PDA

Visualizza versione completa : Trojan.Win32.Buzus.jrd


brownsugar
27-09-2008, 23.20.10
ft secure ha trovato questo trojano ma non lo rimuove. che mi suggerite?
grazie in anticipo.

cascavel
28-09-2008, 01.14.51
ft secure ha trovato questo trojano ma non lo rimuove. che mi suggerite?
grazie in anticipo.
ciao scarica hijackthis http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe avvialo e seleziona la voce do a systemscan and save a logfile allega il log creato al prossimo post

leofelix
28-09-2008, 05.33.37
ben ritrovata brownsugar,

qui il solito "angelino" (del pronto soccorso notturno) che ti informa che quel trojan ha un modo di fare decisamente poco simpatico

http://www.emsisoft.it/it/malware/?Trojan.Win32.Buzus.jrd

--------------

Segui intanto le le richieste di cascavel che ti condurranno verso la giusta direzione
--------------
ho in ogni caso motivo di credere che il gratuito Kasperky Removal tool sia in grado di rimuovere quello ed altri rospi e che puoi scaricare direttamente da qui nella versione più recente

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

o da qui

http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/

Non temere che non crea conflitti con altri antivirus generalmente, quando ha terminato la scansione, e dopo aver rimosso il malware trovato clicca sulla crocetta in alto la finestrella, lo strumento ti chiederà se vuoi disinstallarlo (clicca su yes)

piccolo manuale by megalab.it (R) (http://www.megalab.it/2894)


P.S dimenticavo, ma poi un antispyware (oltre all'antivirus) lo hai più installato? e soprattutto sarà tempo per i famosi friarelli?

brownsugar
28-09-2008, 18.00.43
io lo attacco, ma e' un delirio!!! ora provo pure a fare quello che ha suggerito angelino-leofelix
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.58.26, on 28/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programmi\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programmi\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programmi\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programmi\F-Secure\Anti-Virus\fssm32.exe
C:\Programmi\F-Secure\Common\FSMA32.EXE
C:\Programmi\F-Secure\Common\FSMB32.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\F-Secure\Common\FCH32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\F-Secure\Common\FAMEH32.EXE
C:\Programmi\F-Secure\Anti-Virus\fsqh.exe
C:\Programmi\F-Secure\Anti-Virus\fsrw.exe
C:\Programmi\F-Secure\Anti-Virus\fsav32.exe
C:\Programmi\F-Secure\Common\FNRB32.EXE
C:\Programmi\F-Secure\FWES\Program\fsdfwd.exe
C:\Programmi\F-Secure\Common\FIH32.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\F-Secure\Common\FSM32.EXE
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programmi\Windows Live\Family Safety\fssui.exe
C:\PROGRA~1\F-Secure\ANTI-S~1\fsaw.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\F-Secure\FSGUI\fsguidll.exe
C:\Programmi\Mail.Ru\Agent\MAgent.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\Programmi\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows Live Toolbar\msn_sl.exe
C:\Documents and Settings\caterina\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live OneCare Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Programmi\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ???????@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Programmi\Mail.Ru\Sputnik\MailRuSputnik.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Ñïóòíèê@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Programmi\Mail.Ru\Sputnik\MailRuSputnik.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmi\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmi\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [fssui] "C:\Programmi\Windows Live\Family Safety\fssui.exe" -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MAgent] C:\Programmi\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\Programmi\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
O8 - Extra context menu item: &Block this popup - C:\Programmi\F-Secure\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programmi\F-Secure\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programmi\F-Secure\Anti-Spyware\ieshield.dll
O9 - Extra button: Mail.Ru ????? - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Programmi\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru ????? - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Programmi\Mail.Ru\Agent\magent.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-9148b7578426f76e.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {B516CA4E-A5BA-405C-AFCF-A97F08CC7429} (GoBit Games Player) - http://www.gamehouse.com/realarcade-webgames/burgershop/GoBitGamesPlayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\Programmi\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programmi\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programmi\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmi\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmi\F-Secure\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe

