Sysfirewall.exe CHI NE SA QUALCOSA?????

[eraser]

mandalo così come hai fatto a fileanalysis@email.it

[Enigmaxxx]

Vabbo io vel'ho detto...nn rispondo piu ghghgh ! buona fortuna.

[bluepix]

Non prenderla così Enigma ......
stiamo solo cercando di discutere su questi tipi strani di virus che stanno girando in questo momento.
Solo se portiamo il nostro contrubuto possiamo difenderci meglio.
Non credi?

[bluepix]

files rimandati ... incrociamo le dita

[Enigmaxxx]

Quote:

Originariamente inviato da bluepix
Non prenderla così Enigma ......
stiamo solo cercando di discutere su questi tipi strani di virus che stanno girando in questo momento.
Solo se portiamo il nostro contrubuto possiamo difenderci meglio.
Non credi?

Certo...ma il modo di toglierlo vel'ho detto piu di una volta....pare che non mi ascoltiate!

[j.s]

L'indirizzo che hai dato enigma nn è raggiungibile....

[bluepix]

In effetti l'antivirus che indica Enigma l'avevo scricato all'inizio di questa storia.
Però quando voglio installarlo mi chiede di rimuovere tutti gli altri antivirus(se voglio che lavori bene), cosa che naturalmente non faccio.
Peccato.....

Per Enigma..... è interessante sapere quali files ha segnalato come infetti.
Di certo sysfirewall.exe .... e che ha fatto d'altro?

Ho provato stanotte anche ewido, ma non ha segnalato niente; neppure i files che avevo salvato per mandare a Eraser .

(Perchè i processi continuano ed essere messi nel registro e tentano di partire anche se non c'è nessuno che lavora su PC? )

[bluepix]

Finalmente !!!!!!

McAfee con la vesione DAT: 4.0.4416 becca i due maligni

Wowwwwwwwwwwww


(era ora)

[Enigmaxxx]

I link che vi ho mandato sono funzionanti,provate ad abbassare le protezioni se mai! cmq il virus nel file sysfirewall.exe me lo ha tolto in automatico subito apena installato V3 pro 2004! poi con la scansione mi ha tolto anche una decina di trojan.

Ho provato ad allegarvi il programma ma forse e' troppo grosso per il furum

[bluepix]

http://info.ahnlab.com/english/product/01_3_01.html

[Lungo]

Ciao a tutti!
sono nuovo del forum e pure del sito, ci sono arrivato a causa di questo sysfirewall del c...o!!!!

Non sono un esperto come voi, quindi 'macino' veramente poco l'argomento (uso il pc per lavoro tutti i giorni, ma non ho confidenza stretta con il mezzo).
Anche solo leggere le vostre discussioni cmnq mi ha fatto capire qlcs in +.

cmnq sembra che ora la soluzione ci sia o sbaglio?
io ho w2k Sp3, ho cominciato ad avere problemi quando ho installato Sp4 e da li non ne sono + uscito.
Nella mia ignoranza ho disinstallato anche il sp4..
Uso fastweb e giornalmente arrivano proprio da lì decine di virus, ora però norton non riesce ad aggiornarsi per un problema di indirizzo IP credo provocato dal virus.
ho anche un bel file 'installer.exe' nella cartella Temp che nn riesco a eliminare.
Oltre che nel sistema il file 'sysfirewall.exe' è presente anche nella partizione dei documenti...
insomma un casino.

Continuo a preferire w2k a xp, ma vedo che è vulnerabile. oppure con questa soluzione il problema si risolve?

spero di nn dover formattare, l'ho fatto il mese scorso...

