione SEMPRE 27/04/2006 ore 21 e rotti.

Me ne accorgo usando procexp, che mi segnala il file in questione caricato in memoria; osservando le proprietā del programma da procexp, pare ci sia una connessione con un programma presente nella cartella ..\temp\autoit, autoit.exe, che ho inutilmente tentato di cancellare (a ogni riavvio anche quello ricompare).

Il file creato e caricato in memoria , appena mi connetto a internet, apre una serie di porte dirette a indirizzi IP forse casuali, bloccate solo dal firewall. Sono pertanto costretto ogni volta a cancellarlo dalla memoria con procexp e a cancellare il file dal disco.

Ho fatto una ricerca di tutti i file con data e ora di creazione uguali (27/04/2006 ore 21..); ho trovato una lunga serie di file A0001104.exe in cartelle "system volume information", tutti di 64 kb. (penso siano relativi al ripristino conf. sistema, che ho disattivato subito dopo), + un file DC24.exe ; ho cancellato tutto, ma il problema ancora rimane!!!
Un ultima cosa: nella cartella programmi ho 2 file nascosti, com4.exe e nul.exe, non cancellabili; non so se hanno una qualche relazione col problema...?

E' quasi una settimana che ci impazzisco!!! AIUTO!!!