Sono incappato in un programma (rb32.exe), censito come semplice spybot in rete, ma molto molto nioso.
E' riuscito ad installarsi bucando il firewall (Sygate) e StartUpMonitor (si installa *comunque* in HK/Run anche se non viene autorizzato!).
Non essendo un virus l'antivirus non lo intercetta.
Una volta installato non si lascia segare da esplora risorse né dalla riga di comando perché in uso.
Una volta disinstallato dal pannello di controllo continua ad esistere.
La chiave di registro si rigenera automaticamente.
Anche se deletato in modalità provvisoria si rigenera al riavvio successivo.
Da dos puro (con disco di ripristino) non permette che venga vista la directory in cui si è installato (\programmi\rb32), dando errore quando si cerca di posizionarvisi o di cancellarla.
Ad-Aware 5.8 non lo intercetta.
La sua funzione è semplicemente quella di cambiare l'home page e di aprire popup a nastro indirizzando verso siti porno.
Il suo segreto è quello di viaggiare in coppia con una altro file anonimo (ISTbar.exe) che rende rb32.exe un mero specchietto per alloddole. Deletato quello, in modalità provvisoria, si può poi deletare anche questo senza problemi.
Lo segnalo a vantaggio di chi dovesse incappare nello stesso problema.
Ciao a tutti.
Mlb
Registrazione
