Riguardo The Avenger...

[Glutammico]

Ciao a tutti!

Innanzitutto,complimenti a Kuma e Angelique per le guide ...le ho trovate molto utili...per non dire fondamentali!!

Ho un problema:dopo aver eliminato dei malware con Spybot,è rimasta una voce nel registro,che si ricrea ad ogni avvio del pc,che il suddetto programma riconosce ogni volta come "Zango"...un simpatico amichetto che registra tutte le pagine che visito e invia non so dove...e che Spybot non riesce ad eliminare completamente,in quanto,come vi ho detto,ricompare ad ogni riavvio.

Per fargli vedere chi è che comanda ho scaricato The Avenger v2...il problema,però,è che questa voce del registro è in HKEY_USERS,chiave che la nuova versione di Avenger non può raggiungere.

La mia domanda,quindi,è la seguente:dove posso trovare la versione1?Sulla pagina del produttore c'è solo la seconda...altrimenti,quale altro programma con le stesse funzioni potreste consigliarmi?

Grazie in anticipo!

[$angelique!?]

[ben]Glutammico[/ben]

Ciao Glutammico, grazie per i complimenti!

Ecco qui Avenger1

http://www.freefilehosting.net/download/3f078

[Glutammico]

Grazie mille per il file e per la tempestiva risposta!

Ho provato ad usarlo,ed ho scoperto un fatto piuttosto strano...è il Resident di Spybot che,dopo averlo cancellato in seguito alla scansione,ripristina il file di registro! :o

The Avenger non ha dato il risultato sperato.Non sono riuscito nè a eliminare,nè a sostituire con un dummy la voce di registro...ecco il log dell'operazione:log_avenger.txt

Poi,ho riprovato con Spybot,ed ho scoperto che subito dopo la "correzione problemi",il Resident mi notificava di aver impedito la modifica al registro,"basandosi sulla user's blacklist"...è l'ultima voce in questo file:SpybotSD.Report.txt

Infatti,se disattivo il Resident,e ripeto la scansione l'operazione va a buon fine...ma non appena lo riattivo,ripristina il file nel registro(anche dopo aver riavviato il pc),riportandomi lo stesso messaggio.

Il malware in questione è questo:SpybotScanResultstxt.txt

Non so cosa fare...il firewall(ZoneAlarm)non segnala nessun tentativo di connessione o roba simile,nè questo "Zango" mi dà apparenti problemi..tuttavia,preferirei eliminarlo per sempre :ranting2: :steve:

Spero in un vostro aiuto!...

[Glutammico]

Aggiungo anche quest'altro log avenger.txt

Riguarda la prima operazione che ho fatto con avenger,ovvero un tentativo di cancellare la voce...

Ho postato anche questo perchè nell'altro(quello allegato alla risposta qui sopra),c'è scritto che il valore di registro non è stato trovato...qui,invece,si.

E anche questo è strano (almeno per un niubbo come me ),perchè lo script l'ho caricato da un file di testo da me precedentemente creato...ed ho usato lo stesso per entrambe le operazioni,quindi è difficile che sia perchè è stato scritto male.....

[$angelique!?]

Scarica ed estrai RegAssassin

Avvia il sistema in Modalità Provvisoria

http://www.wininizio.it/forum/index.php?showtopic=12722

- Avvia il file RegAssassin

- Assicurati che le 2 opzioni

Reset permissions e delete registry key and all subkeys siano spuntate

- nel box bianco copia il valore

HKEY_USERS\S-1-5-21-1004336348-1482476501-725345543-500\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07AA283A-43D7-4CBE-A064-32A21112D94D}

- Clicca su delete

- rispondi SI ed aspetta l'avviso di avvenuta cancellazione

allega un log di Hijackthis

http://forum.wininizio.it/index.php?showtopic=21584

[Glutammico]

Questa è bella...nemmeno RegAssasin riesce a eliminarlo!! :ranting2:

Dice che non riesce a trovare la voce... :sigh:

Funziona solo se inserisco solo la chiave,senza il valore di registro...però nella stessa chiave ci sono anche altre cose,per cui non credo di poterla cancellare per intero...

Cmq ecco il log di HiJackthis:hijackthis.log

[$angelique!?]

Nel log non si deve nulla...

hai provato con questo comando in avenger??

Registry values to delete:

HKEY_USERS\S-1-5-21-1004336348-1482476501-725345543-500\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07AA283A-43D7-4CBE-A064-32A21112D94D}

Disabilita il tuo antivirus.

Scarica Combofix da uno dei seguenti links:

Bleeping Computer, TechSupport Forum

Salvalo sul desktop.

1. Doppio click su combofix.exe, comparirà la seguente videata:

2. Digita 1, premi Invio e segui le indicazioni.

3. Al termine, verrà creato un file log chiamato C:\ComboFix.txt.

Nota: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

Nota: ComboFix non funziona in modalità provvisoria.

