|
|||||||
|
|
|
 |
|
|
Strumenti |
27-05-2004, 22:32
|
#1 |
|
Senior Member
Iscritto dal: Sep 2000
Città: ROMA
Messaggi: 2164
|
vi prego aiutatemi a togliere questo Beagle Q !!!
non ce la faccio più!
ho piu di 1000 files infetti.. ogni volta che provo a toglierli lo fa e al riavvio successivo ce ne sono sempre altri... ma come faccio! ho fatto anche quello che c'è scritto sul sito symantec, ovvero disattivare il restore, andare in modalita provvisoria, eliminare le stringhe con regedit, scannare e disinfettare, mettere l apatch di windows... ma nulla.. riavvio e voila ci sono sempre i soliti amici!!! ragazi vi prego datemi una mano.. e una settimana che combatti con tutti sti mostriciattoli derivati da quel maledetto directs.exe non ce la faccio piu!!!  
__________________
Concluso affari positivamente con:Vendite ]Rik`[ matteoworld Abujafar smoke81 killzone Silver_HeY turbolence vipex Itp55 shaska The_Saint facecar Motobirro hft500 Acquisti Arus pius82 kaspar76 StoKaxz clessidra4000 manololeccese Su PSN: Tommaso85 Flickr |
|
|
|
27-05-2004, 22:52
|
#2 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
hai un firewall inserito? Hai win XP? Verifica di avere ICF attivato se hai l'XP Hai una connessione ADSL? Te lo chiedo perchè ho letto questo: "This worm is a variant of the W32/Beagle.P@mm. The worm spreads using its own SMTP engine to addresses found on the victim machine. Additionally, it installs a backdoor trojan on the infected computer wich opens the port 2556, that allows the attacker to access the infected computer. It searches local drives and infects files with the '.exe' extension. This variant uses a vulnerability in Microsofts Internet Explorer ('Object Tag vulnerability') to download the '.exe' file, which contains the worm, from the internet and execute it on the local system" EDIT: scusa, ho scordato un pezzo  In pratica mi par di capire che se hai la porta 2556 non "stealth" rischi di ribeccarlo subito, specie con adsl
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB Ultima modifica di wgator : 27-05-2004 alle 22:55. |
|
|
|
|
27-05-2004, 22:54
|
#3 |
|
Senior Member
Iscritto dal: Sep 2000
Città: ROMA
Messaggi: 2164
|
avevo xp poi ho messo me credendo di risolvere i problemi m anulla.. format su format la cosa non cambia
si ho adsl per ilr esto aiutatemi non so piu che fare...
__________________
Concluso affari positivamente con:Vendite ]Rik`[ matteoworld Abujafar smoke81 killzone Silver_HeY turbolence vipex Itp55 shaska The_Saint facecar Motobirro hft500 Acquisti Arus pius82 kaspar76 StoKaxz clessidra4000 manololeccese Su PSN: Tommaso85 Flickr |
|
|
|
|
28-05-2004, 00:08
|
#4 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
1) disattiva system restore
2) lancia questo fix 3) fai una pulizia dei files temporanei di internet 4) aggiorna internet explorer (windows update) 5) cambia browser 6) aggiorna antivirus e fai una scansione 7) installa un firewall freeware (tipo sygate) prova così Ciao Eraser 
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
28-05-2004, 08:09
|
#5 |
|
Senior Member
Iscritto dal: Sep 2000
Città: ROMA
Messaggi: 2164
|
niente ...
__________________
Concluso affari positivamente con:Vendite ]Rik`[ matteoworld Abujafar smoke81 killzone Silver_HeY turbolence vipex Itp55 shaska The_Saint facecar Motobirro hft500 Acquisti Arus pius82 kaspar76 StoKaxz clessidra4000 manololeccese Su PSN: Tommaso85 Flickr |
|
|
|
|
28-05-2004, 15:26
|
#6 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
log di hijackThis?
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
28-05-2004, 20:49
|
#7 |
|
Senior Member
Iscritto dal: Sep 2000
Città: ROMA
Messaggi: 2164
|
come faccio a farlo?
