Strane cose accadono...

5 risposte [Ultimo messaggio]
Ritratto di stefluni04
stefluni04
(Guru)
Offline
Guru
Iscritto: 08/09/2004
Messaggi: 1346

Ciao a tutti...
Ho uno strano problema su una macchina con mandriva 2010.
Tale macchina funge da server in una rete mista windows-linux, ed ospita una cartella condivisa a livello share (in samba.conf) da tutte le macchine della rete.
Tale cartella a sua volta contiene altre cartelle, condivise anch'esse allo stesso livello , cioè share.
Da un po' di tempo, nella prima cartella (è la /home/homename/Documenti) mi appiaono due cose strane...
un file autorun.inf ed una cartella Recycled (lo so, è un virus di winzozz) che a sua volta contiene tre files: il virus vero e proprio cftmon.exe, poi desktop.ini e info2
Il bello è che se cancello (da root, altrimenti nisba!) questi files si rigenerano automaticamente... caspita succede????
Graize per le eventuali risposte!

Mandriva 2010.2 su Athlon x2_64

Ritratto di Moreno
Moreno
(Guru)
Offline
Guru
Iscritto: 24/09/2004
Messaggi: 16862

Ciao

Beh direi che almeno uno dei PC finestre della rete è infetto e sta cercando di infettare tutte le macchine intorno a lui.

La prassi abituale è

1) Staccare tutte le macchine dalla rete
2) Disinfestare tutte le macchine finestre
3) Ricollegare le macchine

Visto che la macchina è sicuramente già infetta se ha un antivirus è oramai inutilizzabile, ti conviene crearti una live finestre con ubcd4win che ha anche vari antivirus

Ciao Ciao, Moreno

Addio, e grazie per tutto il pesce.
Avatar by moonlight-dream.

Ritratto di stefluni04
stefluni04
(Guru)
Offline
Guru
Iscritto: 08/09/2004
Messaggi: 1346

Ah... bene! Fantastico. Sono riuscito, dopo aver spedito il post, a cancellare i files (uno per uno), ma credo che sia stato dovuto al fatto che nessun pc windows era connesso in quel momento. Credo anche di sapere quale sia il pc sputtanato... l'unico che sia stato connesso in questi giorni.
Siccome sono dualboot con mandriva, di solito la scansione la faccio da mandriva, con clamav.. domani procederò alla bisogna, così potrò vedere se davvero era quello il pc infetto.
Grazie

Mandriva 2010.2 su Athlon x2_64

Ritratto di gioli
gioli
(Monster)
Offline
Monster
Iscritto: 16/12/2006
Messaggi: 382

Anch'io ho lo stesso virus. Non riesco però a capire come bloccare la "replicazione". La cartella e il file (autorun.inf ed una cartella Recycled) li trovo nelle chiavette ma non mi sembra ci siano nel pc. Se pulisco la chiavetta da Mandriva, cancellando file e cartella, e poi rimetto la chiavetta nel pc (con XP) ritrovo la chiavetta infetta. Ma nel pc non trovo nulla.

Ritratto di TizioIncognito
TizioIncognito
(Monster)
Offline
Monster
Iscritto: 17/01/2007
Messaggi: 493

Ti accorgi che il pc è infetto se quando apri un disco da risorse del computer te lo apre in una nuova finestra invece che sulla stessa.
Io uso Microsoft Security Essential che rileva il virus e mi ripulisce sempre le chiavette.
Comunque gli stessi file dovrebbero essere anche nella root delle varie partizioni per cui quando le apri viene rieseguito.

Ritratto di gioli
gioli
(Monster)
Offline
Monster
Iscritto: 16/12/2006
Messaggi: 382

Proverò a cercare nella root delle partizioni e proverò anche Microsoft Security Essential dato che è gratuito. Grazie