Forum » Operacijski sistemi » biknem.exe in svchost.exe
biknem.exe in svchost.exe
Vlady ::
Včeraj se mi j zgodila zanimiva zadeva na XP-jih, oz. kar dve:
Najprej se mi je iz ljubega mira na zaslonu prikazal siv pravokotnik (na sredini), ki ga nikakor nisem mogel odstraniti. Pomislil sem seveda na virus ali pa na kakega črva in podobno zlokodje, vendar sem odkril z process explorerjem, da pripada pravokotnik procesu svchost.exe iz mape C:\WINDOWS\ in ne C:\WINDOWS\system32\. Ta proces se avtomatično zažene ob zagonu, zato sem šel v register in ročno popravil vrednost na C:\WINDOWS\system32\.
Poleg tega sem opazil da se mi ob zagonu zažene tudi program biknem.exe, o katerem naš stari stric google ne ve ničesar. V registru počiva pod oznako Microsoft Update Mashine v HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Je to nekaj, kar nam je MS zamolčal? Kdo mogoče ve, kaj dela ta program oz. čemu služi. Zaseda okoli 5-6Mb RAM-a in vsake toliko časa odpre novo nit in jo zapre. Posluša preko tcp protokola na portu 6667. Aja, prav tako datoteke biknem.exe na diskih ne najdem.
Svchost.exe datoteke v obeh mapah sta različni, tista v system32 mapi je velika 16KB, una v windows mapi pa 14KB.
Najprej se mi je iz ljubega mira na zaslonu prikazal siv pravokotnik (na sredini), ki ga nikakor nisem mogel odstraniti. Pomislil sem seveda na virus ali pa na kakega črva in podobno zlokodje, vendar sem odkril z process explorerjem, da pripada pravokotnik procesu svchost.exe iz mape C:\WINDOWS\ in ne C:\WINDOWS\system32\. Ta proces se avtomatično zažene ob zagonu, zato sem šel v register in ročno popravil vrednost na C:\WINDOWS\system32\.
Poleg tega sem opazil da se mi ob zagonu zažene tudi program biknem.exe, o katerem naš stari stric google ne ve ničesar. V registru počiva pod oznako Microsoft Update Mashine v HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Je to nekaj, kar nam je MS zamolčal? Kdo mogoče ve, kaj dela ta program oz. čemu služi. Zaseda okoli 5-6Mb RAM-a in vsake toliko časa odpre novo nit in jo zapre. Posluša preko tcp protokola na portu 6667. Aja, prav tako datoteke biknem.exe na diskih ne najdem.
Svchost.exe datoteke v obeh mapah sta različni, tista v system32 mapi je velika 16KB, una v windows mapi pa 14KB.
"Lotereya - naibolee točnyj sposob učeta količestva optimistov"
- spremenilo: Vlady ()
R33D3M33R ::
biknem.exe je lahko tudi preimenovan virus. Glede na to, da se vrata 6667 uporabljajo za IRC komunikacijo, ti je verjetno kdo podtaknil kakega trojanca. Če je biknem.exe pod run, potem mora biti zapisana tudi pot do njega v tem ključu. Če je pot le biknem.exe potem je njegova pot znana in je nastavljena v PATH spremenljivki. Recimo: je skrit v C:\Windows\System32. svchost.exe IMHO nima kaj za delati izven system32 mape: evo. Kar briši.
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:
Na spletu že od junija 2002 ;)
:(){ :|:& };:
StratOS ::
Mislim, da je govora o wormu/botu RBOT/SBOT [random filename].
Preglej z HijackThis ali kakšnim AV/Spy/ programom
Preglej z HijackThis ali kakšnim AV/Spy/ programom
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."
Vlady ::
Ne poti to biknem.exe ni, prav tako ga na diskih ne najde. Tako da ne obstaja. Torej je verjetno to nek program, ki se zažene in preimenuje in potem zažene pod tem imenom. Čudno. Čudno je tudi to, da je v registru pod flag MS update mashine.
Drugače pa sem že pregledal z Nod32 in ad-aware-om in ni našlo nič. Prav tako se tadva programa zaženeta samo na začetku in potem ko ju izklopim se ne pojavljata več. Če bi bil kak hud trojanec, bi mi non stop laufal to verjetno...
Aja IRC-a pa ne uoprabljam že kakih 5 let. Niti na disku ga nimam.
Drugače pa sem že pregledal z Nod32 in ad-aware-om in ni našlo nič. Prav tako se tadva programa zaženeta samo na začetku in potem ko ju izklopim se ne pojavljata več. Če bi bil kak hud trojanec, bi mi non stop laufal to verjetno...
Aja IRC-a pa ne uoprabljam že kakih 5 let. Niti na disku ga nimam.
"Lotereya - naibolee točnyj sposob učeta količestva optimistov"
Vlady ::
Oddaljen remote, ki se povezuje preko tcp protokola je: thunder.unibg.org:6667 Še vedno mi ni jasno kako pa kaj je s tem, sem pa odstranil tisti pravokotnik in prav tako ne zaganja posebej svchost.exe procesa.
"Lotereya - naibolee točnyj sposob učeta količestva optimistov"
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | C:\windows\system32\fxdll\svchost.exeOddelek: Pomoč in nasveti | 2483 (2000) | N-E-O |
» | SCVHOST - problem ?!? Kako odstraniti ?Oddelek: Programska oprema | 1375 (1244) | Magician |
» | Trojanski konjOddelek: Pomoč in nasveti | 4110 (3721) | KaiCris |
» | lsass.exe in panda platinum internet security 2005 problemOddelek: Pomoč in nasveti | 1749 (1683) | OtonVM |
» | Od kod C:\windowa\system\svchost.exe?!Oddelek: Pomoč in nasveti | 1813 (1518) | bastadu |