E' un worm o un backdoor

Che ci sta creando un sacco di problemi

Crea dei servizi in esecuzione e nonostante si ripulisca il PC in modalità provvisoria andando a Pulire le chiavi di registro e si elimino i file Dopo un giorno o due si ricrea

Su internet ne parla solo una società Koreana di antivirus e lo definisce come un worm

HELP HELP HELP

Ciao,

sembra abbastanza raro... le uniche informazioni per la rimozione su internet provengono dalla società ahnlab: http://info.ahnlab.com/securityinfo/virus_view_eng_new.jsp?SEQ_NO=1592 e mi sembrano abbastanza chiare... non funzionano?

Puoi provare ad inviare l'eseguibile per un'analisi a eraser (http://forum.hwupgrade.it/showthread.php?s=&threadid=623820) forse lui lo conosce :D

Ho anch'io lo stesso problema e le istruzioni del sito coreano sono inutili perchè non esistono quelle entry nel registro (almeno nel mio).
Per superare il problema ho creato con edit un filettino con il nome sysfirewall.exe in sola lettura e l'ho sostituito all'originale.
Facendo questo non parte il servizio per un errore segnalato nel "Registro eventi di sistema".
Attenzione perche il file sysfirewall.exe viene scritto anche in:
c:\
c:\winnt
c:\winnt\system32
f:\

ho messo lo stesso filettino anche in queste directory.

gr

Allora sia Mcafee e Symantec l'hanno finalmente scovato

E' una variante del

w32/gaobot.worm

Non c'è modo se non in modalità provvisoria:

In ogni caso per rimuoverlo a mano occorre:
- fermare il servizio "system firewall" e renderlo disabilitato al reboot
- fermare il processo sysfirewall (occorre qualche tentativo prima di
riuscirci)
- se possibile disinstallare il servizio "system firewall"
- rimuovere a questo punto tutte le chiavi di registry dove compare, tenendo presente che quando l'eseguibile viene fermato le riscrive; quindi occorre essere certi di averlo fermato prima di rimuovere le chiavi.
- rimuovere le false entry dal file hosts

Mi spiace , ma non funziona così.
Ho stoppato il processo, ho disabilitato il servizio, ho cancellato i riferimenti nel registro di sistema, ma qualcosa lo riscrive nello stesso registro(HLM\System\ControlSet001\Services e oggi l'ho trovato ripetuto due volte con nomi diversi), ma non quando faccio il reboot.
Ci deve essere un agente che fa queste azioni.
E' necessario continuare la ricerca.

Devo fare lo scan con McAfee nella modalità provvisoria. Vi farò sapere

Infatti il problema è che c'è qualche Agent che lo riavvia e lo ricrea

Da me con la modalità Provvisoria lo Elimina

Ma c'è qualcosa che lo ricrea

Mi spiego si può eliminare in modalità provvisoria ma non c'è niente che ne impedisca il ritorno

Perchè gli antivirus non lo bloccano

Il fix di symantec lo riconosce ma nn lo elimina rimane in esecuzione

La cosa strana è che ci sono macchine che lo prendono e altre no e che si riforma sulle stesse macchine

Grazie della collaborazione

Questo l'indirizzo in cui symante ne parla:

http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.removal.tool.html

Allora aggiornamenti

Il nostro server antivirus lo rileva come

W32.spybot.worm

Ma nn lo elimina e nn lo cancella

P.s

Noi abbiamo symantec corporate edition 9.X

Io l'ho tolto ieri sera...uisando il programma V3pro 2004 ! nessun altro antivirus lo toglie....!

Mi consumava il 90% della cpu

Cmq strana sta roba che solo anlhab ne parlava e solo anlhab ha un Antivirus che lo Elimina

Gatta ci cova........

Lanciato l'antivirus McAfee in modalità provvisoria

Build 9.0.10
Engine Ver: 4.4.00
Dat Version: 4.0.4415
Dat File Created:15712/2004

e, come supponevo, non ha evidenziato nulla.

Per quanto ne so io, l'antivirus MYv3 segnala come infetto il file sysfirewall.exe e lo elimina pure, ma credo che qualche processo lo ricrea di nuovo.

Siccome da quando sono ripartito a questo momento, ho solo lanciato Explorer, mi chiedo se non sia qualcosa nascosto nella procedura di lancio di Explorer.

Credo che, fino a quando non si troverà il "maledetto", è necessario ingannarlo dandogli in pasto un falso sysfirewall.exe

mi mandate il file plz?

Te l'ho mandato ieri via mail con nome virus.sysfirewall.exe

non mi è arrivato niente :confused: puoi provare a rimandarlo?

Ciao,

dato che questa schifezza che sembra un'Araba Fenice m'incuriosisce un po', potete postare il log di Hijackthis?

Per il fatto che si rigenera, avete controllato nella cartella degli ActiveX se c'è qualcosa di strano e insolito? Naturalmente, penso, avrete svuotato con cura tutte le cartelle temporanee (ce ne sono parecchie) e i file temporanei di internet?

Con Hijackthis penso sia possibile vedere se c'è qualche startup che fa riferimento a file strani annidati da qualche parte nell'hard disk...

Edit: Link per hijackthis

http://www.majorgeeks.com/download3155.html

Ecco il report:
Logfile of HijackThis v1.98.2
Scan saved at 15.06.52, on 20/12/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\programmi\mcafee.com\agent\mcagent.exe
C:\Programmi\Hewlett-Packard\HP PrecisionScan\PrecisionScan\HPLamp.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\programmi\babylon\Babylon.exe
C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\WINNT\webshots.scr
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Outlook Express\msimn.exe
C:\Hj\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = +s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = +s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://rd.yahoo.com/customize/ymsgr/defaults/su/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://rd.yahoo.com/customize/ymsgr/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.44.23.72:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {37649a61-1302-11d5-8e1b-006653c10000} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.1\SDHelper.dll
O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {eb086a5f-18a6-463b-9769-d2ba39232498} - (no file)
O3 - Toolbar: (no name) - {37649a60-1302-11d5-8e1b-006653c10000} - (no file)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [HP Lamp] C:\Programmi\Hewlett-Packard\HP PrecisionScan\PrecisionScan\HPLamp.exe
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Babylon Translator] C:\programmi\babylon\Babylon.exe
O4 - HKCU\..\Run: [PopUpStopperProfessional] C:\PROGRA~1\PANICW~1\SURECL~1\PopUpStopperProfessional.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\Launcher.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Scarica &tutto con Mass Downloader - C:\Programmi\Mass Downloader\Add_All.htm
O8 - Extra context menu item: Scarica con &Mass Downloader - C:\Programmi\Mass Downloader\Add_Url.htm
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O9 - Extra button: Sombrero - {37649a67-1302-11d5-8e1b-006653c10000} - C:\Programmi\Sombrero\SOMBMAIN.EXE (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
O16 - DPF: Yahoo! Klondike Solitaire - http://yog55.games.scd.yahoo.com/yog/y/ks12_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
O16 - DPF: {0713E8D2-850A-101B-AFC0-4210102A8DA7} (Microsoft ProgressBar Control, version 5.0 (SP2)) - http://bin.mcafee.com/molbin/Shared/ComCtl32/6,0,80,22/ComCtl32.cab
O16 - DPF: {0C568603-D79D-11D2-87A7-00C04FF158BB} (BrowseFolderPopup Class) - http://download.mcafee.com/molbin/Shared/MGBrwFld.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,84/mcinsctl.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {5DD731E6-D4F0-11D3-BE3F-00105A6FDA50} (V3ProX Control) - http://ahnlabdownload.nefficient.co.kr/plugin/myv3/myv3.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/essentials/ymmapi_0727.dll
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,21/mcgdmgr.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {DE833CC3-52E7-4C9A-BDC4-8EC24B422A2B} (Superscape VisLite) - http://www.arsvirtual.com/monum/visitas/palacio_bc/vislite/vislite.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4270/mcfscan.cab
O16 - DPF: {F3B54120-56FF-11D4-98AD-00105A5B78F0} (SWING 1.1.1 Class Files) - http://infocantieri.aem.it/download/swing/swing_installer.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify305.cab

