Originariamente inviato da Habanero
File eseguibili infetti posti nella cartella temp il cui nome è composto da quattro lettere casuali e con un 1 finale sono uno dei sintomi di una infezione da gromozon. In rete non hai trovato nulla proprio per il fatto che i primi quattro caratteri variabili.

In genere l'infezione si prende durante la navigazione.

http://www.hwupgrade.it/news/sicurez...ore_18390.html
http://www.pcalsicuro.com/gromozon.pdf
Ah ecco, grassie


Comunque io lo ho rimosso a mano, e non mi è più ricomparso nella dir; e naturalmente, non si connette + all'avvio.

Dal tuo link:

Infine, il terzo passo dell'infezione, é la creazione di un nuovo account falso di Windows, protetto da password, con il quale viene installato un servizio di Windows che provvede a tenere aggiornati i componenti dell'infezione. Anche quest'ultimo risulta particolarmente difficile da rimuovere, visto che viene criptato con l'Encrypting File System (EFS) di Windows, una tecnologia presente da Windows 2000 che fornisce all'utente una rapida via per crittografare i propri files.

Io in C:\Documents and Settings ho un account che non ho fatto io infatti: CZYzAEgAGctjL

Che faccio, butto la cartella?

Comunque da quando ho rimosso i due exe non si connette più da solo.