infezione/creazione lista file in cartella

[Skinplast]

Ho cercato, inutilmente o forse mi è sfuggita la soluzione ad un problema che troppo spesso capita nei pc dei miei clienti.
Passo alla descrizione: In winxp (pro ed Home) appaiono dei file di grandezza variabile, solitamente di pochi kb, fino ad un massimo di 200 kb, con estensione *.exe, denominati in maniera casuale alfanumerica. La cartella dove si "annidano" è in "programmi\file comuni\system" oppure "programmi\file comuni\microsoft shared". Possono essere solo 5 o 6, ma nei peggiori dei casi arrivano ad un numero di 30! Entrando in modalità provvisoria come administrator è possibile rimuoverli, anche se in alcuni casi si rende necessario selezionando il file e cambiando i criteri di protezione e diritti di accesso per poterli eliminare.
Ancora mi chiedo che tipo di infezione si tratti, e se basta cancellare dalla directory i file dalle caratteristiche descritte sopra....

[bReAkDoWn]

Quote:

Originariamente inviato da Skinplast

Ho cercato, inutilmente o forse mi è sfuggita la soluzione ad un problema che troppo spesso capita nei pc dei miei clienti.
Passo alla descrizione: In winxp (pro ed Home) appaiono dei file di grandezza variabile, solitamente di pochi kb, fino ad un massimo di 200 kb, con estensione *.exe, denominati in maniera casuale alfanumerica. La cartella dove si "annidano" è in "programmi\file comuni\system" oppure "programmi\file comuni\microsoft shared". Possono essere solo 5 o 6, ma nei peggiori dei casi arrivano ad un numero di 30! Entrando in modalità provvisoria come administrator è possibile rimuoverli, anche se in alcuni casi si rende necessario selezionando il file e cambiando i criteri di protezione e diritti di accesso per poterli eliminare.
Ancora mi chiedo che tipo di infezione si tratti, e se basta cancellare dalla directory i file dalle caratteristiche descritte sopra....

Sono varianti di agent/gromozon/linkoptimizer.. Quei file sono dei servizi, e sui pc infetti vengono creati utenti random, browser helper objects (bho), eseguibili posti in autorun, e nei casi peggiori anche rootkit, il tutto a seconda della variante.
Cercando nel forum troverai molte informazioni al riguardo. Ci sono anche un paio di thread su gromozon e relativi tool di rimozione. Altre info su www.pcalsicuro.com

[Skinplast]

Ciao! Grazie per aver risposto.
Avevo già analizzato la cosa con una patch per fissare l'infezione a gromozon, ma senza risultato. Nel senso che non viene neppure rilevata. Quindi ho escluso si tratti di quest'ultima. Per il "linkoptimizer" so per certo che viene creata una cartella con il medesimo nome dentro la directory "programmi", ma anche in questo caso non vi è traccia della cartella. Ti dirò che l'unico software in grado di rilevare i file infetti dentro a "microsfot shared" era "remove it pro" che fino a due o tre mesi fà era gratuito (ora richiede l'inserimento di un seriale per poterlo utilizzare), lo rilevava ma non era in grado di rimuoverli.
Ora utilizzo altri rootkit, ma senza successo! In locale non sono neppure avviabili!
L'unico in grado di trovarmi l'infezione come servizio è "reanimator", ma alla decisione di "killare" il file non ci riesce. Nella lista dei servizi microsoft appare, ma, inutile dirlo , non è disattivabile!

Chiedo scusa se sono stato così lungo nei dettagli, ma potrebbe suscitare l'interesse anche di altri, penso che più diffondiamo queste tipo di informazioni e più siamo in grado di proteggerci da certe schifezze!


Forse è uscita una nuova variante, di quelle citate da te?!?!...

[bReAkDoWn]

Ci sono state diverse varianti in cui le carte spesso sono state mischiate. Ad esempio io ne ho analizzata una in cui era presente una dll in windows (più esattamente un bho, un add-on di iexplorer) che aveva al suo interno molti riferimenti a linkoptimizer, ma non creava cartelle linkoptimizer nè metteva voci in disinstallazione applicazioni.
Per farsi un'idea esatta servirebbero due scansioni di gmer: rootkit e autorun.

[Skinplast]

Già!
Anch'io uso GMER, ma neppure questo è avviabile dal pc infetto!
Cmq credo di aver indivuato anch'io una dll sospetta; ora la passo all'esame.
Strano che la patch per gromozon non me l'abbia individuata, forse si tratta di altro, nonostante tutte le scansioni che ho fatto.

[bReAkDoWn]

Allora se gmer non è avviabile quasi sicuramente è presente il rootkit. Prova a rinominare l'eseguibile di gmer, anche se non so se il trucco sia sufficiente per le ultime varianti.
Hai provato sia il tool anti gromozon della prevx che della symantec?

[Skinplast]

No! Quello della prevx mi manca. Ora lo scarico e provo a farlo girare

[Skinplast]

Il tool mi trova la stessa dll infetta di cui accennavo! é stata rimossa e da quel momento i software di rimozione rootkit hanno miracolosamente ricominciato a "girare".
Grazie per l'aiuto e i consigli! A buon rendere