Non vorrei seminare il panico, ma è apparto un clone del file sysfirewall.exe con nome FENSVC32.EXE.
Sembra comportarsi esattamente come sysfirewall:
si installa in c:\winnt e c:\winnt\system32.
-Apre un servizio con nome casuale
-Fa partire un processo di nome fensvc32.exe (impossibile da stoppare)
-Crea una entry nel registro (RunSevices)
e una entry nella sottosezione Apps di Personal Firewall nel registro.

me lo mandate? :D

Logfile of HijackThis v1.98.2
Scan saved at 19.04.38, on 20/12/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\programmi\mcafee.com\agent\mcagent.exe
C:\Programmi\Hewlett-Packard\HP PrecisionScan\PrecisionScan\HPLamp.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\programmi\babylon\Babylon.exe
C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\WINNT\webshots.scr
C:\WINNT\system32\fensvc32.exe <----------------------------
C:\Hj\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = +s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = +s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://rd.yahoo.com/customize/ymsgr/defaults/su/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://rd.yahoo.com/customize/ymsgr/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.44.23.72:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {37649a61-1302-11d5-8e1b-006653c10000} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.1\SDHelper.dll
O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {eb086a5f-18a6-463b-9769-d2ba39232498} - (no file)
O3 - Toolbar: (no name) - {37649a60-1302-11d5-8e1b-006653c10000} - (no file)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [HP Lamp] C:\Programmi\Hewlett-Packard\HP PrecisionScan\PrecisionScan\HPLamp.exe
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Fen Startups] fensvc32.exe <------------
O4 - HKCU\..\Run: [Babylon Translator] C:\programmi\babylon\Babylon.exe
O4 - HKCU\..\Run: [PopUpStopperProfessional] C:\PROGRA~1\PANICW~1\SURECL~1\PopUpStopperProfessional.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\Launcher.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Scarica &tutto con Mass Downloader - C:\Programmi\Mass Downloader\Add_All.htm
O8 - Extra context menu item: Scarica con &Mass Downloader - C:\Programmi\Mass Downloader\Add_Url.htm
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O9 - Extra button: Sombrero - {37649a67-1302-11d5-8e1b-006653c10000} - C:\Programmi\Sombrero\SOMBMAIN.EXE (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
O16 - DPF: Yahoo! Klondike Solitaire - http://yog55.games.scd.yahoo.com/yog/y/ks12_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
O16 - DPF: {0713E8D2-850A-101B-AFC0-4210102A8DA7} (Microsoft ProgressBar Control, version 5.0 (SP2)) - http://bin.mcafee.com/molbin/Shared/ComCtl32/6,0,80,22/ComCtl32.cab
O16 - DPF: {0C568603-D79D-11D2-87A7-00C04FF158BB} (BrowseFolderPopup Class) - http://download.mcafee.com/molbin/Shared/MGBrwFld.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,84/mcinsctl.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {5DD731E6-D4F0-11D3-BE3F-00105A6FDA50} (V3ProX Control) - http://ahnlabdownload.nefficient.co.kr/plugin/myv3/myv3.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/essentials/ymmapi_0727.dll
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,21/mcgdmgr.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {DE833CC3-52E7-4C9A-BDC4-8EC24B422A2B} (Superscape VisLite) - http://www.arsvirtual.com/monum/visitas/palacio_bc/vislite/vislite.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4270/mcfscan.cab
O16 - DPF: {F3B54120-56FF-11D4-98AD-00105A5B78F0} (SWING 1.1.1 Class Files) - http://infocantieri.aem.it/download/swing/swing_installer.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify305.cab


Mi sono quasi convinto che questi attacchi arrivino dal collegamento a DC++

Bella roba

Allora La soluzione che noi abbiamo trovato è quella di rimuoverlo in manuale in modalità provvisoria

Pulendo anche i registri

Poi l'attenzione nasce sull'aggiornamento del sistema operativo alias patch sulla sicurezza

Perchè nei sistemi con Xpsp2 non attacca

Allora con l'ultima definizione di Symantec e con l'extra dat di Mcaffee viene fermato ma se non si è aggiornato anche Windows si riforma anche se con l'antivirus in azione dopo averlo eliminato sembra che lo fermi

E' Un problema di attacco alle porte e quindi sfrutta una vulnerabilità del sistema di Windows

Veramente un bel Regalo di Natale

faccio, per ora, come j.s., in attesa di qualche soluzione più intelligente ed efficace.

Mandata copia del file fensvc32.exe a Eraser

purtroppo il file non mi è arrivato :(

Puoi rimandarmelo a virusfree@gmail.com? forse ho problemi sulla prima casella di posta

rimandati entrambi all'indirizzo che hai indicato.:)

guarda, mi era già successo con un altro utente che mi mandava i files ma non mi arrivavano.

Probabilmente li blocca in qualche modo il tuo antivirus. Puoi disabilitare momentaneamente il controllo in real time e della posta quando mi invii il file?

grazie per la pazienza :)

Magari mandandolo zippato........

si ma zippato con password, sennò il discorso è uguale :)

Perche continuate a complicarvi la vita quando potete levarlo in 3minuti come ho fatto io??? io nn ho delettato il virus...ho solo riparato il file!

x Eraser - mandata l'e-mail con i file zippati

x Enigmaxxx .. bravo!! , ma non essere così enigmatico :)
spiegaci in dettaglio come hai operato

Infatti spiega

O sono solo parole a vanvera.....

Cerca online il programma V3Pro 2004 , scarichi,installi fai aggiornamento e con l'aggiornamento te lo toglie in automatico! dopo fai scansione di controllo, installi nod32 altro aggiornamento altra scansionee come risultato sistema operzativo ripulito completamente!Ah...se si ha norton 2004 bisogna toglierlo prima di fare tutto cio' e bisogna togliere dall'avvio del computer il file sysfirewall.exe

Ultime notizie.
Installato l'antivirus della eAcceleration software.
La scansione completa ha dato come infetti da Win32.HLLW.Agobot i due files syfirewall.exe e fensvc32.exe che avevo rinominato.
Per riassumere:
gli unici antivirus che trovano qualcosa sono: eAcceleration e MYv3, tutti gli altri falliscono.
La mia soluzione, magari non troppo brillante, ma vi assicuro che funziona, ho sostituito i due file exe(in tutte le locazioni dove veniva scritto) con un semplice file di testo rinominato come loro e dichiarato "in sola lettura".
I servizi che il virus tenta di aprire falliscono con il seguente messaggio:

Il servizio pxofgj non è stato avviato per il seguente errore:
Accesso negato.