__________________
Concluso affari positivamente con:Vendite ]Rik`[ matteoworld Abujafar smoke81 killzone Silver_HeY turbolence vipex Itp55 shaska The_Saint facecar Motobirro hft500 Acquisti Arus pius82 kaspar76 StoKaxz clessidra4000 manololeccese Su PSN: Tommaso85 Flickr |
|
|
|
|
28-05-2004, 21:15
|
#8 |
|
Senior Member
Iscritto dal: Sep 2000
Città: ROMA
Messaggi: 2164
|
Logfile of HijackThis v1.97.7
Scan saved at 21.14.12, on 28/05/2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMMI\ESET\NOD32KRN.EXE C:\WINDOWS\SYSTEM\DIRECTS.EXE C:\WINDOWS\SYSTEM\DIRECTS.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\GSICON.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMMI\FILE COMUNI\CMEII\CMESYS.EXE C:\PROGRAMMI\ESET\NOD32KUI.EXE C:\WINDOWS\SYSTEM\DIRECTS.EXE C:\PROGRAMMI\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMMI\FILE COMUNI\GMT\GMT.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMMI\VENOM\VENOM4.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMMI\FILE COMUNI\CMEII\CMESYS.EXE" O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [PersFw] "C:\Programmi\Kerio\Personal Firewall\persfw.exe" /hide O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Programmi\Eset\nod32krn.exe" O4 - HKCU\..\Run: [directs.exe] C:\WINDOWS\SYSTEM\directs.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O10 - Broken Internet access because of LSP provider 'imon.dll' missing O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...131.3065972222 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab il directs.exe e quel beagle ma mi si riforma sempre!
__________________
Concluso affari positivamente con:Vendite ]Rik`[ matteoworld Abujafar smoke81 killzone Silver_HeY turbolence vipex Itp55 shaska The_Saint facecar Motobirro hft500 Acquisti Arus pius82 kaspar76 StoKaxz clessidra4000 manololeccese Su PSN: Tommaso85 Flickr |
|
|
|
|
28-05-2004, 23:11
|
#9 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
ho notato queste cose: DIRECTS.EXE = come sai questo è il tuo virus Bagle.q STMGR.EXE = è un virus? Non avevi disattivato il system restore? CMESYS.EXE = questo è uno spyware GMT.EXE = questo è uno spyware DDHELP.EXE = direct draw help? sicuro? bah! EDIT: e queste? che schifezze sono? R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB Ultima modifica di wgator : 28-05-2004 alle 23:33. |
|
|
|
|
29-05-2004, 02:01
|
#10 |
|
Senior Member
Iscritto dal: Sep 2000
Città: ROMA
Messaggi: 2164
|
guarda io sono proprio ignorante quindi nn so proprio che siano!
come facio a togliee quelle cose che ho? il directs.exe l'ho anke tolto dal registro ma rimane!! cmq il restore l'ho disattivato
__________________
Concluso affari positivamente con:Vendite ]Rik`[ matteoworld Abujafar smoke81 killzone Silver_HeY turbolence vipex Itp55 shaska The_Saint facecar Motobirro hft500 Acquisti Arus pius82 kaspar76 StoKaxz clessidra4000 manololeccese Su PSN: Tommaso85 Flickr |
|
|
|
|
29-05-2004, 10:06
|
#11 | |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Quote:
spero che qualcuno più bravo di me possa darti indicazioni risolutive, per quanto mi riguarda posso solo dirti che quelle voci in qualche modo devi toglierle di mezzo. Per alcune di esse (CMESYS.EXE GMT.EXE ) suppongo basti un programma tipo cwshredder - ad-aware - spybot. In alternativa, dopo averne terminato i processi da task manager puoi tentare di cancellarle brutalmente magari dalla mod. provvisoria! Questo: "C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE" secondo me non deve esserci, non ho trovato informazioni precise in giro, ma secondo me va cancellato. Verifica che il ripristino di sistema sia veramente disattivato. E' possibile che sia questo che ti rigenera il bagle  Anche questo: "C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL" secondo me è una cosa anomala e va cancellato Nota: ti sto dicendo cosa farei io, lungi da me la presunzione di certezza in queste affermazioni  Solamente dopo aver tolto queste cose proverei a lanciare il remover per il bagle q. Prova anche con stinger: http://vil.nai.com/vil/stinger/ anche stinger ha il remover per il bagle. p.s. DDHELP.EXE non mi piace però non so esattamente cosa sia, quindi per il momento non cancellarlo, aspetta altre campane
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 02:20.
