AdVantage.exe

[MD_CORPORATION]

Salve a tutti!

Ho un S.O Windows XP Media Center (ORIGINALE) in seguito a una navigazione direi avventata e probabilmente in siti a quanto pare infetti -.- ..... mi sono entrati nel pc determinati virus multipli! con tanto di spyware troyan ecc.. tanto per rendervi l'idea: mi è successo che durante l'installazione in rete di una stampante durante il download dei driver stampante mi è uscita una schermata di acronis true image (programma utilizzato da me) credendo che fosse un aggiornamento del mio software ho proceduto con l'istalazione -.- -.-.... (la mia rovina) mi ha fatto riavviare appena ha finito il suo bel lavoretto di massacro: al riavvioa ecco la visuale di un pg devastato:

-task manager disattivato

-comando di prompt nascosto

-comando di esegui sparito sia dalla barra di start che dal task manager (dopo che lo ho riattivato)

-disattivazione di regedit

-dopo pochi secondi (20-30) termine del processo di explorer.exe

-Disattivazione di NOD 32 e Spyware Doctor!!!!! -.- (Il loro processo non era attivo)

BELLO VERO?-.-

Ecco come mi sono comportato: non potendo dare il comando di esegui per poter vedere se in avvio automatico vi erano programmi ambigui ho pensato di accedere al prompt dei comandi per dargli il comando manuale solo che era disattivo come ho detto -.-: ho creato un file di paint cambianto il salvataggio del file mettendo come estensione .bat mettendo al suo interno la compilazione di "start" per poter entrare nel prompt.

Sono riuscito ad entrare ed a rimuovere dall'avvioi programmi compreso un certo AdVantage.exe fin qui tutto bene , o meglio riesco a vedere la mie icone in explorer che non termina -.-.

Sono riuscito a riattivare con un mio prgramm ail task manager che nn fa altro che andare ad attivare la chiave di registro riguardante il task.

sono riuscito a far fare un giro a Spy bot S&D e mi ha trovato un centinaio di porcherie -.- che con gran fatica è riuscito a togliere dantimi degli errori del tipo OUT OF MEMORY -.-

Ho riavviato, Situazione:

Non si termina più explorer , Spyware doctor e NOD girano, il programma AdVantage.exe non si autoavvia più il prompt è attivo il comando regedit viene accettato (tutto ok sembrerebbe)

Ho installato la versione nuova di Prevx 2.0 in versione trial:

ecco che mi trova dei file situati in windows ed win32 bloccati:

C:\\WINDOWS\NOSKRNL.EXE
C:\\WINDOWS\SYSTEM32\MIAX1D1213216143V.EXE
C:\\WINDOWS\SYSTEM32\WMAXXSV234.EXE

Non Riesco a sbloccarli!

ma cosa ancora più grave: non so come rimuovere sto AdVantage.exe!

Se qualche "fortuna che si è inbattuno nel mio stesso problema e ne ha trovato la soluzione prego di aiutarmi!

VI RINGRAZIO MOLTO IN ANTICIPO TY!!

[juninho85]

servono log di hijackthis,gmer e findawf

[MD_CORPORATION]

posterei ben volenteri i print solo che nn ricordo il link per postare l'URL

[MD_CORPORATION]

Usando GMER 1.0.13 Ho fatto lo scan dell'autostart eccolo: (spezzato in 3 file)

scan autostart.txt
scan autostart2.txt
scan autostart3.txt

[MD_CORPORATION]

provate a dare uno sguardo a questo:

hijackthis.txt

[xcdegasp]

oltre a quello richiesto da juninho (manca ancora il log di FindAWS), aggiungo fai una passata di:

• ESET ADS REVEALER http://www.nod32.it/getfile.php?tool=adsr e correggi tutte le segnalazioni che ti da;
• a-squared-free http://download5.emsisoft.com/a2FreeSetup.exe
• prevx csi http://www.prevx.com/freescan.asp
• panda antirootkit http://research.pandasoftware.com/bl...ntiRootkit.zip

mantenendo questo ordine.