--
End of file - 9888 bytes

leofelix
28-09-2008, 22.07.19
allora, qui navigo molto lentamente al momento (sono temporaneamente privo di ADSL)

noto questo programma che non conosco in esecuzione automatica
O4 - HKLM\..\Run: [MAgent] C:\Programmi\Mail.Ru\Agent\MAgent.exe -LM
e che ha installato anche altra roba che non mi convince.
Ma potrebbe essere del tutto legittimo

Sai di cosa si tratta, Katijusha?

Inoltre vedo che oltre al f-secure è installato anche questo prodotto di sicurezza della Microsoft

O4 - HKLM\..\Run: [fssui] "C:\Programmi\Windows Live\Family Safety\fssui.exe" -autorun

(probabilmente è stato installato inavvertitamente assieme a Windows Live Messenger, ma non serve affatto per il corretto funzionamento del programma di messaggistica immediata MS)...

Forse sarebbe bene disinstallare intanto il secondo, onde evitare conflitti e false rilevazioni.
Quindi ripetere la scansione con f-secure aggiornato.
Aggiungerei anche una scansione rapida con l'antispyware MalwareBytes'AntiMalware (non va certo in conflitto con f-secure ne' con altri antivirus)
che puoi scaricare da qui

http://www.gt500.org/malwarebytes/mbam-setup.exe

(2 MB - fa miracoli)

Cosa ti ha detto il tool della Kasperky?

un angiolesco saluto - Sir Leofelix

brownsugar
29-09-2008, 19.33.45
allora, procedo a rilento, perche' questo e' il computer delle mie figlie, e non e' facile convincerle a tenere giu' le mani mentre funziona l'antivirus.
il mail ru e' un programma tipo msn russo, che usa il mio figlio part time bielorusso.
non so come disinstallare family security.
ho provato a fare il kaspersky sull'utenza di una delle ragazze. ora provo sull'altra.
poi procedo a mettere in pratica gli altri suggerimenti.
grazie.

allora, qui navigo molto lentamente al momento (sono temporaneamente privo di ADSL)

noto questo programma che non conosco in esecuzione automatica
O4 - HKLM\..\Run: [MAgent] C:\Programmi\Mail.Ru\Agent\MAgent.exe -LM
e che ha installato anche altra roba che non mi convince.
Ma potrebbe essere del tutto legittimo

Sai di cosa si tratta, Katijusha?

Inoltre vedo che oltre al f-secure è installato anche questo prodotto di sicurezza della Microsoft

O4 - HKLM\..\Run: [fssui] "C:\Programmi\Windows Live\Family Safety\fssui.exe" -autorun

(probabilmente è stato installato inavvertitamente assieme a Windows Live Messenger, ma non serve affatto per il corretto funzionamento del programma di messaggistica immediata MS)...

Forse sarebbe bene disinstallare intanto il secondo, onde evitare conflitti e false rilevazioni.
Quindi ripetere la scansione con f-secure aggiornato.
Aggiungerei anche una scansione rapida con l'antispyware MalwareBytes'AntiMalware (non va certo in conflitto con f-secure ne' con altri antivirus)
che puoi scaricare da qui

http://www.gt500.org/malwarebytes/mbam-setup.exe

(2 MB - fa miracoli)

Cosa ti ha detto il tool della Kasperky?

un angiolesco saluto - Sir Leofelix

leofelix
30-09-2008, 03.34.17
I programmi possono essere disinstallati Start>Impostazioni>Pannello di Controllo>"Aggiungi Rimuovi Programmi" (in XP), in Vista sempre da pannello di controllo alla voce "Programmi e funzionalità".
Alle volte è disponibile un "uninstaller" presente nel menu programmi
Se hai ancora il REVO UNINSTALLER che ti avevo indicato ai tempi dei Babbà, puoi usare quello, anzi secondo me è preferibile.

