Trojan Clicker Agent.NBW

[Luke57]

Ho controllato ma nell'avvio non ho trovato file relativi ad Avenger.
Ho notato che se il pc non è connesso, non avviene l'errore in service.exe che lo fa riavviare. Con la conessione il tempo prima del riavvio si aggira intorno ai 10 minuti.
Che faccio, passo alla canna del gas?

Ciao, meglio la pistola.....
Fai un'altra scansione con systemscan e posta il report come hai fatto in precedenza.

[simonoir]

ecco fatto: http://w13.easy-share.com/2449471.html

[Luke57]

Ciao, riprova con avenger ,inserendo questo script:

files to dolete:
C:\WINDOWS\system32\xpdx.sys


Posta il report della scansione.

Scarica anche Prevx
http://spywaredlls.prevx.com/RRIAII0420 ... 2ESYS.html
e fai una scansione fai sapere che cosa ha trovato

[simonoir]

purtroppo siamo al timeout: domattima all'alba parto e rientro a settembre, perciò pausa; al rientro riprenderemo da qui, sempre che tu voglia ancora aiutarmi
Intanto ti auguro buone e meritate vacanze!
Ciao e grazie di tutto!

[alexgermy]

ciao ora ho il report di suspectfile, questo è il link : http://w13.easy-share.com/2503691.html

[alexgermy]

se il report fosse inleggibile, questo è il link del file zippato di report : http://w13.easy-share.com/2504281.html

[Luke57]

alexgermy
Ciao, Scarica The Avenger
http://swandog46.geekstogo.com/avenger.zip
Avvia il programma,clicca su Input Script Manually
clicca sulla icona con la lente di ingrandimento
si aprirà una nuova finestra con scritto View/edit script

In quella finestra bianca copia e incolla (ctrl+v) le scritte in neretto:


Folders to delete:
C:\DOCUME~1\ALEXTU~1\IMPOST~1\Temp
C:\Windows\temp

Files to delete:
C:\WINDOWS\system32\xpdx.sys
C:\WINDOWS\system32\VideoXXX.html
C:\WINDOWS\system32\spupdwxp.log
C:\WINDOWS\csrs.exe


Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run | 5T19I3B27A

Registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset002\services\xpdx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Need2FindBar Uninstall


Clicca sul pulsante Done
Adesso clicca sul semaforo con la luce verde
Rispondi Yes 2 volte
Il pc si dovrebbe riavviare,se non si riavvia,riavvialo manualmente

Al riavvio collegati e posta il contenuto del file C:\Avenger.txt

Scarica anche Prevx
http://spywaredlls.prevx.com/RRIAII0420 ... 2ESYS.html
e fai una scansione fai sapere che cosa ha trovato

[nicolas96r]

HO UN PROBLEMA QUANDO SONO IN RETE MI COMPARE DUE O TRE FINESTRE CON SCRITTO SERVIZIO DI MESSAGGISTICA IMMEDIATA TIPO..MESSAGGIO DA FROM ATO ALLE 29 ECCETERA.COSA DEVO FARE?

[alexgermy]

grazie x avermi risp. , questo è il report di avanger :
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gexurdtb

*******************

Script file located at: \??\C:\WINDOWS\system32\vitwfgcf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\DOCUME~1\ALEXTU~1\IMPOST~1\Temp deleted successfully.
Folder C:\Windows\temp deleted successfully.
File C:\WINDOWS\system32\xpdx.sys deleted successfully.
File C:\WINDOWS\system32\VideoXXX.html deleted successfully.
File C:\WINDOWS\system32\spupdwxp.log deleted successfully.


File C:\WINDOWS\csrs.exe not found!
Deletion of file C:\WINDOWS\csrs.exe failed!

Could not process line:
C:\WINDOWS\csrs.exe
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\system\controlset002\services\xpdx deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|5T19I3B27A deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Need2FindBar Uninstall deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Prevx a individuato questo : BLOCCATO C:/WINDOWS/DOWNLOADED PROGRAM FILES/ACTIVEX_5235_IT.EXE

BLOCCATO C:/WINDOWS/DOWNLOADED PROGRAM FILES/ACTIVEX_5686_IT.EXE

GRAZIE MILLE...

[alexgermy]

scusa dimenticavo... al riavvio si è aperta una finestra dos che dice c/windows/system32/cmd.exe...
poi dice una cosa del genere : .....avanger/backup.... e poi comincia una serie di, nn so ke cosa, nella finestra dos...

[Luke57]

scusa dimenticavo... al riavvio si è aperta una finestra dos che dice c/windows/system32/cmd.exe...
poi dice una cosa del genere : .....avanger/backup.... e poi comincia una serie di, nn so ke cosa, nella finestra dos...

Da star>esegui>msconfig (lo digiti nello spazio)>OK
Premi il tab Avvio, togli la spunta a qualsiasi riferimento ad avenger che trovi>OK.

[alexgermy]

ho fatto quello ke mi hai detto, ma, nn spunta niente col nome di avanger .
siccome ho come antivirus AVG. Magari potrbbe risultare lo stesso Avanger - AVG nn lo so.
ma cmq la finestra dos ke si apriva ieri oggi nn si è aperta...
grazie lo stesso e vediamo se il riavvio spunta d nuovo...
ancora grazie mille x il tempo ke mi hai dedicato....