non ce la faccio più!
ho piu di 1000 files infetti.. ogni volta che provo a toglierli lo fa e al riavvio successivo ce ne sono sempre altri... ma come faccio!

ho fatto anche quello che c'è scritto sul sito symantec, ovvero disattivare il restore, andare in modalita provvisoria, eliminare le stringhe con regedit, scannare e disinfettare, mettere l apatch di windows...

ma nulla.. riavvio e voila ci sono sempre i soliti amici!!!


ragazi vi prego datemi una mano.. e una settimana che combatti con tutti sti mostriciattoli derivati da quel maledetto directs.exe non ce la faccio piu!!! :( :muro: :muro: :muro:

Ciao,

hai un firewall inserito?
Hai win XP?
Verifica di avere ICF attivato se hai l'XP
Hai una connessione ADSL?

Te lo chiedo perchè ho letto questo:

"This worm is a variant of the W32/Beagle.P@mm. The worm spreads using its own SMTP engine to addresses found on the victim machine. Additionally, it installs a backdoor trojan on the infected computer wich opens the port 2556, that allows the attacker to access the infected computer. It searches local drives and infects files with the '.exe' extension. This variant uses a vulnerability in Microsofts Internet Explorer ('Object Tag vulnerability') to download the '.exe' file, which contains the worm, from the internet and execute it on the local system"

EDIT: scusa, ho scordato un pezzo :D

In pratica mi par di capire che se hai la porta 2556 non "stealth" rischi di ribeccarlo subito, specie con adsl

avevo xp poi ho messo me credendo di risolvere i problemi m anulla.. format su format la cosa non cambia

si ho adsl

per ilr esto aiutatemi non so piu che fare... :(

1) disattiva system restore
2) lancia questo fix (http://securityresponse.symantec.com/avcenter/FxBeagle.exe)
3) fai una pulizia dei files temporanei di internet
4) aggiorna internet explorer (windows update)
5) cambia browser :D
6) aggiorna antivirus e fai una scansione
7) installa un firewall freeware (tipo sygate)

prova così

Ciao

Eraser ;)

niente ...


:cry: :cry:

log di hijackThis?

come faccio a farlo?

Logfile of HijackThis v1.97.7
Scan saved at 21.14.12, on 28/05/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\ESET\NOD32KRN.EXE
C:\WINDOWS\SYSTEM\DIRECTS.EXE
C:\WINDOWS\SYSTEM\DIRECTS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\GSICON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\FILE COMUNI\CMEII\CMESYS.EXE
C:\PROGRAMMI\ESET\NOD32KUI.EXE
C:\WINDOWS\SYSTEM\DIRECTS.EXE
C:\PROGRAMMI\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMMI\FILE COMUNI\GMT\GMT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\VENOM\VENOM4.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMMI\FILE COMUNI\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [PersFw] "C:\Programmi\Kerio\Personal Firewall\persfw.exe" /hide
O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Programmi\Eset\nod32krn.exe"
O4 - HKCU\..\Run: [directs.exe] C:\WINDOWS\SYSTEM\directs.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38131.3065972222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



il directs.exe e quel beagle ma mi si riforma sempre!

Ciao,

ho notato queste cose:

DIRECTS.EXE = come sai questo è il tuo virus Bagle.q
STMGR.EXE = è un virus? Non avevi disattivato il system restore?
CMESYS.EXE = questo è uno spyware
GMT.EXE = questo è uno spyware
DDHELP.EXE = direct draw help? sicuro? bah!

EDIT:

e queste? che schifezze sono?

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL

guarda io sono proprio ignorante quindi nn so proprio che siano!
come facio a togliee quelle cose che ho?
il directs.exe l'ho anke tolto dal registro ma rimane!!
cmq il restore l'ho disattivato

:(

Originariamente inviato da Piccolo85
guarda io sono proprio ignorante quindi nn so proprio che siano!
come facio a togliee quelle cose che ho?
il directs.exe l'ho anke tolto dal registro ma rimane!!
cmq il restore l'ho disattivato

:(

Ciao,

spero che qualcuno più bravo di me possa darti indicazioni risolutive, per quanto mi riguarda posso solo dirti che quelle voci in qualche modo devi toglierle di mezzo.

Per alcune di esse (CMESYS.EXE GMT.EXE ) suppongo basti un programma tipo cwshredder - ad-aware - spybot. In alternativa, dopo averne terminato i processi da task manager puoi tentare di cancellarle brutalmente magari dalla mod. provvisoria!

Questo: "C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE" secondo me non deve esserci, non ho trovato informazioni precise in giro, ma secondo me va cancellato. Verifica che il ripristino di sistema sia veramente disattivato. E' possibile che sia questo che ti rigenera il bagle :confused:

Anche questo: "C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL" secondo me è una cosa anomala e va cancellato

Nota:
ti sto dicendo cosa farei io, lungi da me la presunzione di certezza in queste affermazioni :)

Solamente dopo aver tolto queste cose proverei a lanciare il remover per il bagle q.

Prova anche con stinger: http://vil.nai.com/vil/stinger/ anche stinger ha il remover per il bagle.

p.s.
DDHELP.EXE non mi piace però non so esattamente cosa sia, quindi per il momento non cancellarlo, aspetta altre campane