Questa sera, durante le operazioni di normale manutenzione sul P.C., tra le altre diverse cose, eseguo come sempre, anche un controllo con HThis e mi ritrovo:
O23 - Service: 841B1D0A - Unknown owner - C:\WINDOWS\system32\841B1D0A.exe (file missing)

O23 - Service: a-squared Free Service (a2free) - Unknown owner - c:\programmi\a-squared free\a2service.exe (file missing)

Premetto che ASquared Free lo ho disinstallato da un paio di settimane.
Incuriosito, eseguo una verifica e salta fuori che il caro estinto (ASquared) attiva un servizio; se il servizio non viene, prima, disabilitato, la voce 023 rilevata da Hthis non viene fixata, ovvero si ricrea.
Naturalmente, ho provveduto a terminare il servizio ed a fixare la voce in questione.
Questo, a titolo puramente informativo, nel caso in cui dovesse accadere di trovare, sul forum (in particolare nella discussione dedicata alla analisi dei log di HThis), log che presentino quella voce.

Passiamo oltre (per comodità allego tre screenshot che riguardano l'intera questione):

http://img142.imageshack.us/img142/6562/89165641bn2.th.png (http://img142.imageshack.us/my.php?image=89165641bn2.png)

http://img142.imageshack.us/img142/9431/43454411nr2.th.png (http://img142.imageshack.us/my.php?image=43454411nr2.png)

http://img142.imageshack.us/img142/3220/36115888um6.th.png (http://img142.imageshack.us/my.php?image=36115888um6.png)

Qualcuno ha una idea di cosa sia o a cosa possa riferirsi il servizio 841B1D0A?
Il servizio in questione risulta arrestato; ho verificato che non ha relazioni di dipendenza con altre componenti di sistema e che non ci sono componenti di sistema che dipendono dal quel servizio.
Credo sia superfluo sottolineare che 841B1D0A.exe non è presente in System32.

socio sei riuscito a vedere la data di creazione? puoi provare a scansionare con combo..se te lo rileva dovrebbe dircela

(ot: sto cacchio msn non vuole saperne di aprirsi :rolleyes: )

**

socio sei riuscito a vedere la data di creazione? puoi provare a scansionare con combo..se te lo rileva dovrebbe dircela
Come abbiamo già detto in messenger, quel servizio può considerarsi defunto, però mi piacerebbe sapere cosa è (sicuramente, è qualcosa che residua dopo il casino in cui mi ero infilato quando avevo deciso di cambiare, radicalmente, la configurazione di sicurezza).
In ogni caso, anche se non si evidenzia nulla di anomalo: qui il log di Combofix (http://www.fileup.itadib.com/download.php?id=Www01oICDqUVqFglT5Rf)

combofix lo rileva solo come servizio ma senza data

S3 841B1D0A;841B1D0A;C:\WINDOWS\system32\841B1D0A.exe [] ed inattivo...;)

vabbè socio zompalo...e che s'è visto sè visto.....;)

zompalo da dos con sc delete....;)

vado a pranzo ci si becca dopo......

ps:il servizio non è piu attivo,ma qualcosa te la sei beccata in pieno,in passato,ti è andata bene:O

...... il servizio non è piu attivo,ma qualcosa te la sei beccata in pieno,in passato,ti è andata bene
Ho l'impressione che tu non sappia di cosa stai parlando :cool: : quel servizio è orfano di una disinstallazione e, non dipende, quindi, da qualcosa (altamente improbabile) che, a tuo parere, avrei preso in passato.
Per essere precisi (visto che le cose non le lascio mai a metà) dipende dalla disinstallazione dell'Ad-Watch e del relativo software, AdAware Professional - un software regolarmente licenziato ...... cosa questa, della quale, ritengo, tu disconosca il concetto.
Già sono costretto a leggere parecchie delle tue sciocchezze sul forum ..... evita, per favore, di esprimerne altre nelle occasioni (rarissime) che mi riguardano direttamente e, per le quali, mi rivolgo, ai miei soci.
combofix lo rileva solo come servizio ma senza data ed inattivo... vabbè socio zompalo...e che s'è visto sè visto.....
Ciao socio ;) lo ho stroncato semplicemente per il fatto che ho mollato AdAware.
Socio, devo dirti che il servizio orfano, prima di farsi falciare, mi ha fatto penare un pò (chissà perché gli unistall non servono ad un c****).
Comunque, una volta stabilita la provenienza (reinstallazione e nuova disinstallazione di alcuni software che avevo disinstallato), questione risolta.

mi spiace se ti trovi costretto a leggere cio che scrivo:(
cerchero di postare il meno possibile:)
sai che leggendo e rileggendo la tua spiegazione non ci ho capito na mazza?:mbe:
il servizio era personalizzato?come sei risalito che era di quel programma?te lo ha reinstallato e riavviato?:mbe:
il fatto che google non restituisce niente lo ignori?
aiutami a capire senza flame,grazie;)

sai che leggendo e rileggendo la tua spiegazione non ci ho capito na mazza?
Eh lo so :cool: ..... ma non è colpa mia.
Il fatto che Google non restituisca niente, non significa nulla ;).
Evidentemente sono il primo al mondo che si è accorto della questione e, poi, non è che Google sia la panacea di tutti i mali.
Tra l'altro, sia Lancetta che io, ci eravamo già accorti (sai, a volte capita anche a noi di fare delle ricerche utilizzando i motori di ricerca) che, sulla questione, Google, non restituisce nulla.
mi spiace se ti trovi costretto a leggere cio che scrivo ….. cerchero di postare il meno possibile
Ma figurati .... continua, tranquillamente a postare, non vedo dove sia il problema ..... two è sempre meglio di one ..... o no??? :doh:

ricorda vagamente un nome random che assume rootkit unhooker (<- cazzata :D)

il fatto che si ricrei è strano...

Eh lo so :cool: ..... ma non è colpa mia.
Il fatto che Google non restituisca niente, non significa nulla ;).
Evidentemente sono il primo al mondo che si è accorto della questione e, poi, non è che Google sia la panacea di tutti i mali.
Tra l'altro, sia Lancetta che io, ci eravamo già accorti (sai, a volte capita anche a noi di fare delle ricerche utilizzando i motori di ricerca) che, sulla questione, Google, non restituisce nulla.

Ma figurati .... continua, tranquillamente a postare, non vedo dove sia il problema ..... two è sempre meglio di one ..... o no??? :doh:

ok bella dialettica,ma le risposte sul servzio?:mbe:
a me quelle interessano:rolleyes:

ricorda vagamente un nome random che assume rootkit unhooker (<- cazzata :D) il fatto che si ricrei è strano...
Bug, chi ha detto che si ricrea??? :mbe: quel servizio e morto e sepolto: a me interessava solo sapere da cosa dipendeva, tutto li.
Stabilito quello, problema risolto (non sego un servizio se non so di cosa si tratta).
La voce che si ricreava, dopo averla fixata era quella relativa ad ASquared free (pensavo di essere stato chiaro nel mio primo post); ed ho segnalato la cosa perchè mi sembrava importante ai fini della discussione relativa alla analisi dei log di Hthis.

ok bella dialettica,ma le risposte sul servzio? ..... a me quelle interessano .....
Rileggi il post #7. mi sembra chiaro.
Chiusa la questione.

Bug, chi ha detto che si ricrea??? :mbe: quel servizio e morto e sepolto: a me interessava solo sapere da cosa dipendeva, tutto li.
Stabilito quello, problema risolto (non sego un servizio se non so di cosa si tratta).
La voce che si ricreava, dopo averla fixata era quella relativa ad ASquared free (pensavo di essere stato chiaro nel mio primo post); ed ho segnalato la cosa perchè mi sembrava importante ai fini della discussione relativa alla analisi dei log di Hthis.


Rileggi il post #7. mi sembra chiaro.
Chiusa la questione.

per me non è chiaro
se il servizio non si ricrea,come dici tu,come hai fatto ad attribuirlo ai software che ritieni responsabili di cio:mbe:
io sto parlando del servzio col numero strano,l'altro è evidente che appartiene ad a-squared:rolleyes:
se con google cerchi il nome del servzio leggittimo,cioè Ad-Watch.exe,in nessun log di haijckthis spuntano servizi numerici alla posizione 023,posso linkarti almeno 7 discussioni coi relativi log in svariati forum noti,se vuoi;)

per me non è chiaro ......
Forse non ci siamo capiti: qui di fondamentale è che sia chiaro per me, non per te.
Per i posteri, la spiegazione che cerchi (in considerazione, poi, che non avevo postato per risolvere un problema ma per metterlo a conoscenza di altri ..... sono due cose diverse) è contenuta nel post #7.
A meno che ..... tu non voglia farmi eseguire la famosa procedura (con tanto di pubblicaziobne di log) suggerita sul forum ;)
Ultima cosa ..... non parlare di flame con me, quando decidi di fare lo sborone, pubblicando, in un reply, una immagine che non ha nulla a che fare e a che vedere con la discussione.
E, con questo, per quanto mi attiene, la discussione termina qui.

perche parli dei post precedenti quando negli ultimi due ti ho chiesto delle informazioni precise sulla questione relativa al servizio numerico?
che ti sto antipatico è chiarissimo,meno la provenienza di quel servizio...:rolleyes:
a me farebbe piacere come sei riuscito ad associarlo a ad-aware,tutto qui;)

perche parli dei post precedenti quando negli ultimi due ti ho chiesto delle informazioni precise sulla questione relativa al servizio numerico?
che ti sto antipatico è chiarissimo,meno la provenienza di quel servizio...:rolleyes:
a me farebbe piacere come sei riuscito ad associarlo a ad-aware,tutto qui;)

lo sanno tutti che ad-aware ha un servizio antispyware interno.....

lo sanno tutti che ad-aware ha un servizio antispyware interno.....

servizio che non spunta in alcun log,se non quando disinstalli il prodotto?
non credo sai

servizio che non spunta in alcun log,se non quando disinstalli il prodotto?
non credo sai

mah lo installai ad un cliente un'anno fà ma subito disinstallato per il fatto che vidi con i miei occhi crearsi un servizio sconosciuto nei servizi di sistema per farti capire si installa durante il setup

ripeto in nessun log con installato quel software viene riscontrato un sevizio simile

ripeto in nessun log con installato quel software viene riscontrato un sevizio simile

ma scusami l'utente che ha aperto il tread è stato molto chiaro disinstallando l'ad-aware pro ha stroncato il servizio stop

ma scusami l'utente che ha aperto il tread è stato molto chiaro disinstallando l'ad-aware pro ha stroncato il servizio stop

chiarissimo,come te:cool:

ripeto in nessun log con installato quel software viene riscontrato un sevizio simile
Ma tu sai leggere? stiamo parlando di ADWARE PROFESSIONAL che implementa un servizio di protezione in realtime (con relativo update automatico che attiva il suo benedetto servizio) che si chiama AD-WATCH.
Mi appare evidente che se installo la versione free che non implementa AD-WATCH una volta che lo disinstallo (a meno che non lo disinstallo a c****) non troverò mai traccia su un benedetto log che possa essere quello di Hthis o quello che ti pare.
Ora, per chiudere la questione, devo pubblicarti, per farteli analizzare, un log di HThis ed un nuovo log di Combofix (cosa che, ovviamente, non farò)?.

http://forums.techguy.org/malware-removal-hijackthis-logs/569526-winatinvirus-2006-systemdoctor-2006-other.html

in quel log la versione del programma è la pro?
cosa devo pensare,che se disinstalli il programma il nome del servizio cambia o si crea ex-novo?

http://forums.techguy.org/malware-removal-hijackthis-logs/569526-winatinvirus-2006-systemdoctor-2006-other.html

in quel log la versione del programma è la pro?
cosa devo pensare,che se disinstalli il programma il nome del servizio cambia o si crea ex-novo?

si è la pro ;)

si è la pro ;)

e fin qui ci siamo:)
adesso visto che la versione è la pro e ha il modulo real-time vedo gli .exe attivi nel log,lo stesso non si puo dire di quel servizio strano,me lo sai spiegare?
se non è mai spunatato in alcun log,cosa devo pensare che il programma installa un rootkit "leggittimo"?

Trovo la discussione molto interessante. Di mio ho installato Ad-Aware pro 2007 7.0.2.6 sulla VM e tra i servizi attivi c'è solo Ad-Aware 2007 Service e due processi sono attivi aawservice.exe e Ad-Watch 2007.exe.
Il servizio con nome random non compare.
Forse con runscanner si riesce a trovare qualche altra traccia lasciata nel registro da quel processo.

Trovo la discussione molto interessante. Di mio ho installato Ad-Aware pro 2007 7.0.2.6 sulla VM e tra i servizi attivi c'è solo Ad-Aware 2007 Service e due processi sono attivi aawservice.exe e Ad-Watch 2007.exe.
Il servizio con nome random non compare.
Forse con runscanner si riesce a trovare qualche altra traccia lasciata nel registro da quel processo.

trovo anch'io che sia interessante,di certo non lo è per chi la questione dice di averla risolta:rolleyes:
anch'io stamattina ho installato il programma(confermo i tuoi stessi processi e servizi) e naturalmente l'ho disinstallato per vedere se mi restava anche a me un servizio random,ebbene 4 volte installato,4 volte disinstallato,in entrambe le situazioni non c'era alcun servzio strano numerico:read:
potrei anche postare o uppare il responso di reg show,un software che monitora le modifiche al registro(servizi compresi) quando si installa un programma.
preciso che l'ho installato e disinstallato 4 volte con 4 modalita diverse,dall'uninstall proprietario,a win,a ccleaner,a tuneup utilities.In nessun log di hijckthis e altri softw(prevx csi),run scanner(nel caso dell'utente individurebbe il servizio ma lo potrebbe solo falciare,non capire a cosa si riferisca:read: perche google e la casa di runscanner non gli restituirebbe niente,cmq sarà pieno di voci rosse:doh: )non c'era il servizio random,nè il file in system 32.;)
ancora aspetto il ragionamento dell'associazione ad-aware:rolleyes:

Ho l'impressione che tu non sappia di cosa stai parlando :cool: : quel servizio è orfano di una disinstallazione e, non dipende, quindi, da qualcosa (altamente improbabile) che, a tuo parere, avrei preso in passato.
Per essere precisi (visto che le cose non le lascio mai a metà) dipende dalla disinstallazione dell'Ad-Watch e del relativo software, AdAware Professional - un software regolarmente licenziato ...... cosa questa, della quale, ritengo, tu disconosca il concetto.
Già sono costretto a leggere parecchie delle tue sciocchezze sul forum ..... evita, per favore, di esprimerne altre nelle occasioni (rarissime) che mi riguardano direttamente e, per le quali, mi rivolgo, ai miei soci.

Ciao socio ;) lo ho stroncato semplicemente per il fatto che ho mollato AdAware.
Socio, devo dirti che il servizio orfano, prima di farsi falciare, mi ha fatto penare un pò (chissà perché gli unistall non servono ad un c****).
Comunque, una volta stabilita la provenienza (reinstallazione e nuova disinstallazione di alcuni software che avevo disinstallato), questione risolta.
Non mi sembra proprio un atteggiamento corretto da adottare, tutti hanno diritto d'esprimere la propria opinione in modo libero purchè non venga meno il rispetto della netiquette e del regolamento del forum.
Quello che vedo io è semmai un immagine fuori luogo ma nulla che possa in modo oggettivo avvallare il tuo approccio al dialogo.
Non entro in merito della questione "servizio orfano" lasciando a te questa analisi e ricerca ma evita totalmente questo atteggiamento che tendi d'avere.
L'arroganza non è di casa qui ;)




@ IG0R:
evita di provocare perchè ovviamente se istighi poi non è che puoi lamentarti delle conseguenze...
chiarisco anche con te ,tanto da evitare situazioni complesse) che l'arroganza non è di casa qui...
l'immagine era alquanto fuori luogo!

@ riverside:
potevi per lo meno inserire il tag nel titolo del Sistema Operativo,visto che sei ampiamente fisso in questa sezione dovresti saperlo!!!! :mad:

@ riverside: potevi per lo meno inserire il tag nel titolo del Sistema Operativo,visto che sei ampiamente fisso in questa sezione dovresti saperlo!!!! :mad:
Vero Deg ma, visto che di solito non apro post, mancando l'abitudine, non ci ho neppure pensato :(

cercate anche di aiutarmi nella ricerca thread risolti per modifica titolo e riassunto

ho editato l'immagine:)
cmq l'avevo messa in modo ironico per via di questo piccolo scontro avuto con l'utente riverside in uno dei miei primi post in questa sezione
http://www.hwupgrade.it/forum/showthread.php?t=1608932

mi scuso se ho urtato gli animi;)

adesso con calma e tranquillità,desidererei che l'utente riverside mi spiegasse l'associazione di quel servizio con ad-aware pro e nel caso confermasse la sua teoria di segnalare al piu presto alla casa madre la presenza di quel servizio random creato da quel programma.

al post numero 26 anche l'utente nuz sottolinea le mie stesse impressioni,derivate da esperienze dirette col software in questione.

Le mie domande sono sparse tra i vari post del topic,stavolta credo di non aver usato toni arroganti,quindi mi farebbe piacere avere una risposta pacata e in tema con l'argomento trattato:)

bhe se river non ti ascolta rimarrebbe lui infetto se partiamo con questa ipotesi relativa a quel servizio autoavviato ma "orfano"... come del resto molti worm appaiono :)

però non puoi nemmeno picchiare un utente perchè non ti ascolta, come molti infetti in questa sezione prima di averli collaborativi passa diverso tempo, ma si è sempre liberi di ricordar loro che non è nostro quel pc :D

in sostanza ho il tuo stesso sospetto :)

Salve,

interesserebbe anche me sapere se il programma AdAware Professional potrebbe installare strane schifezze come quel servizio orfano.

Grazie

niente?

+

Salve, interesserebbe anche me sapere se il programma AdAware Professional potrebbe installare strane schifezze come quel servizio orfano.
Dopo aver installato (giusto per capire) la nuova versione, devo dire che il problema era, esclusivamente, mio.
La vecchia versione che utilizzavo, dopo aver fatto il giro delle sette chiese evidentemente è infetta (tra l'altro, per riverificare la cosa, la ho anche reinstallata, e mi sono accorto che non installa, nemmeno più, il componente ad-whatch).

Per il resto, quel servizio orfano, ormai è stato stradicato.

OK,

grazie mille per la risposta