Per ora rimango così, ma sempre attento ad avere qualche dritta dagli esperti

Io dalle mie macchine ho risolto (ma che sbattimento)

Nel senso che una volta ripulita in modalità provvisoria deletando i servizi

Ho aggiornato l'antivirus

Symantec Antivirus corporate edition 9.0
E amici l'hanno fatto con Mcafee con un extradat modificato apposta

Una volta partito se il Sysfirewall in qualche modo si riproduce viene eliminato dagli antivirus

Morale se è attivo viene visto ma nn cancellato
Se lo si blocca in modalità provvisoria e poi si ha un antirus dei due sopra lui si ripresenta(e questa è una cosa che nn capisco)ma viene eliminato immediatamenete

Per Bluepix il caso della seconda estensione è discusso qui:

http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.ccf.html

Il Dubbio comunque è da cosa parte e perchè io sono quasi convinto sia un problema di Aggiornamento del sistema operativo

Guardacaso ho casi solo su W2k

io vi hod etto ocme l'ho tolto....ci ho messo poco e nn ho piu nessun problema! ho tolto quel virus e una decina di trojan tutti in un botto

Io ho paura sia un problema di Windows Updates! perche'ì ho fatto gli agigornamenti e mi e' comparso il virus, nn riuscivo a toglierlo e ho formattato il pc....tutto apposto fino a quando appena ho finito di fare gli aggiornamenti mi e' ricomparso nuovamente!

Direi che sono preoccupato.
Non esiste un antivirus che funzioni.
Ognuno scopre un virus diverso e non è possibile avere/acquistare tanti antivirus insieme.
Non posso riempire la macchina con così tanti processi.
Io, per fortuna, devo sorvegliare solo il mio, ma che può fare un responsabile con decine/centinaia di macchine?

Per j.s, anche la mia macchia è un w2k professional aggiornato con tutte le patch di microsoft.

Per Enigma .. sei serto che non si riproduca ancora. Non si è ancora scoperto la causa che crea un processo nel registro di cui allego immagine

Bluepix
io sono responsabile di una società di 250 macchine interne e un centinaio in sedi esterne

Per cui immagina il caos

Ha bucato e mandato in tilt il firewall e una volta che è residente sulla rete per eliminarlo serve solo operare in locale e avere l'antivirus aggiornato

Un bellissimo regalò di natale

Che per fortuna ha attaccato solo le macchine con w2k perchè quelle con wNT e le ultime compresa la mia con wXpSp2 non l'hanno proprio visto

Adesso aspetto delle risposte da Microsoft e da Symantec appena le avrò vi farò sapere

Secondo me e' un problema degli updates! possibile che tutti i windows 2000 che fanno gli aggiornamenti hanno questo virus?????

Cmq io l'ho tolto da una settimana circa e nn ho avuto piu' nessun problema...! non mi si e' ricreato...

Se non sbaglio e' da qui che lo preso....provate tanto non vi costa nulla! scaricatelo...installatelo...aggiornatelo e fate la scansione!

http://www.download.com/V3-Pro/3000-2239_4-10309228.html

scusatemi ragazzi ma io continuo a non ricevere nessun file :confused: provate a zipparlo con password :confused:

Eraser io te l'ho mandato zippato con password, però ho ricevuto questo messaggio di ritorno:

Questi destinatari sono stati elaborati dal server di posta:
virusfree@gmail.com; Non riuscito; 5.3.4 (messaggio troppo lungo per il sistema)

MTA remoto gsmtp185.google.com: errore di rete


- Diagnostica protocollo SMTP: 552 5.7.0 Illegal Attachment


che posso fare?

mandalo così come hai fatto a fileanalysis@email.it

Vabbo io vel'ho detto...nn rispondo piu ghghgh ! buona fortuna.

Non prenderla così Enigma ......
stiamo solo cercando di discutere su questi tipi strani di virus che stanno girando in questo momento.
Solo se portiamo il nostro contrubuto possiamo difenderci meglio.
Non credi?

files rimandati ... incrociamo le dita

Originariamente inviato da bluepix
Non prenderla così Enigma ......
stiamo solo cercando di discutere su questi tipi strani di virus che stanno girando in questo momento.
Solo se portiamo il nostro contrubuto possiamo difenderci meglio.
Non credi?


Certo...ma il modo di toglierlo vel'ho detto piu di una volta....pare che non mi ascoltiate!

L'indirizzo che hai dato enigma nn è raggiungibile....

In effetti l'antivirus che indica Enigma l'avevo scricato all'inizio di questa storia.
Però quando voglio installarlo mi chiede di rimuovere tutti gli altri antivirus(se voglio che lavori bene), cosa che naturalmente non faccio.
Peccato.....

Per Enigma..... è interessante sapere quali files ha segnalato come infetti.
Di certo sysfirewall.exe .... e che ha fatto d'altro?

Ho provato stanotte anche ewido, ma non ha segnalato niente:mad:; neppure i files che avevo salvato per mandare a Eraser .

(Perchè i processi continuano ed essere messi nel registro e tentano di partire anche se non c'è nessuno che lavora su PC?:cry: )

Finalmente !!!!!!

McAfee con la vesione DAT: 4.0.4416 becca i due maligni

Wowwwwwwwwwwww


(era ora)

I link che vi ho mandato sono funzionanti,provate ad abbassare le protezioni se mai! cmq il virus nel file sysfirewall.exe me lo ha tolto in automatico subito apena installato V3 pro 2004! poi con la scansione mi ha tolto anche una decina di trojan.

Ho provato ad allegarvi il programma ma forse e' troppo grosso per il furum

http://info.ahnlab.com/english/product/01_3_01.html

Ciao a tutti!
sono nuovo del forum e pure del sito, ci sono arrivato a causa di questo sysfirewall del c...o!!!!

Non sono un esperto come voi, quindi 'macino' veramente poco l'argomento (uso il pc per lavoro tutti i giorni, ma non ho confidenza stretta con il mezzo).
Anche solo leggere le vostre discussioni cmnq mi ha fatto capire qlcs in +.

cmnq sembra che ora la soluzione ci sia o sbaglio?
io ho w2k Sp3, ho cominciato ad avere problemi quando ho installato Sp4 e da li non ne sono + uscito.
Nella mia ignoranza ho disinstallato anche il sp4..
Uso fastweb e giornalmente arrivano proprio da lì decine di virus, ora però norton non riesce ad aggiornarsi per un problema di indirizzo IP credo provocato dal virus.
ho anche un bel file 'installer.exe' nella cartella Temp che nn riesco a eliminare.
Oltre che nel sistema il file 'sysfirewall.exe' è presente anche nella partizione dei documenti...
insomma un casino.

Continuo a preferire w2k a xp, ma vedo che è vulnerabile. oppure con questa soluzione il problema si risolve?

spero di nn dover formattare, l'ho fatto il mese scorso...

