Sysfirewall.exe CHI NE SA QUALCOSA?????

[bluepix]

x arun.exe. non sembra un file pericoloso ..... almeno così dice google

[morby54]

Quote:

Originariamente inviato da bluepix
Infatti devi copiarlo in tutte le locazioni che avevo detto (io ho Wk2).
quindi aggiungerei alle altre anche windows/prefetch per XP
(sempre in read-only)

Purtoppo anche facendo così, e cioè copiare il file nelle tre cartelle: C:/ - C:/ windows - C:/ windows / system32 , e poi anche nella cartella " prefetch " e nel secondo disco fisso , è ritornato il sysfirewall con altri files .
L'unico modo per non beccarlo , attualmente è quello di mettere la spunta sulla casella " proteggi il computer ..... " nelle proprietà della sheda di rete.

Solo che così i Pc non si vedono , ma almeno navigo , scarico e non mo prendo niente .

[bluepix]

Il falso file è "Read only"?
Strano comunque, perchè su wk2 il sistema funziona.

[morby54]

Si , purtroppo è proprio " solo di lettura " ed è quello che ho scaricato prima ; ho anche provato a ricatalogarli tutti " solo di lettura " , ma non è servito .
Tra l'altro ora sono velocissimi a presentarsi , sti ca...o di files strani !
Basta che tolga la spunta al firewall di windows e un attimo dopo trovo già nella cartella condivisa sia " sysfirewall.exe " , che altri files a scelta tra : tcpipsvc.exe , installfwall.exe , arun.exe , conditi con : autorun , install , testfile .
Nel registro non c'è più niente ( almeno dove si trovavano prima ) .
Partono dalla cartella condivisa ( sysfirewall e testfile ) e poi , pian piano li trovo nel HD , nel secondo disco etcc..
Scansione con Avast , Spybot , e Spywareblast attivo senza risultati.
Mi sa che devo proprio istallare l'antivirus V3pro.

[bluepix]

Mi spiace Morby, ma tutto quello che sapevo l'ho scritto.
Non ho null'altro da aggiungere.

[bluepix]

Pure a me capita che il sistema voglia stampare i driver della stampante Epson di rete:

(dal registro eventi sistema)

E_DMAI13.DLL, E_DU15CE.DLL, E_DM12RE.VIF, EPIUIE5R.HLP, E_DDSP13.DLL, E_DJB303.DLL, E_DCON02.DLL, E_DMSG00.EXE, EPIBSR20.EXE, E_DI05ME.DLL, E_DD12RE.CFG, E_DD12RE.DAT, E_DMIU01.DLL, EPIPGI10.DLL, E_DPUI03.DLL, E_DPPE03.EXE, EPIUIE5R.CNT, E_DI13AE.DOC, EPSET32.DLL, E_DHMM02.DLL, E_DUMW01.DLL, E_DHE40D.DLL, E_DSS0RE.DLL, E_DSS1RE.DLL, EPUTPID1.DXT, E_H09302.DLL, EPUTIX24.DLL, E_H0E302.DLL, E_S00RP2.EXE, E_SEST32.DLL, EPUPDATE.EXE, SETUP32.DLL ha fatto scadere il tempo di attesa del documento EPSON Stylus Photo 895, Windows NT x86 appartenente a Version-3. Lo spooler è rimasto in attesa per %5 millisecondi e non ha ricevuto dati.

e poi:

Eliminato driver EE147__1.ICM della stampante.

Il mistero è sempre fitto !!!

[Crash0verride]

allora
novità importanti:
scervellandomi x due giorni ho trovato un'altra alternativa
questo metodo evita che il/i file infetti vengano eseguiti
nei sistemi operativi basati sulla tecnologia NT (NT,2k,XP)
x ogni singolo file si possono specificare gli accessi
ovvero, è possibile proibire ad un'utente l'accesso ad un file
cliccando destro, andate sul tab protezione
aggiungete il gruppo utenti "everyone"
poi nei permessi...selezionate "controllo completo"
sotto la colonna "nega"
così facendo impedirete a qualsiasi utente (compreso il sistema)
l'accesso e la modifica del file
anke se è impostato x l'autoesecuzione all'avvio.
ora non vi resta altro da fare che applicare questi criteri
ad ogni file che trovate "sysfirewall.exe".
una volta che terminerete questi processi non si riavvieranno +.

questa procedura non cancella dal sistema il virus, ma x lo meno
evita che sfrutti le vostre risorse e la vostra banda
xkè questo file non fa altro che aprire decine di porte dal vostro pc
rendendolo vulnerabile ad qualsiasi "pseudo hacker"

nb:
ho trovato un'altro file sospetto "updater.exe"
anke questo si piazza dove si trova anke il file "sysfirewall.exe"
nel mio caso è proprio questo che riavvia il "sysfirewall.exe"

nb2:
se non riuscite a terminare un processo/applicazione
utilizzate un'altro taskmanager
di solito quello di mamma maicrosoft è un po fatto alla ca**o di cane
io uso "process explorer" e riesco a terminare qualsiasi processo
anke quelli nascosti e avviati come driver di sistema

-CrashOverride™-

[morby54]

Scusami , ma .... ho capito proprio poco !! Anzi niente !

Dovresti essere gentile e spiegarmi per filo e per segno da dove incominciare e che cosa fare . Scusa ma sono un bel po imbranato , oltre che incazzato con sto " coso " che l'antivirus NON riconosce come tale !

Grazie

[Crash0verride]

non ho riletto molte volte ma dovrei essere stato chiaro
prova a seguire passo passo quello che ho scritto

[Crash0verride]

ti allego uno screen shot x farti capire

[morby54]

Non so arrivarci alla cartella " proprietà updater "
Se clicco destro sul file , e vado sulle proprietà , trovo tre caselle :generale , compatibilità e riepilogo .

Io ho winxp sp1.

[Crash0verride]

quelle sono le proprietà di uno dei miei file
tu fallo su sysfirewall.exe
strano
a scuola in laboratorio abbiamo winXP e se non ricordo male
è possibile una cosa del genere...

[wgator]

La differenza sta nella versione Professional e Home. La home non gestisce quei permessi

[Crash0verride]

come non detto
noi abbiamo la professional...
cmq consiglierei di tornare al 2k

[morby54]

Sul Pc più infetto ( da dove è partita l'epidemia ) ho Xp Professional , ma pur cliccando col destro sul " sysfirewall " , nelle proprietà ci sono sette caselle: generale - programma - carattere - memoria - compatibilità - altre - schermo .
Nessuna mi porta da " proprietà updater "
Avrò una versione tarocca???!!

[Crash0verride]

quello screenshot che ti ho fatto vedere si chiama proprietà updater
xkè il mio file si chiama updater.exe
il tuo sarà diverso
cmq prova a vedere se trovi almeno una schermata simile a quella

[bluepix]

ciao ragazzi .... tutti on line stasera?

[bluepix]

Sembra, in XP Home, che in"modalità provvisoria" venga visualizzata la linguetta "sicurezza" dove si possono fare le modifiche di accesso ai file

[Crash0verride]

bene
provate xkè questo metodo non mi ha ancora dato nessun problema
ovvio che nemmeno l'antivirus puoi nemmeno leggere il file...

[morby54]

Ho controllato bene bene , ed ho scoperto che , nella mia versione di Winxp prof , la casella " protezione " nella cartella " proprietà " è sostituita da " compatibilità"
Sfido che non ci arrivavo. Non c'è !!!

E nella compatibilità mi da solo opzioni per rendere il file compatibile con win 95 - 98 . me .
Che casin...