Grazie e ciao a tutti,

ale

[morby54]

Purtroppo ci sono anch'io !!
Fastweb con tre pc in rete lan tutti con Winxp sp1 .
Il sysfirewall l'ho trovato nella cartella condivisa di un Pc e nel Hd dello stesso Pc ; poi , tramite la rete , si è diffuso negli altri.
Nel Pc infetto l'ho trovato , oltre che in " system 32 " anche nel registro : HKLM / software / microsoft / windows / current version / run .... L'ho cancellato manualmente e l'ho tolto dall'avvio di " msconfig " ma dopo un pò me lo sono ritrovato dinuovo negli stessi posti.
Il problema che mi crea è pazzesco: invia alla stampante predefinita un documento che cresce di dimensioni e si CLONA più volte (circa una trentina ) e li STAMPA TUTTI ovviamente con caratteri insesati.
Per non avere problemi devo , una volta cancellato il sysfirewall da tutti i pc , mettere il firewall di winxp su tutte le schede di rete , solo che così i Pc non si vedono più .
Oltre a sysfirewall trovo anche , ma non sempre , due exe : " tcpipsvc " e " bcvsrv32 " che , come il sysfirewall , non vengono riconosciuti dal mio Avast 4.5 .
Non so se possano creare altri problemi , ma adesso o non uso la stampante o non uso la mia lan.

Miiiiiiiiii......che stress!!!

[bluepix]

Morby, per ora non si è ancora trovato l'agente che crea questi maledetti files.

In attesa di tempi migliore prendi il file che allego(non ti preoccupare è un banale file di testo rinominato in exe) e mettilo in:
C:\
C:\WINNT
C:\WINNT\System32
e, se ce l'hai, anche nella root dell'altro disco.(E:\)

Questo non evita che l'agente sparisca, ma evita che vengano creati i processi. (controlla poi con "visualizzare eventi" la sezione "registro eventi di sistema").

Controlla anche nel registro di sistema la keyword: runservices.

[morby54]

Grazie ,

per adesso useremo questo paliativo in attesa di soluzioni migliori.

Anche io non ho voluto provare l'antivirus di V3 pro perchè mi chiedeva di disistallare Avast .
Magari con l'occasione delle vacanze e di un po più di tempo ci provo!

[Enigmaxxx]

Lungo il problema con nostron,se e' quello che ho capito io,dovresti risolverlo con questo

http://www.symantec.com/region/it/te.../lu_files.html

E' un file di aggiornamento dell'updates di norton alla versione 2.5


Ma cmq io proverei altro oltre norton....a me norton mi ha dato dei problemi!


Cmq Bluepix se vuoi ci sentiamo via icq o msn e ti mando il file di instalazione di V3pro che ho io!

Ps: il problema nn deriva da fsweb..il problema per me sono alcuni aggiornamenti della Sp4

[morby54]

Io l'ho beccato anche se ho winxp , anche se solo con SP1 , e non ho fatto aggiornamenti recentemente.
Magari ci arriva in automatico proprio da Microsoft ma non solo con gli aggiornamenti di sp4.
Trovato anche nella cartella : Windows / prefetch

[morby54]

Hei , però da quando ho messo quel file che mi ha mandato Bluepix , dentro alla cartella Windows / system 32 , sarà un caso , ma non si è più presentato nè sysfirewall nè gli altri che ho menzionato prima!!
Questo da oggi alle 14,00
Ora è mezzanotte ed ancora niente !!
Proverò a lasciare la rete senza il firewall di windows tutta la notte ; al massimo verrò svegliato dalla stampante che lavora a pieno regime!!

[zerothehero]

è un virus molto subdolo...io l'ho eliminato togliendolo da system32....da allora ho disinstallato norton e ho messo kaspersky..

[morby54]

Negativo !!!!

Purtoppo è ritornato ; stessi posti ( cartella condivisa - disco fisso - secondo disco fisso.
ed è tornato in compagnia di un altro exe. ( arun . exe ) e di altri files ( autorun - install - test file . ) e la stampante è partita a fare gli straordinari.
Ora ho provato a mettere la spunta su tutti i file alla voce " solo di lettura " nella casella delle proprietà.
Vedremo. Quello che avevo messo nella cartella " system 32 " già rinominato , e ancora li ma da solo.

[bluepix]

Infatti devi copiarlo in tutte le locazioni che avevo detto (io ho Wk2).
quindi aggiungerei alle altre anche windows/prefetch per XP
(sempre in read-only)