Grazie e ciao a tutti,

ale

Purtroppo ci sono anch'io !!
Fastweb con tre pc in rete lan tutti con Winxp sp1 .
Il sysfirewall l'ho trovato nella cartella condivisa di un Pc e nel Hd dello stesso Pc ; poi , tramite la rete , si è diffuso negli altri.
Nel Pc infetto l'ho trovato , oltre che in " system 32 " anche nel registro : HKLM / software / microsoft / windows / current version / run .... L'ho cancellato manualmente e l'ho tolto dall'avvio di " msconfig " ma dopo un pò me lo sono ritrovato dinuovo negli stessi posti.
Il problema che mi crea è pazzesco: invia alla stampante predefinita un documento che cresce di dimensioni e si CLONA più volte (circa una trentina ) e li STAMPA TUTTI ovviamente con caratteri insesati.
Per non avere problemi devo , una volta cancellato il sysfirewall da tutti i pc , mettere il firewall di winxp su tutte le schede di rete , solo che così i Pc non si vedono più .
Oltre a sysfirewall trovo anche , ma non sempre , due exe : " tcpipsvc " e " bcvsrv32 " che , come il sysfirewall , non vengono riconosciuti dal mio Avast 4.5 .
Non so se possano creare altri problemi , ma adesso o non uso la stampante o non uso la mia lan.

Miiiiiiiiii......che stress!!!

Morby, per ora non si è ancora trovato l'agente che crea questi maledetti files.

In attesa di tempi migliore prendi il file che allego(non ti preoccupare è un banale file di testo rinominato in exe) e mettilo in:
C:\
C:\WINNT
C:\WINNT\System32
e, se ce l'hai, anche nella root dell'altro disco.(E:\)

Questo non evita che l'agente sparisca, ma evita che vengano creati i processi. (controlla poi con "visualizzare eventi" la sezione "registro eventi di sistema").

Controlla anche nel registro di sistema la keyword: runservices.

Grazie ,

per adesso useremo questo paliativo in attesa di soluzioni migliori.

Anche io non ho voluto provare l'antivirus di V3 pro perchè mi chiedeva di disistallare Avast .
Magari con l'occasione delle vacanze e di un po più di tempo ci provo!

Lungo il problema con nostron,se e' quello che ho capito io,dovresti risolverlo con questo

http://www.symantec.com/region/it/techsupp/files/lu/lu_files.html

E' un file di aggiornamento dell'updates di norton alla versione 2.5


Ma cmq io proverei altro oltre norton....a me norton mi ha dato dei problemi!


Cmq Bluepix se vuoi ci sentiamo via icq o msn e ti mando il file di instalazione di V3pro che ho io!

Ps: il problema nn deriva da fsweb..il problema per me sono alcuni aggiornamenti della Sp4

Io l'ho beccato anche se ho winxp , anche se solo con SP1 , e non ho fatto aggiornamenti recentemente.
Magari ci arriva in automatico proprio da Microsoft ma non solo con gli aggiornamenti di sp4.
Trovato anche nella cartella : Windows / prefetch

Hei , però da quando ho messo quel file che mi ha mandato Bluepix , dentro alla cartella Windows / system 32 , sarà un caso , ma non si è più presentato nè sysfirewall nè gli altri che ho menzionato prima!!
Questo da oggi alle 14,00
Ora è mezzanotte ed ancora niente !!
Proverò a lasciare la rete senza il firewall di windows tutta la notte ; al massimo verrò svegliato dalla stampante che lavora a pieno regime!!

è un virus molto subdolo...io l'ho eliminato togliendolo da system32..:)..da allora ho disinstallato norton e ho messo kaspersky..

Negativo !!!!

Purtoppo è ritornato ; stessi posti ( cartella condivisa - disco fisso - secondo disco fisso.
ed è tornato in compagnia di un altro exe. ( arun . exe ) e di altri files ( autorun - install - test file . ) e la stampante è partita a fare gli straordinari.
Ora ho provato a mettere la spunta su tutti i file alla voce " solo di lettura " nella casella delle proprietà.
Vedremo. Quello che avevo messo nella cartella " system 32 " già rinominato , e ancora li ma da solo.

Infatti devi copiarlo in tutte le locazioni che avevo detto (io ho Wk2).
quindi aggiungerei alle altre anche windows/prefetch per XP
(sempre in read-only)

x arun.exe. non sembra un file pericoloso ..... almeno così dice google

Originariamente inviato da bluepix
Infatti devi copiarlo in tutte le locazioni che avevo detto (io ho Wk2).
quindi aggiungerei alle altre anche windows/prefetch per XP
(sempre in read-only)

Purtoppo anche facendo così, e cioè copiare il file nelle tre cartelle: C:/ - C:/ windows - C:/ windows / system32 , e poi anche nella cartella " prefetch " e nel secondo disco fisso , è ritornato il sysfirewall con altri files .
L'unico modo per non beccarlo , attualmente è quello di mettere la spunta sulla casella " proteggi il computer ..... " nelle proprietà della sheda di rete.

Solo che così i Pc non si vedono , ma almeno navigo , scarico e non mo prendo niente .

Il falso file è "Read only"?
Strano comunque, perchè su wk2 il sistema funziona.:confused:

Si , purtroppo è proprio " solo di lettura " ed è quello che ho scaricato prima ; ho anche provato a ricatalogarli tutti " solo di lettura " , ma non è servito .
Tra l'altro ora sono velocissimi a presentarsi , sti ca...o di files strani !
Basta che tolga la spunta al firewall di windows e un attimo dopo trovo già nella cartella condivisa sia " sysfirewall.exe " , che altri files a scelta tra : tcpipsvc.exe , installfwall.exe , arun.exe , conditi con : autorun , install , testfile .
Nel registro non c'è più niente ( almeno dove si trovavano prima ) .
Partono dalla cartella condivisa ( sysfirewall e testfile ) e poi , pian piano li trovo nel HD , nel secondo disco etcc..
Scansione con Avast , Spybot , e Spywareblast attivo senza risultati.
Mi sa che devo proprio istallare l'antivirus V3pro.

Mi spiace Morby, ma tutto quello che sapevo l'ho scritto.
Non ho null'altro da aggiungere.

Pure a me capita che il sistema voglia stampare i driver della stampante Epson di rete:

(dal registro eventi sistema)

E_DMAI13.DLL, E_DU15CE.DLL, E_DM12RE.VIF, EPIUIE5R.HLP, E_DDSP13.DLL, E_DJB303.DLL, E_DCON02.DLL, E_DMSG00.EXE, EPIBSR20.EXE, E_DI05ME.DLL, E_DD12RE.CFG, E_DD12RE.DAT, E_DMIU01.DLL, EPIPGI10.DLL, E_DPUI03.DLL, E_DPPE03.EXE, EPIUIE5R.CNT, E_DI13AE.DOC, EPSET32.DLL, E_DHMM02.DLL, E_DUMW01.DLL, E_DHE40D.DLL, E_DSS0RE.DLL, E_DSS1RE.DLL, EPUTPID1.DXT, E_H09302.DLL, EPUTIX24.DLL, E_H0E302.DLL, E_S00RP2.EXE, E_SEST32.DLL, EPUPDATE.EXE, SETUP32.DLL ha fatto scadere il tempo di attesa del documento EPSON Stylus Photo 895, Windows NT x86 appartenente a Version-3. Lo spooler è rimasto in attesa per %5 millisecondi e non ha ricevuto dati.

e poi:

Eliminato driver EE147__1.ICM della stampante.

