Telefonino.net network
Win Base Win Adv Win XP Vista Windows 7 Registri Software Manuali Humor Hardware Recensioni Blog Download Foto
INDICE SEZIONE NEWS WEB NEWS SOFTWARE PUBBLICITA'
GROMOZON e DINTORNI - W32 ROOTKIT

Come lo elimino?

Esistono appositi tool di rimozione, uno a firma di Marco Giuliani (il tool è scaricabile da http://www.pcalsicuro.com a questo link) ed uno della Symantec scaricabile da qui.
Quello della Symantec non l'ho provato, quello di Marco Giuliani ho avuto occasione di provarlo solo su di un PC dove ero già passato con la rimozione manuale e sul quale avevo trovato un file sospetto che non ho cancellato ma rinominato con l'estensione .kkk e che il tool di Giuliani ha riconosciuto ed eliminato come parte del virus.
Per curiosità riporto che nelle ultime versioni del virus appare il nome di Marco Giuliani: evidentemente il tool di rimozione è efficace e così l'autore del virus tenta di usare la diffamazione come mossa tattica.

Questo rafforza ancor di più l'ipotesi ventilata da più parti, e cioè che l'autore di questo virus sia italiano.
Infatti il virus è molto diffuso in Italia e poco all'estero (grazie a link ai siti virali inseriti in molti forum e siti frequentati da italiani), ha sviluppato una tattica contro VirIT (antivirus italiano) e contro Marco Giuliani (collaboratore, tra l'altro, di alcune case produttrici di antivirus), per cui di sospetti che l'autore sia italiano ce ne sono.
Comunque, che questi tool funzionino o no, sul sito della TG Soft è riportata la procedura di rimozione di questo virus ed è possibile scaricare la versione lite di VirIT che può essere utilizzata in prova per un mese.
Seguendo le istruzioni di rimozione per la prima volta ho capito su cosa agisce questo virus, ma purtroppo non riuscivo a terminare il task del rootkit e quindi a pulire con il VirIT in quanto la variante che avevo davanti era più aggiornata dell'antivirus. In pratica l'indirizzo del thread da terminare era differente da quelli (solo 2, all'epoca) proposti dal sito della TG Soft.
Ho quindi usato il MultiPE e da lì, sia manualmente che con VirIT , sono riuscito a fare piazza pulita. Ma era ormai mercoledì quando sono finalmente riuscito a rendere operativi tutti i PC.
Sul sito della Symantec le definizioni in grado di riconoscere Gromozon sono apparse appena il giorno successivo! Se aspettavo la Symantec stavo fresco.
Da quella volta VirIT Lite è entrato a far parte della rosa di antivirus che utilizzo per la pulizia dei PC dei clienti. Nel frattempo è stato perfezionato ed ora è in grado di rilevare e di togliere il rootkit da solo, semplificando di fatto la procedura di rimozione.
Ho comunque elaborato una procedura di rimozione manuale un pochino differente da quella suggerita dal sito della TG Soft in quanto, con l'utilizzo del MultiPE , alcune cose sono più semplici perché si opera avviando da un CD, quindi con un sistema operativo non infetto.


Procedura di rimozione manuale su Win XP - 2000: MultiPE

Occorrente:

il MultiPE (oppure un BartPE se non avete il nostro CD);
i batch RootkitPE.cmd e DeltempPE.cmd che troverete in questo articolo;
HiJackThis e VirIT Lite (non indispensabile se la pulizia manuale è stata effettuata correttamente, ma è utile per avere una certezza del risultato).

Perché la procedura manuale?
Beh, per vari motivi: perché talvolta la pulizia automatica non è completa e perché nei primi giorni mi sono trovato in più occasioni con una variante di Gromozon non riconosciuta dalle definizioni correnti di VirIT.
Purtroppo qualsiasi antivirus è, per forza di cose, sempre in ritardo rispetto alla diffusione di un virus, questo, poi, ha diffuso molte varianti nel giro di pochi giorni.
Le ultime varianti addirittura riconoscono se VirIT è in memoria e lo neutralizzano, per cui bisogna rinominare l'eseguibile per imbrogliare il virus.
Nessun problema, invece, utilizzando il MultiPE in quanto così facendo non ci sono componenti del virus in memoria che possono interferire.
Per questo gli interventi antivirus li faccio sempre utilizzando il MultiPE.
Addirittura è possibile togliere qualsiasi versione (almeno di quelle esistenti finora) di rootkit di Gromozon con un semplice batch lanciato da MultiPE.
Io mi porto questo batch ed altre utilità in una chiavetta USB (o pen drive che dir si voglia) e lancio ciò che mi serve da MultiPE.
Questo batch (RootkitPE.cmd) ed un altro batch (DeltempPE.cmd) per la cancellazione dei file temporanei sono scaricabili dai link in fondo all'articolo. Funzionano solo (e - ripeto - SOLO) sotto MultiPE o BartPE se non avete il nostro MultiPE.

Il batch per la cancellazione dei file temporanei DeltempPE.cmd funziona solo se Windows è installato in C: e se la sua cartella si chiama Windows o WinNT, quindi va bene per la maggioranza dei casi.
E' ottimo prima delle scansioni antivirus in genere in quanto, rimuovendo un quantitativo imprecisato di porcheria, si riducono di molto i tempi di scansione (e si eliminano di ufficio molti virus che vanno ad annidarsi in quei posti).
Di solito cancello (se non prevedo necessità di ripristini di sistema) anche la cartella C:\System Volume Information e pure la cartella (se c'è) C:\RECYCLER\NPROTECT dove Norton Protect accumula quantità industriali di pattume.

<< Pagina 2 Pagina 4 >>

 In evidenza Registrare la TV da iPhone e iPad



Nel Web in WinTricks
Copyright © 1999-2012 Master New Media s.r.l. p.iva: 02947530784
COPYRIGHT . PRIVACY . REDAZIONE . STORIA . SUPPORTA
 

Warning: include(/mnt/host/www/wintricks/wintricks.it/www/bottom.php) [function.include]: failed to open stream: Permission denied in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon3.html on line 177

Warning: include() [function.include]: Failed opening '/mnt/host/www/wintricks/wintricks.it/www/bottom.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon3.html on line 177