Allora scarica
avenger è un archivio compresso.. decomprimilo in una cartella...
Inoltre scarica CCleaner ed installato..
Avvia Hijackthis e fai fare la scansione fixa le seguenti voci:
O2 - BHO: TBSB06153 - {07CA483F-30BC-425D-823D-48620A3BD13F} - H:\Programmi\IEToolbar\Share Accelerator\ShareAcceleratorToolbar12_11_08.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: IEHlprObj Class - {8CA5ED52-F3FB-4414-A105-2E3491156990} - H:\Programmi\iWin Games\iWinGamesHookIE.dll
O2 - BHO: (no name) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file)
O3 - Toolbar: Share Accelerator - {FA34EE7E-55EB-41DB-9718-1AE6EA1CF9A5} - H:\Programmi\IEToolbar\Share Accelerator\ShareAcceleratorToolbar12_11_08.dll
O3 - Toolbar: (no name) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Boonty Games - BOONTY - H:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe
O23 - Service: iWinTrusted - iWin Inc. - H:\Programmi\iWin Games\iWinTrusted.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - H:\Programmi\WildGames\Game Console - WildGames\GameConsoleService.exe
Non sono tutte infette... (tipo ad esempio l'ultimo è stato dichiarato da qualche
mese come falso positivo...) abbiamo fatto solo un po' di pulizia tanto per
fare un punto della situzione... (strano che alcune cose dovevano essere
rilevate da antivir o spybot.. e non è successo)
Metti il segno di spunta e clicca su fix checked. (sono 16 le voci da eliminare)
Adesso... vai alla cartella dove hai scompattato avenger ed apri il programma...
una volta aperto seleziona quello che indico nel riquadro successivo:
Segue del testo riportato...
Folders to delete:
%temp%
H:\Programmi\IEToolbar
H:\Programmi\iWin Games
H:\Programmi\conduit
%ALLUSERSPROFILE%\Menu Avvio\Programmi\iwin games
%ALLUSERSPROFILE%\Dati applicazioni\iwin games
%UserProfile%\Dati applicazioni\microsoft\internet explorer\quick launch\play iwin games.lnk
%UserProfile%\Impostazioni locali\Dati applicazioni\conduit
%UserProfile%\Impostazioni locali\Dati applicazioni\iwin
Files to delete:
%ALLUSERSPROFILE%\desktop\play iwin games.lnk
H:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe
Registry keys to delete:
HKCU\software\conduit
HKCU\software\iwin
HKCU\software\iwinarcade
HKLM\software\classes\appid\{4b55700f-db51-4891-8b28-6136a48a0105}
HKLM\SOFTWARE\Classes\CLSID\{07CA483F-30BC-425D-823D-48620A3BD13F}
HKLM\software\classes\appid\iwingamesinstaller.exe
HKLM\software\classes\clsid\{3c471948-f874-49f5-b338-4f214a2ee0b1}
HKLM\software\classes\clsid\{4b55700f-db51-4891-8b28-6136a48a0105}
HKLM\software\classes\clsid\{8ca5ed52-f3fb-4414-a105-2e3491156990}
HKLM\software\classes\iehlprobj.iehlprobj
HKLM\software\classes\interface\{ca5e2e62-8612-4942-84a0-a94090d166aa}
HKLM\software\classes\interface\{e3ed53c5-7ad5-4df5-9734-afb6e7e5d9db}
HKLM\software\classes\iwin
HKLM\software\classes\typelib\{495874fe-4a82-4ad1-9476-0b957e0b95eb}
HKLM\software\classes\clsid\{ce0c2586-da36-452b-acdb-320d9bcb19bf}
HKLM\software\classes\iwingamesinstaller.coinserv.1
HKLM\software\classes\iwingamesinstaller.coinserv
HKLM\software\classes\typelib\{466bb835-6377-4678-aad3-c9d59ee98423}
HKLM\software\classes\iehlprobj.iehlprobj.1
HKLM\Software\Microsoft\Windows\currentversion\uninstall\iwinarcade
HKLM\Software\Microsoft\Windows\currentversion\uninstall\iwin toolbar
HKLM\software\iwinarcade
HKLM\software\iwin
HKLM\software\conduit
HKLM\SOFTWARE\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
HKLM\SOFTWARE\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}