Il mistero è sempre fitto !!!

allora
novità importanti:
scervellandomi x due giorni ho trovato un'altra alternativa
questo metodo evita che il/i file infetti vengano eseguiti
nei sistemi operativi basati sulla tecnologia NT (NT,2k,XP)
x ogni singolo file si possono specificare gli accessi
ovvero, è possibile proibire ad un'utente l'accesso ad un file
cliccando destro, andate sul tab protezione
aggiungete il gruppo utenti "everyone"
poi nei permessi...selezionate "controllo completo"
sotto la colonna "nega"
così facendo impedirete a qualsiasi utente (compreso il sistema)
l'accesso e la modifica del file
anke se è impostato x l'autoesecuzione all'avvio.
ora non vi resta altro da fare che applicare questi criteri
ad ogni file che trovate "sysfirewall.exe".
una volta che terminerete questi processi non si riavvieranno +.

questa procedura non cancella dal sistema il virus, ma x lo meno
evita che sfrutti le vostre risorse e la vostra banda
xkè questo file non fa altro che aprire decine di porte dal vostro pc
rendendolo vulnerabile ad qualsiasi "pseudo hacker"

nb:
ho trovato un'altro file sospetto "updater.exe"
anke questo si piazza dove si trova anke il file "sysfirewall.exe"
nel mio caso è proprio questo che riavvia il "sysfirewall.exe"

nb2:
se non riuscite a terminare un processo/applicazione
utilizzate un'altro taskmanager
di solito quello di mamma maicrosoft è un po fatto alla ca**o di cane
io uso "process explorer" e riesco a terminare qualsiasi processo
anke quelli nascosti e avviati come driver di sistema

-CrashOverride™-

Scusami , ma .... ho capito proprio poco !! Anzi niente !

Dovresti essere gentile e spiegarmi per filo e per segno da dove incominciare e che cosa fare . Scusa ma sono un bel po imbranato , oltre che incazzato con sto " coso " che l'antivirus NON riconosce come tale !

Grazie

non ho riletto molte volte ma dovrei essere stato chiaro
prova a seguire passo passo quello che ho scritto

ti allego uno screen shot x farti capire ;)

Non so arrivarci alla cartella " proprietà updater "
Se clicco destro sul file , e vado sulle proprietà , trovo tre caselle :generale , compatibilità e riepilogo .

Io ho winxp sp1.

quelle sono le proprietà di uno dei miei file
tu fallo su sysfirewall.exe
strano
a scuola in laboratorio abbiamo winXP e se non ricordo male
è possibile una cosa del genere...

La differenza sta nella versione Professional e Home. La home non gestisce quei permessi :(

come non detto
noi abbiamo la professional...
cmq consiglierei di tornare al 2k :D

Sul Pc più infetto ( da dove è partita l'epidemia ) ho Xp Professional , ma pur cliccando col destro sul " sysfirewall " , nelle proprietà ci sono sette caselle: generale - programma - carattere - memoria - compatibilità - altre - schermo .
Nessuna mi porta da " proprietà updater "
Avrò una versione tarocca???!!

quello screenshot che ti ho fatto vedere si chiama proprietà updater
xkè il mio file si chiama updater.exe
il tuo sarà diverso
cmq prova a vedere se trovi almeno una schermata simile a quella

ciao ragazzi .... tutti on line stasera?

Sembra, in XP Home, che in"modalità provvisoria" venga visualizzata la linguetta "sicurezza" dove si possono fare le modifiche di accesso ai file

bene
provate xkè questo metodo non mi ha ancora dato nessun problema
ovvio che nemmeno l'antivirus puoi nemmeno leggere il file...

Ho controllato bene bene , ed ho scoperto che , nella mia versione di Winxp prof , la casella " protezione " nella cartella " proprietà " è sostituita da " compatibilità"
Sfido che non ci arrivavo. Non c'è !!!

E nella compatibilità mi da solo opzioni per rendere il file compatibile con win 95 - 98 . me .
Che casin...

controlla bene
DEVE esserci da qualche parte

Io ho solo questo

bho , io ho questo

Originariamente inviato da morby54
bho , io ho questo

i

nient'altro??

Purtroppo no !
A quella casella della " protezione " non so proprio come arrivarci.
Probabilmente la mia non sarà una versione " troppo ufficiale" , anche se , devo dire che avevo scaricato ed istallato il SP2 dal sito MIcrosoft senza nessun problema. Poi l'ho tolto perchè mi dava problemi con la lan .
Qundi se me lo ha lasciato scaricare e mettere su non dovrebbe essere una versione tarocca .O no !!!:rolleyes:

x Crash0verride il tuo approccio è ottimo.
L'ho applicato al famigerato ssmenu.exe (Teknum) e funziona.
Dovrebbe essere messo in maniera più evidente così da essere d'aiuto per tutti, specialmente quando si è beccato il micidiale virus Gaobot e varianti.

x Morby ..... ha provato riinizializzando il sistema in modalità protetta?

ops .. ssmenu.dll (non ssmenu.exe)

.

Originariamente inviato da bluepix
x Crash0verride il tuo approccio è ottimo.
L'ho applicato al famigerato ssmenu.exe (Teknum) e funziona.
Dovrebbe essere messo in maniera più evidente così da essere d'aiuto per tutti, specialmente quando si è beccato il micidiale virus Gaobot e varianti.

x Morby ..... ha provato riinizializzando il sistema in modalità protetta?

questa è una variante di gaobot -.-''

[B

x Morby ..... ha provato riinizializzando il sistema in modalità protetta?
------------------------------------

Avrei bisogno di molte più istruzioni perchè sono sprovveduto!
Innanzitutto modalità protetta o provvisoria?? . Nella provvisoria si accede con f8 o f5 non ricordo ma "protetta" ?? E poi cosa devo fare ? Devo riaprire la mia lan per fare arrivare nuovamente il " sysfirewall" per poterlo poi " inoffensivarlo " ?
Avrei bisogno che mi spiegaste tutti i percorsi e le operazioni da fare .
E poi dove farle:solo in quello con winxp prof o in tutti anche con home edit. ??
Help:cry:

In ogni caso proverò tutto stasera!
C'è sempre l'alternativa dell'antivirus V3 pro , che non ho ancora provato.
Qualcuno l'ha fatto ??? E com'è andata??

Nell'ordine proverò:
Modalita provvosoria ( o protetta ) se me lo spiegate.
Antivirus apposito.
Formattone.:cry:

Ma poi formattone dove? Su tutti i Pc ???????:cry: :cry:

Come è andata Morby?

Spero che tu non abbia fatto il formattone che è un'azione, secondo me, da evitare il più possibile.

Sembra che da me la situazione sia molto migliorata ..anzi,ma devo aspettare ancora un po' per dirlo consicurezza, tutte le segnalazione di errore nel registro eventi "Registro eventi di sistema" sono sparite e ho 0 (dico zero) segnalazioni.:) :)

Dopo lunghe ricerche ho notato che Window Update non funziona al 100% ed alcune correzioni sulla sicurezza non vengono segnalate.

