ho disinstallato Nemesys* dal mio pc stamani. La disinstallazione è andata a buon fine ma dopo qualche minuto è apparsa una finestra di Avast in cui mi si avvertiva che il il service Nemesys, hidden, è stato identificato come un rootkit. Mi si proponeva di cancellarlo cosa che ho prontamente fatto.
Ora, da un lato mi preoccupa il fatto che dopo aver disinstallato questo programma, la dinstallazione stessa non sia andata a buon fine in quanto è rimasto una parte di esso, il service, ancora lì. Dall’altra mi sembra strano che l’Autorità per la Garanzie bla bla metta un rootkit in questo programma. Ci sono anche i sorgenti dsponibili (che, per inciso, possono anche non essere completi ovv.).
Volevo aggiungere anche il link per scaricarlo, in modo che i ragazzi di avast potesser visionarlo, ma ho notato che le pagine web del stio, che troverete in basso, sono solo in italiano e la procedura per scaricarlo richiede di compilare una form.
E’ avast che si confonde?
Grazie.
PC: Avast antivirus free, Windows 7 (64bit).
(*)Per chi non lo sapesse, Nemesys è un programma, dell’Autorità per le Garanzie delle Telecomunicazioni, che che svolge un test della propria connessione internet al fine di dare una stima della velocità reale delle stessa. Lo poteve trovare qui https://www.misurainternet.it/ dove oltre all’eseguibile vi sono anche i sorgenti.
http://virscan.org/
Negativo per tutti. In più, a fondo pagina, mi si fa notare che il risultato dell’analisi del mio file non verrà memorizata nel loro database in quanto ne è già presente una.
Curiosità:
un file di installazione ha al suo interno memorizzati chissà in quale formato speciale, compresso ecc. i file che andranno a far parte dell’installazione. Come fa un antivirus a scompattare ciascuno di questi file e analizzarli se non conosce come sono stati memorizzati gli stessi?
Forse analizza il setup come un normale file e quindi a questo punto resta difficile che riconsca una qualsiasi infezione…
Mmmhh ho provato a scaricare il file ed eseguirlo in una macchina virtuale, ho fatto scansioni con avast e l’ho disinstallato ma a me non ha ancora trovato nulla con avast…
Confermo i tuoi risultati sugli scanner on-line, di solito se non sono password protetti gli antivirus riescono a decompattare i file d’installazione (se prendi per esempio quello di Nemesys e lo scannerizzi con avast con il tasto dx, ti esce come risultato che ha scansionato xx files e non 1 solo…)
Domani, se riesco faccio altre prove, sei sicuro che il rootkit era collegato a Nemesys?
sei sicuro che il rootkit era collegato a Nemesys?
200% sicuro riguardo a quello che mi ha mostrato avast e che ho visto, che poi sia causato da nemesys questo non lo so.
La finestra, di avast, è comparsa dopo qualche minuto o meno che avevo disinstallato nemesys. Riportava “Service Nemesys rootkit”, o qualcos di simile.
La versione di nemesys che ho io è la 1.7.21 del 19/Settembre/2011. Probabilmente ora ce n’è una più aggiornata.
Cmq, io lo installai e provai a testare la connessione per un giorno circa seguendo le istruzioni. Dopodiché non l’ho più toccato ma è rimasto installato.
Ovviamente da settembre ad oggi sono successe chissà quante cose e può essere benissimo che il service di nemesys sia stato infettato ad esempio.
Guarda, m’hai fatto ricordare che avast ha un log, ora controllo…non lo trovo.
Allora, nell’interfaccia grafica sono andato nel menu del log ma non è menzionato il rootkit, mentre il file sull’hard disk non riesco a trovarlo. Dov’è che viene salvato? e come si chiama?
Ciao,
io ieri mi sembra di aver provato la versione 2.1… quindi può darsi che hanno risolto il problema (con quella versione ho fatto l’analisi del sistema con avast per i rootkit completa)
Prova a guardare nei tuoi log qui
C:\ProgramData\AVAST Software\Avast\report\FileSystemShield.txt
se trovi dove era il rootkit
Ho dato un’occhiata ai files che sono nel folder di avast sotto ProgramData ma non c’è traccia dell’evento di ieri…, possibile che non c’è traccia del fatto che io gli ho detto di cancellare il file? Bah, non so che dirvi.
In ogni caso, a me interessava solo portare in evidenza il fatto, in quanto se il programma usava qualche service, e ci sta, probabilmente avast in qualche modo si confondeva. Non ho necessità di reinstallarlo, qui da me è già tanto che la telecom secoli fa abbia portato il filo di rame.
Non perdeteci altro tempo, non è una problema che mi blocca.