HKLM\SOFTWARE\Classes\CLSID\{FA34EE7E-55EB-41DB-9718-1AE6EA1CF9A5}
HKLM\SOFTWARE\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
HKLM\SOFTWARE\Classes\Interface\{84BB6D9A-127B-465B-82CB-15A4B83FE98C}
HKLM\SOFTWARE\Classes\Interface\{925C57AE-2BB0-41C3-BA2B-BA2908BA434F}
HKLM\SOFTWARE\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F}
HKLM\SOFTWARE\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
HKLM\SOFTWARE\Classes\TypeLib\{E0731AD0-39CF-4605-B00E-116FD54ED29A}
HKLM\SOFTWARE\Classes\ComObject.DeskbarEnabler
HKLM\SOFTWARE\Classes\TBSB06153.IEToolbar
HKLM\SOFTWARE\Classes\TBSB06153.IEToolbar.1
HKLM\SOFTWARE\Classes\TBSB06153.TBSB06153
HKLM\SOFTWARE\Classes\TBSB06153.TBSB06153.3
HKLM\SOFTWARE\Classes\Toolbar3.TBSB06153
HKLM\SOFTWARE\Classes\Toolbar3.TBSB06153.1
HKLM\SOFTWARE\Classes\URLSearchHook.ToolbarURLSearchHook
HKLM\SOFTWARE\Classes\URLSearchHook.ToolbarURLSearchHook.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07CA483F-30BC-425D-823D-48620A3BD13F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TBSB06153.TBSB06153Toolbar
HKCU\Software\TBSB06153
Registry values to delete:
HKCU\software\Microsoft\Internet Explorer\Toolbar\WebBrowser | {FA34EE7E-55EB-41DB-9718-1AE6EA1CF9A5}
HKCU\software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN | iexplore.exe
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar | {FA34EE7E-55EB-41DB-9718-1AE6EA1CF9A5}
HKLM\Software\Microsoft\internet explorer\toolbar | {ce0c2586-da36-452b-acdb-320d9bcb19bf}
HKLM\system\currentcontrolset\control\session manager | pendingfilerenameoperations
HKCU\software\Microsoft\internet explorer\main | enable browser extensionsFine testo riportato...
ed copialo ed incollalo nel riquadro bianco del programma... e clicca su execute...
(il pc si riavvierà e verrà eseguito lo script che hai incollato... Prima che si riavvii,
poichè lo script riguarda anche voci di registro, ti potrebbe dire che una o più
voci non sono state trovate... tu rispondi sempre ok fin quando non si riavvia)
Al riavvio avvia Ccleaner, vai in Opzioni -> Impostazioni -> Avanzate ed in avanzate
togli il segno di spunta in: "Cancella i file in windows temp solo se più vecchi di 24 ore".
Poi clicca su Pulizia e nella colonna
Windows, in Avanzate, metti anche il segno di spunta
in "Vecchi dati prefetch"... A questo punto clicca su Analizza
e quando ha finito
la ricerca dei file da eliminare, clicca su Avvia Pulizia... Dopo aver fatto questa
pulizia, clicca su Registro, clicca su Trova problemi e quando ha finito l'analisi...
clicca su Ripara selezionati...
Riavvia e fai un log di hijackthis e postalo in modo da vedere se è rimasto qualcosa..
Potresti provare anche con la scansione online... magari dopo questa "scossa"
riprende tutto a funzionare come prima
Ciao
PS: poichè si cambieranno chiavi relative a estensioni del browser... sarebbe
opportuno chiudere tutte le finestre del browser... (magari per mantenere
a portata di mano le istruzioni sul da farsi... potresti stampare il post oppure
copiarlo in un file di blocco note... in modo da avere anche come copiare ed incollare
lo script) Quindi, ricapitolando, copia ed incolla il mio post in blocco note, chiudi
tutte le finestre di internet explorer e poi segui le mie indicazioni..
PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale
RISOLTO!
Topic Chiuso)
Topic: Post n° 91.184 - Postato: 05/Ottobre/2009 alle 20:43
Vedete voi....
Topic Attivi
Lista Membri
Calendario
Cerca
Aiuto
Registrati
Login
