Pois é… o assunto vírus de computador esta em alta aqui pelo meu lado! Depois do episódio do maldito Win32.Virut eu despiroquei e instalei o AVIRA na opção “mala sem alça” que desconfia até a da própria sombra e ativei o shell guard, coisa que eu nunca gostei, afinal o anti-virus lerdeia o operação de explorar uma pasta, pois ele fica o tempo todo xeretando nas entranhas dos arquivos. Ou seja, me rendi.

Mas desde ontem, futucando com meu cd personalizado do windows 2000 (HFSLIP nele!), o avira vivia reclamando que alguns arquivos estão infectados com o TR/Dropper.Gen.

Bom, depois de muito bater testa e não agüentar mais o avira reclamando dos “vírus” (falso-positivo) resolvi investigar o caso. Abri um dos arquivos no HEX WORKSHOP, apesar dos insistentes avisos do anti-vírus e me lembrei que esses arquivos foram gerados pela ferramenta IEXPRESS, presente no próprio windows.

Mas se são arquivos que eu mesmo gerei e partir de um ambiente limpo, o que esta errado? Tudo ai não passa de instaladores de programas reempacotados e com as chaves de linha de comando para se instalar com os parâmetros comuns sem fazer pergunta, que é utilizado para auto-instalação no cd do windows.

Resolvi refazer um dos pacotes, para ver em que ponto do processo acontecia o falso-positivo. Peguei um dos pacotes que acusavam vírus e extrai os arquivos de dentro dele, nos arquivos… nada, tudo limpo.

Iniciei o IEXPRESS, adicionei os mesmíssimos arquivos e gerei o pacote como era antes. Até ai, nada de acusar vírus. Abri o pacote finalizado no RESHACKER para trocar o ícone padrão do IEXPRESS, quando mandei salvar o arquivos, surpresa! O avira apitou! Enfim, a combinação do pacote gerado pelo IEXPRESS, e a recompilação do resource pelo RESHACKER, para a troca do ícone, gera o falso positivo.

Experimentei outra ferramente para trocar o ícone, no caso o EXESCOPE, e problema resolvido!

Veja a analise do site virustotal em cima de um arquivo com falso-positivo:

https://www.virustotal.com/analisis/1396be4eaa7f59acaf906a38867fe256cc72ef438616df75402a1c7184cbc66f-1255244530

O arquivos ai não tem nada demais… dentro dele tem o instalado do winamp 5.52, o arquivo de registro do winamp com os parametros iniciais que eu quero. O pacotinho extrai os arquivos na pasta /temp executa o comando “regedit /S winamp_config.reg” e incia o winamp.exe com os paramentro “/VERYSILENT /SP- /TASKS=dekstopicon,startmenuicon,quicklaunchicon”

Vai entender…

A uns 15 dias atras eu resolvi “remasterizar” um cd do win2k que eu tenho aqui, um velho sp2, para sp4 e enfiar todos os 160Mb de atualizações e remendos disponiveis até a data corrente.

Não queria usar o n-lite por já ter o utilizado algumas outras vezes e ele faz algumas cacas no sistema que dá zica em algumas condições bem obscuras, logo parti para outra saida, encontrei o HFSLip, que tem se mostrando muito bom, apesar de ser um “simples” script de comando para ser executado sob o cmd.exe

Essa remasterização veio por conta da troca do hd do fenix (o notebook), que ganhou um hd de 20Gb. Quando terminei a instalação e vi o tanto de coisa que tinha pra baixar, quase tive um treco. Dai saiu esse cd novo que esta quase pronto.

Já estou aproveitando para incluir alguns softwares básicos e uma TONELADA de tweaks de registro todas caçadas no MSFN.ORG, para que tudo já saia o mais parecido com o que costumo usar.

E nisso tome bilhões de testes usando um emulador de pc. Mas como sempre murphy resolveu das as caras por aqui, catei uma porcaria de um arquivinho executável no emule (que seria incluido no cd remasterizado), que veio premiado com um worm (Email-Worm.Win32.Bagle.hp) que o AVG não detectou, isso porque ele estava com as atualizações em dia, alias já tinha deixado em automático e diário. Resumindo, executei o arquivos e ele “executou” o windows.

Gastei umas 3 horas tentando remover a praga, mas que é tão boazinha que desabilitou o AVG e o Firewall, e não permite mais que se entre e modo de segurança e nem instale qualquer outro antivirus.

Resumo da ópera: 8Gb de backup, e format c: /u. E instalar o dualboot com DOS que eu preciso e o win2k sp4 seco, mas ao menos eu não tive que baixar os 160Mb de atualizações, já que eu tinha tudo aqui no HD, pra usar no HFSLip, foi só fazer um arquivinho .bat pra executar tudo de uma vez e reiniciar no final. Nisso até colocar tudo em condições usáveis novamente foram 3 dias, instalado software por *demanda*. Agora tá pronto, mas o AVG perdeu o posto, passei para um outro programa de antivírus. E o cd remasterizado esta parado, até que eu coloque definitivamente a casa em ordem.