| Precedente :: Successivo |
| Autore |
Messaggio |
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
 Inviato: 30 Apr 2008 11:17 Oggetto: Trojan.Win32.Dialer.axw che non se ne va |
 |
|
Ciao.
Premetto che ho come SO windows XP, installati: Comodo Firewall Pro, Avira Antivir e BitDefender.
Non ho riscontrato malfunzionamenti del computer ma, visto che ieri ho subito un "attacco virus", ho deciso di dare una controllata con Kaspersky online scanner, e ho ottenuto questo risultato:
| Citazione: | C:\Documents and Settings\...\vbhllnzp.exe Infected: Trojan.Win32.Dialer.axw skipped
C:\Documents and Settings\...\lshbmhgb.exe Infected: Trojan.Win32.Dialer.axw skipped
C:\Programmi\HP\hpcoretech\hpcmerr.log Object is locked skipped
C:\System Volume Information\_restore{4BDCDC59-5E22-47E7-AFF9-8A7368AACA85}\RP60\A0050679.exe Infected: not-a-virus:Downloader.Win32.WinFixer.fs skipped |
Ho buttato i due trojan e ho disabilitato e ri-abilitato il "ripristino configurazione di sistema".
Oggi però, appena acceso il computer, ho fatto una nuova scansione con Kaspersky ed ecco il risultato:
| Citazione: | C:\System Volume Information\_restore{4BDCDC59-5E22-47E7-AFF9-8A7368AACA85}\RP75\A0062856.exe Infected: Trojan.Win32.Dialer.axw skipped
C:\System Volume Information\_restore{4BDCDC59-5E22-47E7-AFF9-8A7368AACA85}\RP75\A0062857.exe Infected: Trojan.Win32.Dialer.axw skipped |
Ho ancora disattivato e ri-attivato "rispristino configurazione di sistema", ma direi che c'è qualcos'altro "in giro" che non va... 
Che ne dite?
Grazie, Gavy.  |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 30 Apr 2008 12:11 Oggetto: |
|
|
Ciao Gavy,
Pulizie generiche, per cominciare:
|
|
| Top |
|
|
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 30 Apr 2008 12:28 Oggetto: |
|
|
Ciao! 
Aspetta, nel frattempo ho fatto andare Spybot e ha trovato un Win32.Dialer.aeh... sarà lui?
Quando finisce la scansione ti do il risultato preciso.
Uhm... eccomi qui.
Durante la scansione, mi è uscito un avviso di spybot:
| Citazione: | Ci sono problemi nel file di definizione C.\Programmi\Spybot-Search_destroy\Includes\Trojan.sbi
Per ulteriori dettagli vedere 'Include error.log' |
Ho cliccato su ok e, tanto per non saper né leggere né scrivere, ho fermato la scansione, "corretto i problemi" riscontrati fino a quel momento, e ora ho fatto partire una nuova scansione.
I "problemi" riscontrati sono quattro occorrenze dello stesso Win32.Dialer.aeh in:
HKEY_LOCAL_MACHINE\software\windows\currentversion\accesso NM
HKEY_LOCAL_MACHINE\software\windows\currentversion\accesso N
HKEY_LOCAL_MACHINE\software\windows\currentversion\accesso M
HKEY_LOCAL_MACHINE\software\windows\currentversion\accesso D
Mi dice che sono dialer che cambiano la homepage e connettono atraverso linee molto costose...
La mia home però non è cambiata, quindi spero di non essermi connessa a qualche numero strano 
Anche perché con l'adsl dovrei essere al sicuro da questo tipo di problemi, vero?  |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 30 Apr 2008 12:51 Oggetto: Re: Trojan.Win32.Dialer.axw che non se ne va |
|
|
| Gavilan ha scritto: | | ma, visto che ieri ho subito un "attacco virus", |
Maggiori info?
| Gavilan ha scritto: | Uhm... eccomi qui.
Durante la scansione, mi è uscito un avviso di spybot:
| Citazione: | Ci sono problemi nel file di definizione C.\Programmi\Spybot-Search_destroy\Includes\Trojan.sbi
Per ulteriori dettagli vedere 'Include error.log' |
|
E il file Include error.log (che trovi nella directory di spybot, o una sua sottocartella) che dice?
p.s. posta anche un log di HijackThis |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 30 Apr 2008 13:46 Oggetto: |
|
|
Sarò ripetitivo...
| bdoriano ha scritto: | Pulizie generiche, per cominciare:
|
E, stavolta, vedi di fare quello che ti ho chiesto, altrimenti... 
Ti riempio la casella e-mail dei peggiori virus che ho collezionato finora...  |
|
| Top |
|
|
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 30 Apr 2008 15:52 Oggetto: |
|
|
Ehm scusa, Spybot l'avevo fatto partire già prima di leggere il tuo post... 
Fatto.
(Il ripristino di sistema l'avevo già disabilitato e riabilitato, ora l'ho disabilitato ancora.)
Eccolo: NFix_2008-04-30_14-04-31.log
Ora vado a far partire Combofix...
Però c'è un problema: perché adesso vedo al barra del menu di avvio grigio chiaro e con un aspetto "retrò"? 
Anzi, a dirla tutta, l'intero Windows ha uno strano aspetto... come dire, più sobrio del solito. |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 30 Apr 2008 16:10 Oggetto: |
|
|
| Gavilan ha scritto: | Però c'è un problema: perché adesso vedo al barra del menu di avvio grigio chiaro e con un aspetto "retrò"?
Anzi, a dirla tutta, l'intero Windows ha uno strano aspetto... come dire, più sobrio del solito. |
Quando è successo?
Dopo che hai eseguito Norman Malware Cleaner e prima di eseguire Combofix? |
|
| Top |
|
|
andrea1975
Dio maturo
Registrato: 07/12/06 18:58
Messaggi: 4052
|
| Inviato: 30 Apr 2008 16:25 Oggetto: |
|
|
| chemicalbit ha scritto: | | Gavilan ha scritto: | Però c'è un problema: perché adesso vedo al barra del menu di avvio grigio chiaro e con un aspetto "retrò"?
Anzi, a dirla tutta, l'intero Windows ha uno strano aspetto... come dire, più sobrio del solito. |
Quando è successo?
Dopo che hai eseguito Norman Malware Cleaner e prima di eseguire Combofix? |
Ti scrivo a nome di Gavilan:
Si la risposta è sì, è successo dopo aver eseguito Norman e riavviato il portatile. 
Adesso sta facendo ComboFix però l'ha preso da questo sito perché gli altri link non funzionavano. |
|
| Top |
|
|
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 30 Apr 2008 16:42 Oggetto: |
|
|
Dunque, il problema dello "strano aspetto" di windows è risolto: bastava cliccare con il tasto destro sul desktop, scegliere "Proprietà", andare nella scheda "Aspetto" e scegliere "Stile di Windows XP" 
Però, ogni volta che avvio il computer, il firewall mi segnala che un certo anbmserv.exe sta tentando di connettersi a internet... cos'è? 
Io l'ho bloccato.
Ecco il log di ComboFix: ComboFixLog.txt
E quello di hijackthis: hijackthis517.log |
|
| Top |
|
|
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 30 Apr 2008 17:42 Oggetto: Re: Trojan.Win32.Dialer.axw che non se ne va |
|
|
| chemicalbit ha scritto: | | Gavilan ha scritto: | | ma, visto che ieri ho subito un "attacco virus", |
Maggiori info?
| Gavilan ha scritto: | Uhm... eccomi qui.
Durante la scansione, mi è uscito un avviso di spybot:
| Citazione: | Ci sono problemi nel file di definizione C.\Programmi\Spybot-Search_destroy\Includes\Trojan.sbi
Per ulteriori dettagli vedere 'Include error.log' |
|
E il file Include error.log (che trovi nella directory di spybot, o una sua sottocartella) che dice? |
Ops, mi ero dimenticata.
Allora, dell' "attacco virus" nemmeno m'ero accorta, ma poi mi sono trovata sul desktop due collegamenti a quei trojan che avevo in Documents and Settings.
Ecco il file Include error.log:
| Citazione: | 13/04/2008 23.40.11 C:\Programmi\Spybot - Search & Destroy\Includes\TrojansC.sbi | Zlob.DNSChanger.rtk | <$FILE_EXE>
30/04/2008 12.25.48 C:\Programmi\Spybot - Search & Destroy\Includes\Trojans.sbi | Win32.Agent.frl | <$FILE_SYSTEM>
30/04/2008 12.25.48 C:\Programmi\Spybot - Search & Destroy\Includes\Trojans.sbi | Win32.Agent.frl | <$FILE_EXE>
30/04/2008 13.17.02 C:\Programmi\Spybot - Search & Destroy\Includes\Trojans.sbi | Win32.Agent.frl | <$FILE_SYSTEM>
30/04/2008 13.17.02 C:\Programmi\Spybot - Search & Destroy\Includes\Trojans.sbi | Win32.Agent.frl | <$FILE_EXE>
30/04/2008 13.28.36 C:\Programmi\Spybot - Search & Destroy\Includes\TrojansC.sbi | Zlob.DNSChanger | <$FILE_EXE>
30/04/2008 13.28.36 C:\Programmi\Spybot - Search & Destroy\Includes\TrojansC.sbi | Zlob.DNSChanger | <$FILE_EXE>
30/04/2008 13.28.36 C:\Programmi\Spybot - Search & Destroy\Includes\TrojansC.sbi | Zlob.DNSChanger.rtk | <$FILE_EXE>
|
|
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 30 Apr 2008 17:42 Oggetto: |
|
|
| Gavilan ha scritto: | Però, ogni volta che avvio il computer, il firewall mi segnala che un certo anbmserv.exe sta tentando di connettersi a internet... cos'è?
Io l'ho bloccato. |
Nel dubbio meglio bloccare.
Dal tuo log di HijiackThis trovo
| Citazione: | | O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe |
Lo conosci?
Se apri TaskManager, scheda processi, è in esecuzione?
In ogni caso per capire meglio cosa sia, senza eseguirlo, caricalo su VirusTotal. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 30 Apr 2008 20:52 Oggetto: |
|
|
Combofix ha eliminato qualcosina:
| Citazione: | ((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\Downloaded Program Files\setup.inf |
Per quanto riguarda anbmserv.exe, dovrebbe essere un processo legittimo presente nei portatili Acer:
| ProcessLibrary ha scritto: | | anbmserv.exe is a process which is bundled with Acer notebooks and adds additional diagnostics and power management features to this range of hardware. This program is a non-essential process, but should not be terminated unless suspected to be causing problems. |
Se vuoi, puoi anche fare le seguenti scansioni online:
- Disabilita il tuo antivirus
- Collegati a BitDefender (con IE) e fai la scansione completa.
- Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.
|
|
| Top |
|
|
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 30 Apr 2008 22:11 Oggetto: |
|
|
Ciao ragazzi.
Sì, effettivamente quello deve essere un file di acer, non ci avevo mai fatto caso... anche perché il firewall non mi aveva mai chiesto nulla a tal proposito.
Sto facendo la scansione con Kaspersky online, poi farò anche quella con BitDefender.
Ma invece per l'errore di Spybot che mi dite?
Me lo dà ogni volta che faccio una scansione. |
|
| Top |
|
|
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 01 Mag 2008 10:14 Oggetto: |
|
|
Ieri dopo le scansioni virus sono schizzata a letto... 
Comunque il computer risulta pulito, grazie per l'aiuto!
Adesso rimane da capire cos'ha Spybot che non va.
Se cancello quel file e lo copio dall'altro computer? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 01 Mag 2008 22:51 Oggetto: |
|
|
Fatto tutto!
E anche Spybot non da più problemi.
Grazie mille! 
Gavy
Ah... domandina finale. 
Quando auslogics ha terminato la deframmentazione mi ha dato questo messaggio:
| Citazione: | Warning: your PC is not optimized
...
Download Auslogics Bootspeed ti improve the performance of:
- Windows core
- Internet browser
- Disks and the Registry |
Devo scaricare e installare questo bootspeed? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 02 Mag 2008 20:30 Oggetto: |
|
|
| Gavilan ha scritto: | | Devo scaricare e installare questo bootspeed? |
No, è solo pubblicità per farti scaricare il programma "di punta" della Auslogics. (ovviamente, a pagamento)  |
|
| Top |
|
|
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 02 Mag 2008 21:14 Oggetto: |
|
|
Ah ecco! 
Grazie ancora bd.  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 03 Mag 2008 14:42 Oggetto: |
 |
|
Allora, ti spiego perché l'ho cercato su un altro sito.
Quello scaricato da Bleeping Computer funziona (ho provato ora) ma ieri invece dava un errore. Forse si è danneggiato il file trasportandolo su chiavetta?
Quello di TechSupport Forum è un file da 0kb!
Quello del Foro Spyware o non esiste più oppure è sbagliato il link.
Quello di Geeks to go quando lo faccio partire mi da il messaggio di errore "Installazione non riuscita".
|
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
