PDA

Visualizza versione completa : Zshutdown: avvio automatico sysprep.cmd



Kirk78
03-05-11, 15: 22
Ciao a tutti.

su Windows Vista mi sono ritrovato con questo Zshutdown, che il log di Hijack identifica:

O4 - HKLM\..\Run: [Zshutdown] c:\Preload\patch\sysprep.cmd

Che dall'analisi da Sicuro (4.15 / 5.00)

Ora mi domando e dico: ne conoscete l'uso? Tra l'altro non mi ritrovo neanche una cartella Preload :shock.... per questo che ho postato su Security!
Non so se serve ma un Notebook Asus con Svista Home Basic.

Giusto per info SuperAntiSpyware, Malwarebyte e Avira non trovano nessun problema.

Ciao e grazie
:bai

ganzo123
03-05-11, 21: 38
Ciao Kirk78!
Hai provato a visualizzare i file nascosti di sistema per vedere quel file?
In ogni modo sembrerebbe un file batch (http://it.wikipedia.org/wiki/File_batch) creato dal sistema operativo stesso. Hai fatto qualche modifica o aggiornamento al sistema?

:bai

Kirk78
03-05-11, 22: 54
Grazie ganzo123! Difatti una delle est. dei file batch. Il notebook ha fatto solamente gli aggiornamenti di Windows Update prima del service pack 2 (c' ancora il service pack 1) ma per il resto. No. Mi preoccupavo perch in avvio e non c' questa cartella Preload. Se solo un resto della prima installazione dell'Asus lo disattivo e via. Se invece qualcosa di malevolo volevo avere anche la vostra opinone per poterlo debellare. Sapete che alcuni malware se si accorgono che li hai toccati poi si riproducono con un'altro nome.... malefici :furious!
Volevo installare il SP2 ma prima volevo debellare eventuali mali che potessero inficiare anche il "nuovo" service pack...

ganzo123
04-05-11, 00: 50
Per avere la certezza matematica bisognerebbe aprire quel file e vedere quali sono i comandi che contiene, per questo ti ho chiesto se avevi visualizzato i file e le cartelle nascoste di sistema.
Ad ogni modo pi che un virus io lo credo sia un residuo di un'installazione (o modifica al sistema) eseguita da Windows, quindi nulla di grave. Per me se dopo un riavvio ancora presente puoi disabilitarlo senza problemi.

:bai

Kirk78
04-05-11, 01: 49
ti ho chiesto se avevi visualizzato i file e le cartelle nascoste di sistema.
:ops: mi era sfuggita la frase iniziale :ghgh. Ho attivato la visualizzazione di tutte le cartelle sia nascoste che di sistema, ma non c'. Provo a far partire il notebook con una live e poi se anche da l non c' te lo dico. E' che anche il nome ... Zshutdown particolare: tu hai mai sentito un'installazione o modifica fatta da Windows Update con questo nome :boh

:bai

Eres
04-05-11, 09: 27
Da una ricerca su google sembra un processo sicuro, ma se vuoi toglierti ogni dubbio passalo su VirusTotal

ganzo123
04-05-11, 14: 17
E' che anche il nome ... Zshutdown particolare: tu hai mai sentito un'installazione o modifica fatta da Windows Update con questo nome :boh

Beh, non sempre il nome che fa il virus :hap
Non propriamente una modifica permanente fatta al sistema....da come la vedo io quel file potrebbe rappresentare uno script lasciato dal sistema al fine di effettuare al riavvio dello stesso una modifica che potrebbe essere la rimozione di tracce lasciate dall'installazione oppure un'operazione che va effettuata al riavvio: insomma un'operazione che va fatta una sola volta. In quest'ottica quel file sarebbe da considerarsi come un residuo non rimosso dal sistema.

:bai

Kirk78
04-05-11, 14: 39
Grazie ragazzi. Ho avviato con SoSlax e quella directory su c: non c' (quindi neanche il file ovviamente). Ho fatto una ricerca e l'unico "sysprep" e Konqueror (penoso oserei dire) ha trovato solo la cartella Windows/System32/sysprep e ci sono cmd su sda2 (C:): onlinesetup.cmd, winrm.cmd e login.cmd in System32 o winsxs.
Ergo non posso inviarlo a VirusTotal ne aprirlo ... perch non lo trovo. Spesso virus et similia si nascondono con il nome, ma magari come dite voi non nulla di pericoloso, ma capite bene che un file batch .... potrebbe anche dare il comando del *.* :wall
Quindi mi consigliare semplicemente di tglierlo dall'avvio e sperare non succeda nulla? :bai

ganzo123
04-05-11, 20: 51
Quindi mi consigliare semplicemente di tglierlo dall'avvio e sperare non succeda nulla? :bai
A mio parere...

Per me se dopo un riavvio ancora presente puoi disabilitarlo senza problemi.

Inoltre a prescindere se il file presente o meno, rimuovendolo dall'avvio automatico eviti che parta la procedura che contiene, quindi al pi inserirlo che dovrebbe darti i dubbi che hai ora. :eye

:bai

Kirk78
06-05-11, 12: 00
Ho tolto la spunta all'avvio del PC ... e sembra non sia successo nulla. Mi chiedo veramente cosa poteva, o potrebbe essere. Grazie ... speriamo non riesca fuori da solo...
Dopo posto il log HJ per sicurezza.
:bai