mGN.exe

[obarrel]

Sul mio computer ho per caso scovato nella cartella c:\programmi\file comuni\Microsoft Shared una lista di eseguibili con nomi strani a tre lettere.
Di questi, il mio AntiVirus (eTrust Antivirus) aveva riconosciuto come infetto il solo mGN.exe (non riuscendo però a debellarlo).

A questo punto ho provato a eliminare tutta la lista di exe, col risultato:
tutti i file sono stati eliminati, tranne mGN.exe (Accesso negato, file protetto in scrittura).

La cosa strana è che sono riuscito a rinominare e spostare il file (adesso si chiama c:\windows\temp\mGN.txt) ma non riesco a sbarazzarmene!

Le ho provate di tutti i colori:
Alcuni comuni antispyware che ho usato (SpywareTerminator, Ad-Aware...) non mi detectano niente.
CCleaner non ha ripulito la cartella temporanea di windows;
Ho provato a eliminare il file con HiJackThis e FileAssassin (flaggando l'opzione di eliminazione al reboot)...
Ho provato ad avviare winXp in modalità provvisoria...

non c'è stato niente da fare: il file mGN.txt se ne sta lì buono buono, apparentemente senza creare disturbo. Ormai la cosa è diventata un fatto di principio: come fare a eliminarlo?

[Nuz]

Prova così:

Quote:

Originariamente inviato da Chill-Out

Avenger
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.
Download: http://swandog46.geekstogo.com/avenger.zip

Lo script che devi usare è:

Quote:

Files to delete:
c:\windows\temp\mGN.txt

[Chill-Out]

Per sicurezza controllalo su www.virustotal.com temo si tratti di questo: Backdoor.Win32.SdBot.bjk, ti chiedo inoltre di specificare correttamente il percorso, cioè dove si trova il file.

[Chill-Out]

Quote:

Originariamente inviato da Nuz

Prova così:



Lo script che devi usare è:

Nuz magari lo controlliamo prima di falciarlo se non altro per scopi scientifici

[Nuz]

Quote:

Originariamente inviato da Chill-Out

Nuz magari lo controlliamo prima di falciarlo se non altro per scopi scientifici

Giusto.

[Riverside]

Quote:

Originariamente inviato da Chill-Out

Nuz magari lo controlliamo prima di falciarlo se non altro per scopi scientifici

Chill, socio, in questa tua nuova veste di Dr. House del Forum ti manca, solo, il camice bianco nell''avatar

[Chill-Out]

Quote:

Originariamente inviato da Riverside

Chill, socio, in questa tua nuova veste di Dr. House del Forum ti manca, solo, il camice bianco nell''avatar

si il camice e il bastone

[obarrel]

Quote:

Originariamente inviato da Chill-Out

Per sicurezza controllalo su www.virustotal.com temo si tratti di questo: Backdoor.Win32.SdBot.bjk, ti chiedo inoltre di specificare correttamente il percorso, cioè dove si trova il file.

Purtroppo il firewall (su cui non ho diritti di accesso alle impostazioni) mi impedisce di inviare il file direttamente o via mail su virustotal
l'unica cosa che potrei fare è inviare il file in uno zip criptato con password:
...sì... ma a chi potrei inviarlo?

Il percorso originale era c:\programmi\file comuni\microsoft shared\mGN.exe
dopo che l'ho rinominato e spostato è diventato:
c:\windows\temp\mGN.txt

[Nuz]

Quote:

Originariamente inviato da obarrel

..l'unica cosa che potrei fare è inviare il file in uno zip criptato con password:
...sì... ma a chi potrei inviarlo?...

Caricalo su rapidshare e mandami il link in pvt.

[xcdegasp]

se puoi mandare ance a me il link in pvt..

[Chill-Out]

mi accodo

[obarrel]

Quote:

Originariamente inviato da Nuz

Caricalo su rapidshare e mandami il link in pvt.

Negativo! il balordo (mgn.txt) non si faceva zippare e inviare.
Allora sono passato alle maniere forti e l'ho brasato con avenger


Grazie per la collaborazione

A volte le maniere forti sono le uniche a funzionare... vero Dr.House?


P.S.
avenger mi ha dato questo errore al primo tentativo:

Codice:

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error:  could not create new script file.
Error code: 0
Error logged to errorlog.txt.  Aborting now!

al secondo tentativo, invece, tutto ok!
è normale che avenger si auto-backuppi dopo il reboot in un file zip?

ecco il log:

Codice:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\slacrokx

*******************

Script file located at: \??\C:\WINDOWS\system32\jqvfmrgr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\temp\mGN.txt deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

[Chill-Out]

Quote:

al secondo tentativo, invece, tutto ok!
è normale che avenger si auto-backuppi dopo il reboot in un file zip?

Si