Forse altro backdoor in giro(SECY.EXE)

[jamfabrizio]

CIao grandi guru, sul mio computer ho win98 e da un pò di tempo che sto cercando di reperire informazioni su una applicazione che mi parte automaticamente(tipo backdoor) piazzandosi nella cartella Esecuzione Automatica.Ho controllato le solite chiavi di registro e non appare nessuna chiave con la stringa Secy.Ho anche provato a cancellare il file mediante la modalità MS-DOS, ma al successivo avvio il file conpare nuovamente. Sapete darmi qualche suggerimento?

[pjfry]

dicci cosa appare nelle 'solite' chiavi di registro
magari c'è un programma o uno script con un altro nome che all'avvio ti rimette tutto... di solito funziona così

[Dylan666]

Ecco un link ke parla del problema, buona lettura!
http://www.mphelsinki.net/forums/showthread.php?s=2864a63ec2b58c7d9bbce4dfdaade22f&threadid=178331&highlight=SECY

[jamfabrizio]

Innanzitutto vi ringrazio dell'interessamento, ma il link consigliato è in finlandese e non lo conosco(strano?!).Cmq nelle chiavi di registro appaiono le solite cose che si avviano durante un normale riavvio "pulito".Il punto è ,che anche se mediante il MS System Information disabilito la spunta dell'esecuzione automatica, il probabile codice virale , rimette la spunta al successivo avvio.Penso ad una probabile dll che contiene il codice del virus.Possibile?

[Dylan666]

La caratteristica da te citata nn è propria solo dei virus, ma anke d prog normalissimi. Cmq vedreai ke togliendo una seconda volta la voce dal menù avvio potresti aver risolto (il MSG Plus! mi faceva una vosa identica)

[jamfabrizio]

ho provato a toglierla più di una volta, ma riappare sempre.L'unico modo che ho per far terminare l'applicazione è interrompere un processo con Task Manager per win98. Dopo qualche minuto incredibilmente riappare tra i processi e incomincia a richiedere la CPU. Forse cerca connessioni attive?

[Dylan666]

Ma in ke cartella si trova? Magari questo c aiuta a capire ki ce l'ha messo 'sto file e a ke serve. Naturalmente x impedirne l'esecuzione (dopo averne terminato il processo, oppure durante un avvio in modalità provvisoria) basta rinominarlo oppure spostarlo, così la kiave d registro nn lo trova più

[jamfabrizio]

'sto file sta dando rogne serie!Il file SECY.EXE è contenuto in C:\Windows\alluser\menuavvio\esecuzioneautomatica e dato che anche cancellandolo in mod. provvisoria o durante la sessione interrompendo il processo, il file, riappare.Non esistono informazioni riguardanti le librerie contenute nella cartella System di windows?Magari riesco a vederne qualcuna che non deve esserci.

[BianConiglio]

controlla tutti questi descritti in un mio vecchio tutorial.
http://www.pc-facile.com/security.php?id=83
non è contemplato un eventuale servizio di xp ma hai 98 e ei aposto.

il fatto che lo ritrovi è indice ci un loader o di un satellite...praticamente un prog che controlla che l'exe incriminato esista, sia eseguito e stia in exec automatica...... quindi devi dare caccia al loader piuttosto che l secy.exe stesso. Spero non sia bipartito ( un loader che controlla sè stesso e secy.exe ) altrimenti son cazzi

[jamfabrizio]

Innanzitutto grazie x gli aiuti,ma il file dopo accorgimenti e soluzioni provate è ancora sul mio comp.
Penso che l'unico modo per renderlo inattivo non sia quello di rinominarlo, anche perchè se rinomino il file Secy.exe, questo cosidetto "loader" ne crea un'altro.Invece ho pensato ad uno script in VBScript.Secondo voi può essere utile?

[pjfry]

te l'abbiamo già detto id provare con ad-aware, spybot e un antivirus superaggiornati?