Ma non ho capito se lo strumento gratuito offerto dalla Kasperky ha rilevato l'infezione e se l'ha eventualmente rimossa.

Generalmente quando si ha il sistema compromesso da infezioni conclamate da minacce particolarmente pericolose, è bene disattivare temporaneamente il "ripristino di configurazione" (*), quindi ci si dovrebbe disconnettere dalla rete, e utilizzare gli strumenti di rimozione specifici e altre ferraglie che ora non sto qui a spiegare o la farei troppo lunga.

Dal log di HiJackThis non mi sembra emergano segni di infezione (mentre invece ci sono troppi programmi in esecuzione automatica che appesantiscono il sistema e potrebbero renderlo instabile) questo purtroppo significa poco, se la minaccia è invisibile (come nel caso delle rootkit ** ) allora è necessario procedere in altro modo e con altri strumenti.

dalla redazione notturna di leofelix, per il momento è tutto, vi terremo aggiornati nelle prossime edizioni speciali, linea analogica permettendo


(*) http://it.wikipedia.org/wiki/Rootkit

(**) http://www.sicurezzainrete.com/disabilitare_system_restore.htm

brownsugar
03-10-2008, 23.13.05
Non ho ancora provato tutti i trucchi suggeriti. Non ho ancora disintallato windows family security, ma ho fatto una scansione con spyboot search and destroy e ha trovato due spyware nei files di registro di windows, che ha rimosso. karspersky non trova nulla, ma invece ft secure continua a trovare questi trojani, ma non li rimuove.
non sono cosi' brava da identificare i programmi in esecuzione automatica per sfoltire i processi che vengono avviati automaticamente. suggerimento?
nel frattempo, il pc continua a non spegnersi agevolmente.
per quale motivo dovrei disattivare il ripristino di sistema? in che fase delle operazioni che mi suggerisci? (per la prima volta non riesco a seguirti).
grazie.
g.

I programmi possono essere disinstallati Start>Impostazioni>Pannello di Controllo>"Aggiungi Rimuovi Programmi" (in XP), in Vista sempre da pannello di controllo alla voce "Programmi e funzionalità".
Alle volte è disponibile un "uninstaller" presente nel menu programmi
Se hai ancora il REVO UNINSTALLER che ti avevo indicato ai tempi dei Babbà, puoi usare quello, anzi secondo me è preferibile.

Ma non ho capito se lo strumento gratuito offerto dalla Kasperky ha rilevato l'infezione e se l'ha eventualmente rimossa.

Generalmente quando si ha il sistema compromesso da infezioni conclamate da minacce particolarmente pericolose, è bene disattivare temporaneamente il "ripristino di configurazione" (*), quindi ci si dovrebbe disconnettere dalla rete, e utilizzare gli strumenti di rimozione specifici e altre ferraglie che ora non sto qui a spiegare o la farei troppo lunga.

Dal log di HiJackThis non mi sembra emergano segni di infezione (mentre invece ci sono troppi programmi in esecuzione automatica che appesantiscono il sistema e potrebbero renderlo instabile) questo purtroppo significa poco, se la minaccia è invisibile (come nel caso delle rootkit ** ) allora è necessario procedere in altro modo e con altri strumenti.

dalla redazione notturna di leofelix, per il momento è tutto, vi terremo aggiornati nelle prossime edizioni speciali, linea analogica permettendo


(*) http://it.wikipedia.org/wiki/Rootkit

(**) http://www.sicurezzainrete.com/disabilitare_system_restore.htm

leofelix
04-10-2008, 00.56.02
Non ho ancora provato tutti i trucchi suggeriti. Non ho ancora disintallato windows family security, ma ho fatto una scansione con spyboot search and destroy e ha trovato due spyware nei files di registro di windows, che ha rimosso. karspersky non trova nulla, ma invece ft secure continua a trovare questi trojani, ma non li rimuove.
non sono cosi' brava da identificare i programmi in esecuzione automatica per sfoltire i processi che vengono avviati automaticamente. suggerimento?
nel frattempo, il pc continua a non spegnersi agevolmente.
per quale motivo dovrei disattivare il ripristino di sistema? in che fase delle operazioni che mi suggerisci? (per la prima volta non riesco a seguirti).
grazie.
g.

Puoi indicare cosa ha trovato SpyBot Search & Destroy?
Ci sono le statistiche delle rilevazioni effettuate dallo SpyBot quando apri il programma (che conserva in modo sicuro i files ritenuti infetti, che in caso di falso positivo possano essere ripristinati).
Non vorrei fossero solo delle modifiche al registro fatte da programmi legittimi (io per esempio disabilito manualmente il Windows Firewall e il Centro di Sicurezza di XP, SpyBot rileva ma io chiedo di escludere quel tipo di ricerca)

Altra cosa, quale file viene rilevato come infetto da f-secure? (se puoi indica il percorso completo; es: "C:\Windows\System32\filecattivissimo.exe")

In quanto ai programmi in esecuzione automatica di troppo, intanto potresti scaricare sul desktop questo strumento gratuito:

http://www.malwarebytes.org/StartUpLite.exe

Quindi eseguirlo, lo StartUpLite identificherà una serie di programmi di troppo in auto run e chiederà se vuoi rimuoverli, disattivarli o ignorare. Il Processo è reversibile in qualsiasi momento.
Potrei anche farti un elenco io stesso visto che tu stessa con il Log di HiJackThis mi hai detto quali sono;)

Il Ripristino di configurazione se presenta molti lati positivi può rivelarsi un autentico deposito di malware, ecco perché quando si tenta la rimozione in certi casi è bene disattivarlo temporaneamente, e molto probabilmente è anche perché attivo che f-secure continua a rilevare il trojan senza poterlo rimuovere.
(nemmeno io spesso riesco a seguirmi, l'ultima volta che ho tentato di farlo avevo 10 birre rosse in corpo, non sono riuscito incredibilmente nell'intento prefissatomi)

leofelix
04-10-2008, 04.55.24
Mi stavo chiedendo se questo strumento di rimozione gratuito della Software House di Sicurezza Proland, specifico per alcune varianti di w32/Busus

http://www.pspl.com/download/cleanbuzus.exe (300 Kb)

potesse quanto meno fare al caso tuo :inn: .

Fai così: scaricalo sul desktop o quanto meno in una cartella che puoi ricordare facilmente.

Disattiva temporaneamente la protezione in tempo reale dell'antivirus che usi (F-Secure, intendo) dall'icona in basso a destra nella barra di sistema, prima di eseguire lo strumento è preferibile che tu ti disconnetta dalla rete.

-------
Ricorda prima di pulire files temporanei, tracce di navigazione etc etc etc per esempio con ATF Cleaner

http://www.atribune.org/ccount/click.php?id=1 (da qui lo scarichi direttamente)

Alla voce Main, seleziona tutte le voci (escluse le password salvate), quindi clicca su "EMPTY". Stessa cosa se hai installati anche Firefox e Opera.
--------

Adesso puoi disconnetterti ed eseguire il tool, clicca su Scan e lascialo fare sino a che non trova le voci infette e le ripulisca (si spera)

---------


Un altro strumento formidabile in questi casi è il Norman Malware Cleaner che trovi qui:

http://forum.wintricks.it/showthread.php?t=137761


questo strumento gratuito riconosce e disinfetta milioni di tipi di malware, va utilizzato preferibilmente in modalità provvisoria (al riavvio premi più volte se necessario F8 ), una volta che ha fatto il suo sporco lavoro (ma qualcuno deve pur farlo, tu mi insegni, ragazza) puoi riavviare normalmente.

attendo notizie positive, come diceva quello "per i miracoli ci stiamo attrezzando, Esatto!"