Ne ho trovato due che dopo l'applicazione hanno compiuto il miracolo:

KB835732
KB823980

Però devo ancora far partire il servizio "Agente criteri IPSEC" a mano anche se dichiarato automatico.
Non ho ancora scoperto il perchè:mad:

Ciao
per adesso sto andando a tentativi .
Innanzitutto , sul Pc con XpProf. ha tolto Avast e ho messo V3pro che mi ha trovato solo un trojan . Poi ho tolto V3pro e ho messo Nod 32 che me ne ha trovati una decina . Infine ho istallato SP2.
Risultato nella cartella condivisa con un altro Pc , magicamente si formavano i files " istlfwal.exe - sysfirewall.exe - bcvsrv.exe e un testfile "
Disinfettato e chiuso Pc sono passato all'altro con le medesime operazioni.
per adesso sembrano sani tutti e due , ma sono solo poche ore !! Vedremo!
Domani torna il portatile e , se non succede nulla nel frattempo :sperem: , farò lo stesso trattamento.
Poi vi dirò .

io non ho + avuto problemi
si, è vero i trojan/worm/virus che avevo...non li ho tolti
sono solo stati resi inoffensivi
xò è gia qualcosa ;)

Forse ho stesso problema sul mio win2k, mi dite quanto è grande il sysfirewall.exe?
L'ho cancellato e non l'ho più rivisto da qualche giorno (con hijackthis v.1.99 al riavvio del pc).
Ho pero' altri file sospetti da 88K legati a norton (almeno questo è quello che mi dicono le varie utility che utilizzo e mi creano problemi con degli "script" che non mi fanno partire la scansione del Norton 2002.
i file in questione sono CCSEVRT.exe e winfg32.exe
inoltre il firewall (outpost firewall della Agnitum mi segnala un servizio sul sito 130.212.231.241:6667 corrispondente a szdezz.hn.org !?!?!?!
In giro tra le directory ho trovato anche una strana directory nella \temp RARSFX0 con un file "__original.exe" da 89k che come gli altri mi sembra sospetto.
Se tutto ciò è legato a sysfirewall è una bella gatta da pelare perchè non ho trovato nulla che possa essere d'aiuto se non il collegamento al sito 130.bla.bla
Non credo siano gli aggiormaneti di win UPD che hanno creato prob, ma forse quelli di norton??
:mc:
resto in contatto con il forum in caso di novità
Pastag

non credo che siano i miei stessi problemi
e sicuramente non dipendono da norton
dato che io utilizzo nod32 come AV
e sygate personal firewall PRO come firewall
io ho due soli file il suddetto sysfirewall.exe da 106kb
e il programma che lo lancia (presumo) updater.exe da 133kb
poi sysfirewall.exe crea un file chiamato "testfile" senza estenzione
ciao
-CrashOverride™-

grazie crash ... almeno sono sicuro che non è il sysfirewall che si .. riforma.
cmq io l 'ho cancellato (vedi msg prec.) e non s'e' più visto (almeno spero)
se ti può essere utile non l'ho trovato neanche nel registro nè prima nè dopo l'eliminazione .. forse era ancora in stato .. embrionale !
:)
mentre il ccsevrt.exe c'e' sotto forma di processo di norton.
Se risolvo vi faccio sapere visto che non ho trovato docum in merito

E' un worm chiamato: WORM_SDBOT.ACJ

questa è la pagina, in giapponese;)

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SDBOT.ACJ

Ultime dal fronte del mio PC:

ho installato le seguenti patch per la sicurezza da Microsoft:

KB885835
KB885836
KB873339
KB841356
KB840987

NON ho più nessun sintomo legato a sysfirewall.exe ed affini.

Consiglio caldamente a tutti i possessore di W2k SP4 di procedere all'applicazione delle patch sunnominate.

Credo che esistano anche le versioni per XP

:sperem:

Ciao

Io , che ho WinXP , dopo avere installato la SP2 e adottato ( per ora ) il Nod 32 versione 2.0 non ho più avuto " visite " . La cosa strana era che questi files "exe" si materializzavano solo nella cartella condivisa di uno dei Pc per poi propagarsi nella altre cartella condivise e poi ancora nei rispettivi hardisk di tutti i Pc.
Ora sono due giorni che non si fanno vedere , ma non sono ancora del tutto sicuro di averli sconfitti!
Vedremo !!

Originariamente inviato da morby54
Ciao

Io , che ho WinXP , dopo avere installato la SP2 e adottato ( per ora ) il Nod 32 versione 2.0 non ho più avuto " visite " . La cosa strana era che questi files "exe" si materializzavano solo nella cartella condivisa di uno dei Pc per poi propagarsi nella altre cartella condivise e poi ancora nei rispettivi hardisk di tutti i Pc.
Ora sono due giorni che non si fanno vedere , ma non sono ancora del tutto sicuro di averli sconfitti!
Vedremo !!

è stata rilasciata da qualche giorno la versione 2.12.2
se continui ad utilizzare la vecchia...dopo un po non ti lascia +aggiornare ;)

Originariamente inviato da bluepix
Ultime dal fronte del mio PC:

ho installato le seguenti patch per la sicurezza da Microsoft:

KB885835
KB885836
KB873339
KB841356
KB840987

NON ho più nessun sintomo legato a sysfirewall.exe ed affini.

Consiglio caldamente a tutti i possessore di W2k SP4 di procedere all'applicazione delle patch sunnominate.

Credo che esistano anche le versioni per XP

:sperem:


ora le provo, poi ti faccio sapere ;)
cmq x ora sono inoffensivi i file incriminati grazie al mio metodo ^_^

ah, ragazzi...dimenticavo...
BUON 2005
speriamo senza sysfirewall.exe
eheheheh

Originariamente inviato da Crash0verride
è stata rilasciata da qualche giorno la versione 2.12.2
se continui ad utilizzare la vecchia...dopo un po non ti lascia +aggiornare ;)


Dopo quanto tempo ?
Io l'ho istallata da quattro giorni e si è appena autoaggiornata il 31 /12 /2004 alla versione 1.962 con database 5118.
Possibile che sia già vecchia??:eek:

ecco gli indirizzi esatti sia x XP che x 2K

KB885835

XP
http://www.microsoft.com/downloads/details.aspx?FamilyID=27115d5c-3e4a-4f41-b81e-376aa1cd204f&DisplayLang=it
2K
http://www.microsoft.com/downloads/details.aspx?FamilyID=efdea122-dda4-40b8-a7af-9ddcc3870c38&DisplayLang=it

KB885836

XP
http://www.microsoft.com/downloads/details.aspx?FamilyID=703de7d8-68d9-4a92-8c59-87221f89ef14&DisplayLang=it
2K
http://www.microsoft.com/downloads/details.aspx?FamilyID=c4b9d079-13f0-4e1e-834b-d2077838b9e1&DisplayLang=it

KB873339

XP
http://www.microsoft.com/downloads/details.aspx?FamilyID=96bbd220-5e2a-43ad-b8b7-54ec608bd8be&DisplayLang=it
2K
http://www.microsoft.com/downloads/details.aspx?FamilyID=da3dd6c9-db7e-40a6-afd0-5ed87c42190d&DisplayLang=it

KB841356

XP
http://www.microsoft.com/downloads/details.aspx?FamilyID=fb93cb07-3a7e-444c-b083-324fc9049b94&DisplayLang=it
2K
http://www.microsoft.com/downloads/details.aspx?FamilyID=846e7479-133b-45d7-aa69-d9257f1be178&DisplayLang=it

