PDA

Visualizza versione completa : Nuova variante Gromozon - linkoptimizer??


k501
20-12-2006, 18.21.32
Ormai ho esaurito tutte le mie risorse... Su due pc dello stesso cliente capita questo:
impossibile avvio del pc, ovvero, parte il logo di windows, richiede l'accesso come utente (e password) ma è lentissimo! Posso lasciarli in avvio anche più di mezz'ora ma restano entrambi fermi nel caricamento delle impostazioni di protezione. Premetto che ho provato tutte le scansioni possibili; utilizzando AVG, Kaspersky, AdAware, Ewido togliendo i dischi e collegandoli in slave su di un pc pulito con i software di scansione di cui sopra.
Ho la netta impressione che si tratti di una nuova variante di gromozon, oltre agli effetti indesiderati descritti, in c:\programmi\file comuni\microsoft shared e system trovo gli odiosi file eseguibili criptati, tipici dell'infezione. Inutile dire che ho utilizzato tutti i tools di rimozione disponibili in modalità provvisoria (con la quale il sistema parte benissimo!!!), ma al riavvio i pc si bloccano ancora, non permettendo di terminare la scansione richiesta dai tools. Ho provato anche Gmer in modalità provvisoria, ma niente...
Qualcuno ha idee?

k501
20-12-2006, 18.22.37
..Ho dimenticato di dire che si tratta di un desktop con Windows 2000 sp4 e un notebook con XP home sp2...

crazy.cat
20-12-2006, 18.34.39
Virit lanciato dal cd di pebuilder, di solito è riuscito a fumarsi il gromozon che è un piacere.

Posta un log di hijackthis intanto se ti riesce di avviarlo.

k501
20-12-2006, 19.00.08
Già fatto con hijackthis; rimosso il necessario, mentre il resto va bene! Un pebuilder installato ce l'ho, devo caricare il Virit come plugin? E come faccio a caricarlo con le ultime definizioni aggiornate? :mm:

crazy.cat
20-12-2006, 19.04.25
Questo è il plugin
http://www.911cd.net/forums//index.php?showtopic=18809&hl=

Installi virit sul tuo pc e lo aggiorni, poi copi tutti i file nella cartella files all'interno del plugin.
Quando ti individua ed elimina un file può succedere che il programma virit si chiuda e devi rilanciarlo.
Una volta trovati i file infetti puoi anche andarli ad eliminarli a mano così la scansione può proseguire, io di solito imposto la rimozione manuale nelle opzioni di virit.

k501
20-12-2006, 19.17.32
COMPLIMENTI!!! Tu sei riuscito a fare questo!?!
Ora faccio quanto mi hai consigliato; ma solo domani lo proverò!
Grazie, ti faccio sapere se funzionerà anche in questo caso.
Ciao

crazy.cat
20-12-2006, 19.27.03
COMPLIMENTI!!! Tu sei riuscito a fare questo!?!
Non è stato poi così difficile.

Usato anche ieri con una nuova variante del gromozon, ha beccato anche un Mydoom, un paio di trojan backdoor.
Ripulito tutto e pc rinato.

Come grafica virit e bruttino, però trova bene parecchi virus.

k501
21-12-2006, 10.18.18
Rieccomi...
Sto provando a realizzare il file ISO con pebuilder, ma la cartella "files" all'interno della directory "plugin" non esiste. Immagino deve essere creata!?!
Gli altri tre files da te compilati, dove vanno salvati affinchè il programma riconosca il plugin "virit"?
:mm:

Lionsquid
21-12-2006, 14.09.21
io non uso il plugin, ma il virit standalone nella usbpen ...

ovviamente uso il bartpe, ma non ho voglia a rifare la iso ad ogni minima variazione.. pensa che uso ancora quella creata in marzo e da allora non l'ho più rifatta.... nella penna tutti gli update e i nuovi tools ;)

k501
21-12-2006, 15.16.38
Purtroppo, avendo una certa urgenza, mi sono limitato ad installare l'antivirus in questione su di un pc "muletto" lindo e pulito e lanciare la scansione dei files sul disco infetto collegato in secondario. Risultato: nessun virus trovato!
Eppure dalla lista dei servizi ancora compare su entrambi i pc un servizio con nessuna descrizione, nominato con alcune lettere apparentemente messe a caso ed in maiuscolo. Premesso che il servizio può essere stoppato e disabilitato senza errori, l'avvio del sistema è eterno.