» »

biknem.exe in svchost.exe

biknem.exe in svchost.exe

Vlady ::

Včeraj se mi j zgodila zanimiva zadeva na XP-jih, oz. kar dve:

Najprej se mi je iz ljubega mira na zaslonu prikazal siv pravokotnik (na sredini), ki ga nikakor nisem mogel odstraniti. Pomislil sem seveda na virus ali pa na kakega črva in podobno zlokodje, vendar sem odkril z process explorerjem, da pripada pravokotnik procesu svchost.exe iz mape C:\WINDOWS\ in ne C:\WINDOWS\system32\. Ta proces se avtomatično zažene ob zagonu, zato sem šel v register in ročno popravil vrednost na C:\WINDOWS\system32\.

Poleg tega sem opazil da se mi ob zagonu zažene tudi program biknem.exe, o katerem naš stari stric google ne ve ničesar. V registru počiva pod oznako Microsoft Update Mashine v HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Je to nekaj, kar nam je MS zamolčal? Kdo mogoče ve, kaj dela ta program oz. čemu služi. Zaseda okoli 5-6Mb RAM-a in vsake toliko časa odpre novo nit in jo zapre. Posluša preko tcp protokola na portu 6667. Aja, prav tako datoteke biknem.exe na diskih ne najdem.

Svchost.exe datoteke v obeh mapah sta različni, tista v system32 mapi je velika 16KB, una v windows mapi pa 14KB.
"Lotereya - naibolee točnyj sposob učeta količestva optimistov"
  • spremenilo: Vlady ()

R33D3M33R ::

biknem.exe je lahko tudi preimenovan virus. Glede na to, da se vrata 6667 uporabljajo za IRC komunikacijo, ti je verjetno kdo podtaknil kakega trojanca. Če je biknem.exe pod run, potem mora biti zapisana tudi pot do njega v tem ključu. Če je pot le biknem.exe potem je njegova pot znana in je nastavljena v PATH spremenljivki. Recimo: je skrit v C:\Windows\System32. svchost.exe IMHO nima kaj za delati izven system32 mape: evo. Kar briši.
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

StratOS ::

Mislim, da je govora o wormu/botu RBOT/SBOT [random filename].
Preglej z HijackThis ali kakšnim AV/Spy/ programom
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

Vlady ::

Ne poti to biknem.exe ni, prav tako ga na diskih ne najde. Tako da ne obstaja. Torej je verjetno to nek program, ki se zažene in preimenuje in potem zažene pod tem imenom. :\ Čudno. Čudno je tudi to, da je v registru pod flag MS update mashine. :\

Drugače pa sem že pregledal z Nod32 in ad-aware-om in ni našlo nič. Prav tako se tadva programa zaženeta samo na začetku in potem ko ju izklopim se ne pojavljata več. Če bi bil kak hud trojanec, bi mi non stop laufal to verjetno... :\
Aja IRC-a pa ne uoprabljam že kakih 5 let. :\ Niti na disku ga nimam.
"Lotereya - naibolee točnyj sposob učeta količestva optimistov"

Vlady ::

Oddaljen remote, ki se povezuje preko tcp protokola je: thunder.unibg.org:6667 Še vedno mi ni jasno kako pa kaj je s tem, sem pa odstranil tisti pravokotnik in prav tako ne zaganja posebej svchost.exe procesa. :)
"Lotereya - naibolee točnyj sposob učeta količestva optimistov"


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

C:\windows\system32\fxdll\svchost.exe

Oddelek: Pomoč in nasveti
62483 (2000) N-E-O
»

SCVHOST - problem ?!? Kako odstraniti ?

Oddelek: Programska oprema
81375 (1244) Magician
»

Trojanski konj

Oddelek: Pomoč in nasveti
214110 (3721) KaiCris
»

lsass.exe in panda platinum internet security 2005 problem

Oddelek: Pomoč in nasveti
61749 (1683) OtonVM
»

Od kod C:\windowa\system\svchost.exe?!

Oddelek: Pomoč in nasveti
81813 (1518) bastadu

Več podobnih tem