[MD_CORPORATION]

Ho fatto fare un giro a Virit e questo è il suo log:

virit.txt

poi ho preso avenger e gli ho dato questo script:

Files to delete:
C:\Documents and Settings\MICHELE\Impostazioni locali\Temp\bundle.exe
C:\Documents and Settings\MICHELE\Impostazioni locali\Temp\dm_0172.exe
C:\System Volume Information\_restore{E63A6918-6E04-4F51-870D-EE17C0511BB7}\RP20\A0004585.exe
C:\System Volume Information\_restore{E63A6918-6E04-4F51-870D-EE17C0511BB7}\RP20\A0004611.exe
C:\System Volume Information\_restore{E63A6918-6E04-4F51-870D-EE17C0511BB7}\RP20\A0007782.exe
C:\WINDOWS\system32\cmpbk3.dll

ecco il log di avenger:

avenger.txt

adesso però sono fermo -.-

[MD_CORPORATION]

OK niente ho riformattato tutto! ho fatto prima :P

[Gle89]

Quote:

Originariamente inviato da MD_CORPORATION

OK niente ho riformattato tutto! ho fatto prima :P

mai cedere alla formattazione, se non in casi limite... Eppure nella tua firma hai scritto " La pazienza è la virtù dei forti"

[MD_CORPORATION]

lol si certo sono della stessa opinione ma il fatto è che se ci devo lavorare sopra la cosa deve essere al quantosbrigativa

se nn si risolve velocemente mi conviene formattare :P

[ziobart]

Scusate ragazzi, ho lo stesso problema con AdVantage.exe. Era collegato ad un software che ora ho disinstallato. Ho disattivato il ripristino di sistema, ho pulito con atf cleaner. Poi ho fatto la scansione con panda on line e non mi rileva nessuna minaccia ma credo che il problema sia ancora là: non me ne intendo molto ma ho aperto il task manager e ci sono un casino di processi in corso. Nell'ultima settimana mi è successo di tutto su questo portatile e sembra che non riesco a venirne fuori. Potete darmi una mano per favore?
Allego il log di hijackthis, nel caso possa essere utile. Grazie

[wjmat]

ciao


segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log in un unico post e secondo le regole di sezione (esempio1 & esempio2)
Qui trovi ulteriori dettagli e consigli per una corretta esecuzione della procedura

link caricamento log generici ► wikisend ■ fileqube
link caricamento immagini ► imageshack ■ fileqube

[ziobart]

Credo di aver proseguito correttamente tutte le procedure elencate.
Allego i links per i logs.

[wjmat]

i link puoi incollarli nel post
la scansione di fsecure non mi sembra quella completa
aspettiamo i restanti log

[ziobart]

Credo di aver fatto un po' di confusione con questi link.
Se ho sbagliato qualcosa per favore correggetemi.
Se è il caso che rifaccia la scansione di Fsecure ditemelo. In realtà mi sembra di averle fatte tutte e due ma non ritrovo il log... forse mi sbaglio

http://wikisend.com/download/445248/mbam-log-2010-02-17 (12-08-37).txt
http://wikisend.com/download/941734/...217-124241.txt
http://wikisend.com/download/614808/F secure.txt
http://wikisend.com/download/612708/mbam-log-2010-02-17 (12-08-37).tx

[wjmat]

se rifai fsecure è solo meglio per te
mancano sempre le restanti scansioni

[ziobart]

Ma perchè mi dici che mancano le scansioni? I link non funzionano?
Ne avevo messo uno che era un doppione.
Questa è la scansione che mancava all'appello:

http://wikisend.com/download/484402/cureit filtrato.txt

[wjmat]

i log dal punto 6 in avanti

[ziobart]

Non so perchè ma ero convinto che bastassero le prime 4 scansioni, ecco perchè non capivo
Comunque adesso sono arrivato fino in fondo.

http://wikisend.com/download/503882/...ner_report.txt
http://wikisend.com/download/666260/gmer 23 feb.log
http://wikisend.com/download/505824/hijackthis.log
http://wikisend.com/download/546236/prevx.log
http://wikisend.com/download/521138/...00223-1103.xml

http://img710.imageshack.us/img710/2...reenshotop.jpg

Ci ho messo del tempo ma alla fine sono arrivato

[wjmat]

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)

Codice:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

devi aggiornare Internet Explorer alla versione 8
non si vede o è disattivato un buon firewall (non quello di win ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui