The Alexsandra Spaces

Da diverso tempo si nota in rete che sempre più spesso viene proposto l’utilizzo di The Avenger per la rimozione di infezioni particolarmente gravi e per la completa pulizia del sistema dalle tracce che lascia l’applicazione infetta. Questo programma viene usato quando i normali antivirus non riescono a rimuovere o bloccare nuovi virus o malware appena creati, questo succede quando queste applicazioni non sono presenti nel database delle impronte virali, e di conseguenza viene contratta l’infezione, ne consegue che per rimuoverla è necessario ricorrere ad una rimozione manuale del virus che nel seguito vedremmo in dettaglio.

The Avenger è un programma gratuito, molto potente ed efficace, è capace di cancellare file protetti o “in uso” da applicazioni maligne, di apportare modifiche al registro di sistema, e anche di cancellare intere cartelle, queste sue caratteristiche ne esaltano la potenza e l’efficacia, però vi ricordo che deve essere usato da persone preparate e che conoscono bene il sistema operativo, lo scopo di questo articolo è quello di portarvi a conoscenza delle sue potenzialità, ma con il monito di usarlo con consapevolezza, abusare nell’utilizzo di questo tools è altamente rischioso, in quanto può compromettere il funzionamento del Sistema Operativo stesso.

La sua potenza deriva principalmente dal fatto di riuscire a caricare i propri comandi a livello Kernel, pertanto al livello più basso del Sistema Operativo è proprio questa caratteristica che ci consente di eseguire i vari comandi nella prima fase di avvio del computer quando ancora nessuna applicazione maligna è attiva, inoltre ricordate che The Avenger funziona solo su sistemi Windows 2000 o Windows XP.

Spero che non vi siate spaventati da questa presentazione di The Avenger ma mi sembrava doveroso presentare sia le sue potenzialità quanto la sua pericolosità nell’uso poco appropriato, se siete incerti su come usarlo e scriverne gli “script”, prima di agire potete chiedere un aiuto o una supervisione nei vari forum che trovate in rete. Come avete potuto notare ho accennato agli “script”, è proprio questo aspetto che lo rende di difficile utilizzo, infatti per operare The Avenger riesce ad interpretare le operazioni che deve eseguire solo tramite una serie di comandi denominati script, più avanti vedremmo come devono essere preparati, perdonate la mia insistenza, ma vi invito di usare questo tools con cautela e consiglio agli utenti poco esperti di chiedere consiglio prima di mandare in esecuzione uno script, l’errore in uno di essi può danneggiare irrimediabilmente il Sistema Operativo.

Fatte le raccomandazioni del caso iniziamo ora a conoscere il programma partendo dall’interfaccia grafica che è rappresentata come dalla figura sotto riportata.

Come potete notare, al centro è presente un box denominato “Script file to execute” che ci permette di inserire lo script da eseguire in tre diversi modi, inoltre ricordate che gli script sono tutti in formato Txt

- Load script from file: Questo comando ci permette di caricare lo script da eseguire da un file presente nel nostro computer, basta solo cliccare sull’icona alla fine del box bianco per far comparire la tradizionale maschera di Windows per sfogliare le cartelle e cercare il file contente lo script
- Load script from Internet URL: Questa opzione ci permette di caricare lo script da un indirizzo URL, basta solo portare il cursore del mouse sul box bianco e inserire l’indirizzo Internet da cui caricare lo script
- Input script manually: Questa ultima opzione (che è quella più usata) ci permette di inserire manualmente lo script da eseguire.

Come potete vedere nella figura ci sono altri tre pulsanti rappresentati da icone, vediamo come usarli
==>> Premendo sull’icona del semaforo avviamo il programma e mandiamo in esecuzione lo script che abbiamo scritto o caricato, riceveremo due avvisi, rispondiamo sempre di si ed il sistema si riavvierà ed eseguirà lo script

==>> premendo sulla lente ci comparirà una finestra come questa

al suo interno possiamo inserire lo script da mandare in esecuzione

==>> Chiude il programma

Fatta questa introduzione ora parliamo dei comandi che possiamo usare, come già accennato possiamo cancellare file, cartelle, chiavi di registro e driver, pertanto vediamo questi comandi, tenendo presente che ogni operazione che eseguiremo The Avenger creerà una copia di backup di quanto cancellato nella cartella C:\Avenger.

Files to delete : Ci permette di eliminare i files, anche in casi ostinati dove le varie applicazioni nocive tendono a proteggere i loro files e cartelle
[esempio :]
Files to delete:
C:\Windows\virus.exe
Nota : Verrà eliminato il file virus.exe presente nella cartella C:\Windows

Folders to delete:E’ praticamente identico al precedente, solo che ci permette di cancellare intere cartelle compreso il loro contenuto
[esempio :]
Folders to delete:
C:\Documents and Settings\Alex\Dati applicazioni\virus
Nota : Verrà cancellata la cartella virus

Files to move:Possiamo spostare un file da una cartella a un’altra, se nella cartella di destinazione fosse presente un file con lo stesso nome verrà sovrascritto
[esempio :]
Files to move:
C:\Prove\trojan.jpeg | C:\prove\trojan
Nota : Il file trojan.jpeg verrà spostato dalla cartella C:\Prove\ alla cartella C:\Prove\trojan\, avrete notato che è stato utilizzato il comando PIPE ( | ) , serve a separare la directory di origine da quella di destinazione, ricordate che non funziona se si tenta di spostare un file da una partizione all’altra

Files to replace with dummy: Permette di sostituire il file originale con un altro con lo stesso nome, ma vuoto, questo è un “espediente” che può essere utile quando si vuole rendere innocua un’applicazione maligna con questa operazione si svuota il file che lancia l’applicazione stessa rendendola innocua
[esempio :]
Files to replace with dummy:
C:\Windows\virus.exe
Nota : Verrà sostituito il file virus.exe con uno con lo stesso nome ma vuoto

Registry keys to delete : Elimina le chiavi di registro indicate nello script
[esempio :]
Registry keys to delete:
HKLM\System\CurrentControlSet\Services\Alex
Nota : Cancelliamo il servizio Alex, The Avenger interpreta alla stessa maniera sia HKEY_LOCAL_MACHINE ( HKLM) che HKEY_USERS (HKU)

Registry values to delete:E’ uguale al precedente comando solo che con questo si cancellano solo i contenuti e non le chiavi che li contengono
[esempio :]
Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | virus.exe
Nota : Cancelliamo il valore infetto virus.exe dall’avvio automatico, prestate attenzione alla posizione del comando PIPE ( | ), in questo contesto va posto fra la chiave interessata e il valore da eliminare

Registry keys to replace with dummy:Ci permette di sostituire la chiave del registro infetta con una vuota
[esempio :]
Registry keys to replace with dummy:
HKLM\System\CurrentControlSet\Services\Alex
Nota : La chiave Alex sarà ancora presente dopo aver eseguito lo script, ma sarà vuota

Registry values to replace with dummy:Praticamente identico al precedente Il valore infetto verrà sostituito da un valore omonimo
[esempio :]
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Nota : Il valore relativo verrà ripristinato come vuoto

Programs to launch on reboot: Permette di eseguire al riavvio un programma da noi compilato tramite il registro di configurazione
[esempio :]
Programs to launch on reboot:
C:\Alex.exe
Nota : Il file Alex.exe verrà eseguito al riavvio del sistema operativo

Drivers to unload:Ci permette di disattivare un servizio di sistema senza rimuoverne i relativi file
[esempio :]
Drivers to unload:
Windows log

Comment:Consente di inserire dei commenti, che verranno saltati dal programma e non eseguiti

Uso del Programma

La prima cosa da fare prima di avviare The Avenger è quella di disabilitare tutti i programmi di sicurezza che abbiamo installato nel nostro Pc, alcuni di essi potrebbero interferire con l’esecuzione dello script, pertanto assicuratevi di disabilitare Antivirus, Firewall e Programmi HIPS.

La funzione più usata è Input script manually, pertanto cliccando su questa opzione possiamo inserire manualmente lo script premendo sull’icona della lente di ingrandimento e nella finestra che ci appare possiamo inserire il nostro script, fatto questo premiamo sul tasto “Done” e poi sull’icona del semaforo e ai due avvisi che compaiono in seguito diamo il consenso all’esecuzione(Ok o Invio)

A questo punto Avenger riavvierà il sistema, e alla fine del caricamento del sistema operativo ci comparirà la classica finestra nera del prompt dei comandi, e subito dopo un file del blocco note contenente il log con le informazioni dell’esito dello script. Il log sarà salvato nella cartella C:\avenger ed il file del log è avenger.txt, inoltre, sempre in quella cartella troveremo i file e le chiavi di registro rimosse

Questo è un esempio di script

Registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList|CWtpeSyubVWJtzL

Files to move:
C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe|C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe
C:\Programmi\Java\jre1.5.0_09\bin\bak\jusched.exe|C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\Programmi\Spyware Terminator\bak\SpywareTerminatorShield.exe|C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\HDD Health\bak\hddhealth.exe|C:\Programmi\HDD Health\hddhealth.exe
C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe|C:\Programmi\File comuni\Real\Update_OB\realsched.exe

Files to delete:
C:\Programmi\Skype\Phone\Skype.exe

e questo il log generato dal programma:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\flxibndn

*******************

Script file located at: \??\C:\WINDOWS\grvbsxgv.txt
Script file opened successfully.
Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe|C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe completed successfully.
File move operation C:\Programmi\Java\jre1.5.0_09\bin\bak\jusched.exe|C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe completed successfully.
File move operation C:\Programmi\Spyware Terminator\bak\SpywareTerminatorShield.exe|C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe completed successfully.
File move operation C:\Programmi\HDD Health\bak\hddhealth.exe|C:\Programmi\HDD Health\hddhealth.exe completed successfully.
File move operation C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe|C:\Programmi\File comuni\Real\Update_OB\realsched.exe completed successfully.
File C:\Programmi\Skype\Phone\Skype.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList|CWtpeSyubVWJtzL deleted successfully.

Completed script processing.

*******************

Finished! Terminate

Come possiamo vedere lo script ha avuto successo e tutte le voci sono state eliminate. Possiamo concludere questa guida affermando che The Avenger è molto versatile e consente di operare in diversi modi anche in presenza di infezioni particolarmente ostiche, ricordo ancora una volta che oltre alla sua efficacia non è da dimenticare la sua pericolosità, un uso poco appropriato e l’esecuzione di uno script sbagliato possono danneggiare il Sistema Operativo.