miciotta ha scritto:cancellato...tutto ok! era davvero una infezione . grazie.
Non lo so ...
Il bello è che, stamattina, mi metto a fare un po' di prove con diverse macchine. Temo che la farò lunga ...
Situazione di partenza:
1) tre elaboratori a disposizione con, nell'ordine, Windows 2000 Professional, XP Professional e Vista Business (tutti aggiornati);
2) SpywareTerminator v 2.6.1.239, aggiornato allo stesso momento su tutti gli elaboratori.
Faccio fare la scansione a SpywareTerminator, medesime impostazioni sui tre calcolatori, tranne che per quello con Win2000, dove a SpywareTerminator è integrato anche Win ClamAV Antivirus.
Esito delle scansioni: XP e Vista puliti, mentre in 2000 mi viene segnalato, come a Miciotta (
inciso @Miciotta: complimenti per l'intraprendenza di andare a segnalare la faccenda anche sul forum di SpywareTerminator! ), che il file "msconfig.exe" è infetto. Medesimo malware indicato da Miciotta.
Ho pensato che la questione potesse dipendere dall'antivirus integrato, quindi ripeto tutte le operazioni sulla macchina con Win2000 (l'unica differenza rispetto alle altre, ribadisco, era questa), disattivando però, in fase di scansione, il controllo con l'antivirus.
Nicht: SpywareTerminator segnala sempre la presenza del trojan.
Deduco quindi che è il "motore" dell'anti-spyware a rilevarlo e non Win ClamAV.
Però c'è un fatto: "... chi utilizza Windows 2000 non dispone di msconfig, una utilità di sistema che consente di verificare quali applicazioni vengono avviate allo startup. E' possibile ovviare a questa mancanza utilizzando l'msconfig di Windows XP ... Per Windows 2000 dovete copiarlo in C:\WINNT\system32. ..."
Informazioni (all'epoca) presa da
QUI.
Passo successivo:
- apro un programmino per fare il confronto tra hash;
- prendo l'impronta digitale del file presente sotto C:\WINNT\system32 e la confronto con il file che (sempre all'epoca) avevo recuperato.
Esito: hash differenti ...
Allora inizio ad insospettirmi ... premetto che non credo che il file rilevato da SpywareTerminator fosse veramente infetto, comunque, l'ho caricato su diversi virus scanner on-line. A seguire gli esiti.
VirusTotalViruschiefVirusScanVirScanFinale:
+ ho riportato la rilevazione di SpywareTerminator come un falso positivo al suo sviluppatore (vedremo
);
+ ho messo in quarantena, con SpywareTerminator, il file incriminato;
+ ho ri-piazzato il file
msconfig.exe che avevo "in magazzino" in
C:\WINNT\system32.
Per curiosità, ho rifatto la scansione del file
msconfig.exe, custodito nel mio magazzino programmi, con il servizio on-line offerto da VirusTotal.
QUESTO l'esito.
Ah ... osservando le proprietà dei due file (msconfig infetto per SpywareTerminator e msconfig del mio magazzino), la versione dell'archivio era esattamente la medesima (cambiava la dimensione, quello "pulito" è più grande di qualche KB).
Della questione si era parlato anche
QUI, come segnalato da
Developerwinme (
Dev, t'ho messo anche il link al profilo!
).
Grazie per la pazienza!!! ... ma sempre se qualcuno volesse riportare la sua esperienza ... mal comune, mezzo gaudio.
Matilda12