KB840987

XP
http://www.microsoft.com/downloads/details.aspx?FamilyID=715e985b-7929-4bd5-9564-5cfe7d528398&DisplayLang=it
2K
http://www.microsoft.com/downloads/details.aspx?FamilyID=4a614222-ba0b-4927-856d-d443bbbe1a42&DisplayLang=it


quest'ultimo aggiornamento provoca dei problemi con l'esecuzione di alcuni programmi di musica
microcazz consiglia il seguente aggiornamento

KB887811

XP
http://www.microsoft.com/downloads/details.aspx?FamilyID=bf04aca3-7c7c-428b-9e59-72057a21021e&DisplayLang=it
2K
http://www.microsoft.com/downloads/details.aspx?FamilyID=5eaf5898-2175-45ee-ab57-91f89434c2ae&DisplayLang=it

Originariamente inviato da morby54
Dopo quanto tempo ?
Io l'ho istallata da quattro giorni e si è appena autoaggiornata il 31 /12 /2004 alla versione 1.962 con database 5118.
Possibile che sia già vecchia??:eek:

controlla bene la versione del programma...magari è gia l'ultima

ecco i dettagli

VErsione di prova
Giorni rimasti: 752659

Informazioni sul sistema NOD32 installato
Versione: 1.961 (20041230)
Data: giovedì 30 dicembre 2004
Build database antivirus: 5115

Informazioni su altri supporti dello scanner
Versione modulo euristica estesa: 1.011 (20041126)
Build modulo euristica estesa: 1067
Versione filtro Internet: 1.002 (20040708)
Build filtro Internet: 1013
Versione modulo supporto archivi: 1.025 (20041221)
Build modulo supporto archivi: 1106

Informazioni sui componenti installati
NOD32 per Windows NT/2000/XP/2003 - base
Versione: 2.12.2
NOD32 per Windows NT/2000/XP/2003 - supporto Internet
Versione: 2.12.2
NOD32 per Windows NT/2000/XP/2003 - componente standard
Versione: 2.12.2

Informazioni sistema operativo
Piattaforma: Windows 2000
Versione: 5.0.2195 Service Pack 4
Versione dei controlli comuni: 5.81.4916
RAM: 1023 MB
Processore: Intel(R) Pentium(R) 4 CPU 3.00GHz (2998 MHz)

Grazie Crash ...... quando l'unione fa la forza :)

Buon Anno a tutti ... :yeah: e anche a Microsoft:sbavvv:

Hei .... oggi tutti qui !!

Comunque auguri contraccambiati a tutti !!

non ci vuole molto ho solo usato il motore di ricerca interno a maicrocazz
e poi ho trovato anke quell'aggiornamento
ora li installo

sono tutti gia installati tranne l'ultimo
quello di rimedio all'ultima che aveva trovato bluepix
:(
x win2k allora non credo ci siano ancora soluzioni...almeno non x il mio win 2k :(

Avevo installato anche queste 2.

KB835732
KB823980

provo, grazie

solo la seconda non avevo :(

Grazie Blue per la segnalazione ma avevo già risolto :)
1) disinstattato Norton
2) cancellato i files
3) verificate eventuale repliche e registro
4) installato Norton + aggiornamenti
:)
pare che abbiate risolto anche con il sysfirewall.exe mi fa piacere.
Le patch io le avevo già scaricate ma l'avevo beccato uguale :(
Buon Anno a tutti

infatti le patch non risolvono ilproblema :muro:

E' vero...... in realtà ognuno di noi ha seguito, pare, un percorso diverso per debellare il worm, ma vediamo il mio percorso:

Non so per quale ragione, ma si presenta un processo sysfirewall.exe che succhia un sacco di CPU.
La ricerca su Google da esito negativo tranne che sul sito di Ahnlab.inc.

In contemporanea McAfee segnala la presenza di due tipi diu virus: W32\Agobot.gen e Qhosts.apd.

Siccome Agobot veniva segnalato in passato dopo la comparsa dei files sp1fix.exe, fwr.exe, msptmf32.com e msmsgs.exe e per eliminarli avevo creato dei falsi file exe con gli stessi nomi, nello stesso modo ho creato un falso file sysfirewall.exe e l'ho posto nelle directory dove il virus lo copiava concellandone l'originale.
Nel contempo cancellavo tutti i riferimenti a sysfirewall.exe nel registro di sistema.

Questa attività di pulizia tarpa le ali a sysfirewalll.exe, ma esiste un processo/programma/e che ne so? che apre delle entrate nel registro di sistema con la voce LEGACY_xxxxxx e cerca di avviare il processo creato e di nome variabile(rsdjcv,jsvqtcw,hkqmdgb etc)

Dopo l'applicazione delle patch Microsoft questi processi non vengono più creati. Che sia stato un miracolo? dubito !!!

Ma che succede al sito di hwupgrade!
E' gia tre volte che posto e non è mai raggiungibile !!

Forse adesso.
Stavo tentando di dire che io , con winxp ho tribolato un po di più.Prima ho tolto il vecchio antivirus che non aveva trovayo nulla; poi ho messo V3pro ( come consigliato da Enigmaxxx) poi ho installato ed aggiornato Nod32( che mi ha cancellato una decina di trojan e virus ) ed infine messo su la SP2 ed ora sembra tutto in ordine.

Si blue potrebbe essere che con le patch il worm di sysfirewall.exe non riesca ad arrivare al registro perchè io gli aggiornamenti li avevo già installati (anzi rispetto ai tuoi segnalati ne ho qualcuno in più ... ).
Quando l'ho eliminato con hijackthis il worm non si è più visto forse proprio grazie alle patch insatallate ... ma come sempre è tutto da verificare!
Se vi posso consigliare un programmino piccolo ma utilissimo per vedere oltre a quello che gira al momento nel pc, anche i sottoprogrammi o i testi contenuti nei programmi stessi (che non è poca cosa!!!) procexp.exe (funziona anche sotto win2K).
Se non lo trovate in giro ve ne mando una copia.
Ue un buon anno a tutti!

Ecco il link per scaricare il programmino di cui vi parlavo ...
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
inoltre vi sono un'altra serie di utility che non ho provato e tutto freeware.
Prova a vedere con questo crash .. se non hai ancora risolto con altro ma per cancellare sysfirewall ti serve sempre hijackthis per eliminarlo al reboot del sistema.

Grazie Pastag , l'ho trovata qui:

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

però non ci caspisco un tubo.

mmmmmm..... devo leggere l'help :)

Ps: quali altre patch hai?

Originariamente inviato da Pastag
Ecco il link per scaricare il programmino di cui vi parlavo ...
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
inoltre vi sono un'altra serie di utility che non ho provato e tutto freeware.
Prova a vedere con questo crash .. se non hai ancora risolto con altro ma per cancellare sysfirewall ti serve sempre hijackthis per eliminarlo al reboot del sistema.

lo uso da sempre process explorer
cmq grazie del consiglio
sono 2giorni che non rebootto x via di alcuni download pesanti
xò non ho avuto ancora problemi
credo che le ultime patch che ho installato abbiano risolto qualcosa
spero!!