[Glutammico]

Si,ho provato quel comando in Avenger,ma non ha avuto effetto.(Could not delete HKEY..........)

Ho già allegato il file di log a riguardo nel post delle 20:11.

Questo,invece,è il log di Combofix:Combofix_log.txt

Comunque,se ho ben capito,questi programmi che mi hai fatto scaricare cercano degli .exe....io credo che non ce ne siano riferiti a questa voce di registro...altrimenti,penso che Spybot me li avrebbe segnalati assieme alla suddetta voce,giusto?(il log della scansione è nel secondo post)

Tuttavia,qualcosa farà...perchè mi viene segnalato come malware...e in più,se non rimandasse a qualc'altra cosa,Regcleaner,ma anche il tool di Spybot per "pulire" il registro,me li segnalerebbero come voci "inutili",da poter eliminare...ti pare?...Correggimi se dico cavolate!!

Piuttosto,vorrei capire perchè il Resident di Spybot non mi permette di eliminarla!!!!!!!

[$angelique!?]

Esegui questo script dalla modalità provvisoria

Files to delete:

C:\Programmi\D-Tools\daemon.exe

C:\Programmi\Grisoft\AVG Free\avgcc.exe

C:\Programmi\Grisoft\AVG Free\avgemc.exe

C:\Programmi\Microsoft IntelliPoint\point32.exe

C:\Programmi\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\055BCC23C1.sys

C:\Programmi\Autorun.exe

C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jatmlano.sys

folders to delete:

C:\WINDOWS\temp

C:\WINDOWS\Tasks

Files to move:

C:\Programmi\D-Tools\bak\daemon.exe | C:\Programmi\D-Tools\daemon.exe

C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe | C:\Programmi\Grisoft\AVG Free\avgcc.exe

C:\Programmi\Grisoft\AVG Free\bak\avgemc.exe | C:\Programmi\Grisoft\AVG Free\avgemc.exe

C:\Programmi\Microsoft IntelliPoint\bak\point32.exe | C:\Programmi\Microsoft IntelliPoint\point32.exe

C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe

C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe

allega il log C:\Avenger

[Glutammico]

Ehmmm.....non è andato proprio bene bene bene...

Questo è il log:avenger2.txt

Il malware è rimasto lì dov'era...in compenso era crashato AVG,non potevo usare internet perchè si erano perse tutte le connessioni e il computer era tutto di un triste grigio windows 98...

Per fortuna,avevo creato un punto di ripristino,prima!!

Cmq,cos'è la "user's blacklist" di cui parla l'avviso di Spybot??C'è un modo per modificarla??

[$angelique!?]

hai eseguito un ripristino dopo l'ultimo script di avenger??

ma hai un infezione da Instant Access e Obfuscated!!!

allega un log di Hijackthis

http://forum.wininizio.it/index.php?showtopic=21584

Esegui una scansione online con Kaspersky (su "my computer")ed allega il report in formato HTML

http://forum.wininizio.it/index.php?showtopic=36981&hl=

Info: http://it.wikipedia.org/wiki/Blacklist

[Glutammico]

Eh si...ho dovuto fare un ripristino perchè non funzionava più niente! :o

Cmq ecco il log di HiJack:hijackthis2.log

Questo,invece,è il risultato di Kaspersky:Kaspersky_report.txt

Per curiosità,cosa intende con "Object is locked"?é possibile che si riferisca a vecchi virus che sono nel Vault di AVG,cioè bloccati dall'antivirus?

Un'altra cosa...(si,sto abusando impunemente della tua pazienza! )...dove posso trovare una guida dettagliata a Spybot?Tu o Kuma ne avete fatta una?

Grazie grazie grazie

[Glutammico]

Ops...in txt non si capisce un granchè...

Eccolo qui,così dovrebbe andare:KASPERSKY_ONLINE_SCANNER_REPORT.rar

[$angelique!?]

Ciao

il log di hijackthis non rileva nulla di particolare...

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

la puoi riparare con LSPFix

nel report di Kaspersy vengono segnalati questi file infetti, ma nulla di preoccupante...

C:\Documents and Settings\Administrator\Documenti\Games\Craagle\Craagle.zip

Da "Installazione Applicazioni" disinstalla DAP (che è uno spyware) al suo posto puoi usare

Download Express (Free)

http://www.metaproducts.com/download/desetup.exe

[Glutammico]

Grazie mille per le dritte Angelique!!

In più,sono riuscito ad eliminare quella :ranting2: voce di registro...Ho disinstallato Spybot,cancellata la voce manulmente,e poi reinstallato tutto...così il Resident ha smesso di ricrearlo!! :up1: ....un pò grezzo come sistema,ma ha funzionato!Ed ora il mio Pc sembra pulito...il bene ha trionfato!

Grazie ancora per la cortesia,la disponibilità e la competenza!!

Ciao e a presto!

[$angelique!?]

Grazie a te!