Fortunelli fortunelli voi che con win2k siete riusciti a risolvere.
Io invece con winxp ..... nooooo !!!!
Pensavo di avere vinto ed invece eccoli dinuovo i signori " sysfirewall " e testfile ". Purtroppo avendo gia istallato la SP2 non ci sono altri aggiornamenti possibili per cui ........... che fò???
Ma mi chiedo come mai con il miliardo e mezzo di utenti Winxp ... solo a me succede sta roba !!??
L'unico modo per non far comparire sti files è quello di impostare il firewall di windows alla massima sicurezza ( ... non consentire eccezzioni ) solo che così non ho più la lan , il mulo è sempre basso e winmx ci mette una vita a scaricare!
Ho provato anche il " procexp " ma non mi trova nulla anche mentre si stanno istallando i maledetti files.

Non voglio formattare !!!

scusa...sei sicuro che non esistano altri processi che possono essere sospetti?
con process explorer li trovi subito
il mio si chiamava updater.exe
e lanciava ogni volta il sysfirewall.exe
cerca cerca..

Ormai mi sono perso ... morby il sysfirewall è quello che si collega al sito 213.bla.bla (vedi uno dei miei primo post)?
- hai solo il firewall di winxp? se è quello blocca il sito con il firewall (non so come funziona XPfirewall ma dovrebbe avere una funzione di bloccaggio da e per un certo indirizzo)
- la ricerca sul registro non ti da ulteriori settaggi di sysfirewall?
- hai piu' utenti sotto winxp (se si devi controllare ognuno) perchè se sei loggato come utente diverso da admin comunque molti file vanno in administrator quindi vedi se hai file nella directory .. in genere c:\documents and settings\administrator file sospetti (sottodir comprese)
- prova a vedere con hijackthis se riesci a localizzare i files e se li localizza settali e falli cancellare al riavvio direttamente dal prog .... quando lo farai :)
ops dimenticavo una premessa .. xp l'ho tolto appena mi è arrivato il pc .. ho un'avversità coi cosiddetti sistemi intelligenti che intelligenti non sono!
fammi sapere ...

Prova a vedere questo link (in inglese) ti può essere utile per capire cosa devi fare su Xp
http://securityresponse.symantec.com/ (http://securityresponse.symantec.com/avcenter/venc/data/w32.spybot.worm.html?Open&src=w)

forse una cosa importante è disattivare il ripristino di configurazione del sistema

____
l'ultimo aggiornamento windows scaricato è kb889293 credo sia per Internet explorer

ma guarda caso c'avevo gia anke quello!
cmq ho finalmente spento il pc...
e stamattina da quando l'ho acceso non ho +avuto problemi
i due amichetti sysfirewall.exe & updater.exe con il loro figliolo testfile
sembra che siano andati in vacanza alle maldive...chi lo sa magari son finiti dentro lo tzunami!
ehehhehe
scherzi apparte
qua da win2k sembra tutto ok

Crash .. complimenti :)

complimenti x aver spento il pc o x essere riuscito?
lol

crash ... per aver spento il pc
ahahahahhaa :)

ahahhah
beh grazie cmq ;)

Buongiorno a tutti!

Dovo molte smadonnate ed inc@@zzature varie sono riuscito a capire che il mio vero problema è non il" sysfirewall " , peraltro già fermato anche se non cancellato col il metodo di Bluepix , bensì il più subdolo e tignoso " bcvsrv32 " che ho scoperto essere una variante del " gaobot " e precisamente il " gaobot . bqj " che si copia come " bcvsrv32.exe " appunto .
Dopo alcune ricerche su " google " ho trovato siti che ne spiegano il funzionamento ed il pericolo ( tutti rigorosamente in inglese) ma solo uno dice come debellarlo e cancellarlo . Solo che è in Spagnolo !!! E precisamente questo :

www.vsantivirus.com/gaobot-nyk.htm ( spero di non venir bannato)

Ora io non conosco lo spagnolo ; il traduttore automatico di google non traduce tale lingua e da quel poco che ho capito il problema più grande che crea sto " gaobot " sono i vari servizi nel registro , aprire varie porte e diffondere password e codici privati vari e impedire l'accesso a molti siti di antivirus dopo essersi reso invisibile a quello residente nella macchina infetta.
Infatti io non riesco ad accedere a siti come : avp.com - ca.com-mcafee.com - symantec.com etcc. ( Se voi ci riuscite siete sani )
Ora le domande sono :
Conoscete un modo per debellarlo ?
Sapete dove se ne parla e se hanno risolto ?
Mi dite un sito dove fare traduzioni dallo Spagnolo !!

Grazie e nuovamente auguri .
Certo che è stato un bel regalo di Natale !!!

Cacchiolina . questo virus Gaobot è assolutamente micidiale.

Beh Morby ... procedi all'estirpazione ...

alla seguente pagina(in inglese) è spiegato come

http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.bqj.html

attenzione che devi editare anche il file hosts togliendo tutte le linee che hanno questo tracciato:

127.0.0.1 xxxxxxx

tranne quella che ha la forma

127.0.0.1 localhost

(forse è meglio copiare il file host.sam sul file hosts)

Applica tutte la patch che sono indicate in questa discussione

e se proprio non va ... ripeti la procedura usata per sysfirewall.exe(basta prendere il file modificato e cambiargki nome con una rename) e inganniamo anche questo

Auguri ripetuti a tutti.

Grazie Blupix , ma mi sono messo di buzzo buono e con un pò di fantasia e di c..lo , ho tradotto più o meno le istruzioni in Spagnolo e sono riuscito a fare ( spero ) tutto .
Anche perchè al sito della symantec , come avevo detto prima , il virus non ti lascia andare.:D
Ora sembra che tutto vada bene:sperem: :sperem: :sperem: e riesco ad accedere anche ai siti prima occultati.
Una cosa sola non mi è chiara: il file host l'ho trovato in : windows/system32/drivers/etc ma è diverso in ogniuno dei tre Pc della lan . In un Pc ci sono quattro files , in un altro sei nell'ultimo solo cinque.
In tutti ce n'è uno " quotes " con delle frasi da poesie di Dante???!!!
Che sarà ???

Direi che il file "quotes" lo puoi cancellare.

Nella mia directory (W2k) trovo:

hosts
lmhosts.sam
networks
protocol
services


sono file di configurazione rete

Vorrei poterlo cancellare , ma mi dice che è in uso e non mi lascia!
Nella mia cartella ce ne sono otto !!

host
host ( file icalendar) che ha un'icona diversa . ( ???? )
host.20041115-213651.backup
Imhost ( sam )
nerworks
protocol
quotes
services

Praticamente mi ritrovo un " host file icalendar " , un " host backup " ed un " quotes " che forse non dovrebbero esserci .

Comunque mentre postavo , la stampante è ripartita ed ha fatto la sua comparsa il signor " csrsss.exe " che , sono andato a cercare , è worm " sdbot-ld " e anche " agobot.tx ".

Evviva !! non sono più solo !!!:confused: :cry:

Dopo le varie traversie non disperare Morby.... rimuovi sta cavolo di virus.
Le Istruzioni alla pagina

http://www.sophos.com/virusinfo/analyses/w32sdbotld.html

oppure

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.TX

questo non mi sembra una tragedia:mano:

Applica patches Microsoft, chiudi le porte col firewall McAfee etc etc, non mi funziona più DC++ .

La sindrome del worm ha colpito alla grande:cry: