Dodaj do ulubionych

svchost.exe wygenerowal bledy...

IP: *.warszawa.cvx.ppp.tpnet.pl 30.10.03, 13:19
Pwenie temat byl poruszany kilkakrotnie, ale uczestnicy dyskusji poslugiwali
sie specjalistycznym jezykiem, ktorego nie bardzo rozumiem...
Pomozcie, jestem prawie pewna, ze mam jakiegos (jakies) wirusy.
Co z tym zrobic?
pozdrawiam
Obserwuj wątek
      • Gość: zrozpaczona Re: svchost.exe wygenerowal bledy... IP: *.warszawa.cvx.ppp.tpnet.pl 30.10.03, 23:07
        Na podstawie takiej, ze jak zapuscilam antywirusowe programy (mks on line i AVG
        w darmowej wersji) to nie dosc, ze usunely 6 roznych wirusow w 11 plikach, to
        na dodatek mks powiedzial, ze nie moze usunac niektorych z nich.
        I na takiej jeszcze podstawie, ze dopoki nie zaczelam sie bawic w sciaganie
        plikow muzycznych z internetu, to komp pracowal normalnie i nigdy dotad nie
        widzialam "svchost.exe wygenerowal bledy..."
        Piecyku, czy svchost to normalny program okienek? To dlaczego "generuje bledy'?
        Dzieki za odzew, pozdrawiam
        zrozpaczona
        • Gość: piecyk gazowy Re: svchost.exe wygenerowal bledy... IP: *.visp.energis.pl 30.10.03, 23:18
          Gość portalu: zrozpaczona napisał(a):

          > Na podstawie takiej, ze jak zapuscilam antywirusowe programy (mks on line i
          AVG
          >
          > w darmowej wersji) to nie dosc, ze usunely 6 roznych wirusow w 11 plikach, to

          Większość wirusów to bardziej "śmieci" niż wirusy (oczywiście lepiej jest jak
          ich nie ma).

          > na dodatek mks powiedzial, ze nie moze usunac niektorych z nich.

          W takiej sytuacji zapisz ich nazwy (albo na bierząco), uruchom Mendżer zadań i
          w zakładce Procesy pozamykaj programy (pliki), których antywirus nie mógł
          ruszyć i przeskanuj dysk jeszcze raz.

          > Piecyku, czy svchost to normalny program okienek?

          Tak

          > To dlaczego "generuje bledy'?

          Nie wiem, ale słyszałem, że są z tym problem (może coś znajdę na ten temat).

          Pzdrw.
              • Gość: piecyk gazowy Re: svchost.exe wygenerowal bledy... IP: *.internetdsl.tpnet.pl 31.10.03, 08:15
                1. Czy masz zainstalowanego jakiegoś firewalla (np. Nortona)? Jeśli tak, wyłącz
                go. Ale zanim to zrobisz, włącz systemowy firewall. Panel sterowania ->
                Połączenia sieciowe, wybierz ikonę połączenia (np. TPSA, połączenie lokalne
                etc.), kliknij na niej PRAWYM przyciskiem myszy, wybierz Właściwości ->
                zakładka Zaawansowane - i zaznacz Chroń mój komputer...

                Jeśli to nie pomoże, to:

                2. Przeszukałem sieć. Wszystkie kroki prowadzą do wirusa MSBlast (co mnie
                trochę dziwi, ale może rzeczywiście?).
                Możesz sprawdzić czy masz taki plik w w C:\Windows\System32\msblast.exe (lub na
                liście procesów).

                Ściągnij i zainstaluj łaty (nie wiem czy masz system PL czy ENG):

                Dla Win 2000 PL
                download.microsoft.com/download/5/9/e/59eb8acf-a539-41b3-a249-d6c6838e8d48/Windows2000-KB823980-x86-PLK.exe
                download.microsoft.com/download/e/2/0/e201e718-975a-47f7-a39d-8cd6c40e7086/Windows2000-KB824146-x86-PLK.exe


                Dla w Win 2000 ENG:
                download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
                download.microsoft.com/download/e/2/0/e201e718-975a-47f7-a39d-8cd6c40e7086/Windows2000-KB824146-x86-PLK.exe

                Teraz uruchom program usuwający MSBlasta.
                securityresponse.symantec.com/avcenter/FixBlast.exe
                Nawet jeśli nie ma wirusa, to myślę, że te łaty rozwiążą problem.
                • Gość: zrozpaczona Re: svchost.exe wygenerowal bledy... IP: *.warszawa.cvx.ppp.tpnet.pl 31.10.03, 10:44
                  Nie wiem, co masz dokladnie na mysli, mowiac 'firewall'. Mam zainstalowanego na
                  stale Nartona Antivirusa ver. 7.00.51F z zwlaczona na stale funkcja
                  Autoochrony, ale nie daje sie aktualizowac ('Pobieranie aktualizacji przez
                  modul LiveUpdate nie udalo sie. Podczas aktualizacji wystapil wewnetrzny blad')
                  Od kilku dni mam tez AVG-free edition ver. 6.0.532
                  Ale to chyba nie o to chodzi?

                  Jesli chodzi o sytstemowy firewall:
                  Panel sterowania|polaczenia (tpsa)|prawy przycisk myszy|wlasciwosci - do tej
                  pory wszystko idzie OK. Ale potem - u mnie nie wystepuje
                  zakladka 'Zaawansowane'.
                  Pojawia sie za to komunikat: 'wystapil nieoczekiwany blad' - i koniec
                  komunikacji z kompem ;(

                  Sciagnelam laty dla wersji PL; moze to dla Ciebie oczywiste, gdzie je umiescic?
                  Dla mnie nie - wsadzilam je do folderu Windows, ale nic sie nie zmienilo...
                  Program usuwajacy MSBlasta - strona sie nie odpala.
                  W katalogu Windows/system32, ani w zadnym innym folderze nie ystepuje plik
                  msblast.exe

                  Jeszcze raz dzieki, ze zawracasz sobie glowe :)
                  btw: kiedy Ty sypiasz?

                  • Gość: piecyk gazowy Re: svchost.exe wygenerowal bledy... IP: *.internetdsl.tpnet.pl 31.10.03, 11:34
                    Dwa antywirusy to nienajlepsze rozwiązanie. Tzn. mogą być dwa, ale monitor (te
                    przy zegarku, co monitoruje na bieżąco pliki) niech działa tylko jeden. Dwa
                    antywirusy (monitory) mogą generować dziwne komunikaty.

                    > Jesli chodzi o sytstemowy firewall:
                    > Panel sterowania|polaczenia (tpsa)|prawy przycisk myszy|wlasciwosci - do tej
                    > pory wszystko idzie OK. Ale potem - u mnie nie wystepuje
                    > zakladka 'Zaawansowane'.
                    > Pojawia sie za to komunikat: 'wystapil nieoczekiwany blad' - i koniec
                    > komunikacji z kompem ;(

                    Dziwne.

                    > Sciagnelam laty dla wersji PL; moze to dla Ciebie oczywiste, gdzie je
                    umiescic?

                    Musisz je uruchomić i zainstalować. Z tego co napisałaś MSBlasta nie masz.

                    Nie wiem czy to Ci pomoże.

                    Problem masz zawsze (np. z tym svchost), czy tylko podczas łączenia z Siecią?
                    • Gość: zrozpczona Re: svchost.exe wygenerowal bledy... IP: *.warszawa.cvx.ppp.tpnet.pl 01.11.03, 06:29
                      Wiem, ze czas juz swiateczny... ale korzystajac z wczesnej pory wstawania:

                      1. problemy z svchost (ze generuje bledy) mam tylko podczas wchodzenia do neta

                      2. laty od Ciebie probowalam instalowac, co zakonczylo sie
                      komunikatem: 'Instalator wykryl, ze wersja dodatku Service Pack zainstalowanego
                      w systemie jest starsza, niz wersja potrzebna do zainstalowania tej poprawki.
                      Musisz miec co najmniej dodatek Service Pack 2'.

                      3. wg Ciebie, ktory monitor ma dzialac, a ktorego wylaczyc? Mozliwe opcje:
                      - Norton Antivirus w wersji jak wyzej w postach (7.00.51F). Udalo mi sie
                      aktualizowac Live Update! :)
                      - AVG free edition ver. 6.0.532?

                      MOze doradzisz, co zrobic, zeby zamontowac laty? Skad sciagnac tego Service
                      Packa 2?
                      Jeszcze raz dziekuje za Twoj czas :)

                      pozdrawia
                      zrozpaczona
                      • Gość: piecyk gazowy Re: svchost.exe wygenerowal bledy... IP: *.visp.energis.pl 01.11.03, 18:55
                        Gość portalu: zrozpczona napisał(a):

                        > 1. problemy z svchost (ze generuje bledy) mam tylko podczas wchodzenia do neta

                        Czyli łaty na 99% załatwią problem. Coś miesza. Wirus? Raczej tak, ale nie
                        wiem. I spróbuj jeszcze raz włączyć firewalla.

                        > 3. wg Ciebie, ktory monitor ma dzialac, a ktorego wylaczyc? Mozliwe opcje:
                        > - Norton Antivirus w wersji jak wyzej w postach (7.00.51F). Udalo mi sie
                        > aktualizowac Live Update! :)
                        > - AVG free edition ver. 6.0.532?

                        Najlepiej jeden program odinstaluj.

                        > MOze doradzisz, co zrobic, zeby zamontowac laty? Skad sciagnac tego Service
                        > Packa 2?

                        Tu jest instalator SP 4 (najnowszy).
                        www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp
                        Z tym że przez modem odradzam, bo to trochę waży. Może ktoś z Twoich znajomych
                        go ma na płycie? (Ja np. mam. Był w Enterze).
                        • Gość: piecyk gazowy I jeszcze... IP: *.visp.energis.pl 01.11.03, 19:15
                          Zrób coś takiego: uruchom Edytor rejestru (Start -> Uruchom, wpisz REGEDIT i
                          wciśnij OK. Potem przejdź po drzewie z lewej strony do klucza RUN

                          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

                          I skopiuj tu wszystkie wiersze, które są z prawej strony. Prawdopodobnie trzeba
                          będzie coś wywalić (powiem co, bo tak to nie wiem).
                          • Gość: piecyk gazowy Re: I jeszcze... IP: *.visp.energis.pl 01.11.03, 21:44
                            W zasadzie to zacznij od wylistowania tego co tam masz. Spróbuj przed łączeniem
                            z Siecią zakończyć proces svchost.exe.

                            Generalnie nie wiem w czym dokładnie jest problem, ale myślę, że łaty załatwią
                            sprawę.

                            I dziwi mnie, że nikt nam tutaj nie pomaga!!! :-( Ja nie mam Windowsa 200 i tu
                            trochę "chodzę po omacku".

                            Pozdrawiam,



                            piecyk gazowy
                            • Gość: zrozpaczona Re: I jeszcze... IP: *.warszawa.cvx.ppp.tpnet.pl 02.11.03, 10:24
                              Witaj Piecyku :)
                              Listuje to, co mam w
                              HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:
                              (moga byc jakies bledy, bo po logowaniu w sieci nie dzialaja mi
                              funkcje 'kopiuj' i 'wklej', wiec pisze 'recznie':)) :

                              AVG_CC
                              Country Selection
                              DeluxeCD
                              InCD
                              mssyslanhelper
                              NAV DefAlert
                              NeroCheck
                              Norton eMail Protect
                              NPS Event Checker
                              SoniqueQuickStart
                              Synchronization Manager
                              Windows MeTaLRoCk service

                              Pisownia w miare mozliwosci oryginalna :)

                              Kolejna sprawa: Rowniez przed wejsciem do neta proces svchost.exe nie daje sie
                              zakonczyc w mamagerze zadan.

                              SP4 sciaga sie rzeczywiscie jakby 'nie chcial i nie mogl'; w tej chwili
                              obiecuje mi jeszcze 240 min. wspolnej zabawy... :) Trudno, znajomych z plytka
                              z Entera nie mam w okolicy.

                              Czy cos wynika z mojego listingu? Jak dla mnie najbardziej podejrzany
                              jest 'MeTaLRock' i 'SoniqueQuickStart', tym bardziej, ze z nich nie korzystam w
                              zaden swiadomy sposob.

                              Dzieki Piecyku, pozdrawiam
                              • Gość: piecyk gazowy Re: I jeszcze... IP: *.visp.energis.pl 02.11.03, 14:25
                                Gość portalu: zrozpaczona napisał(a):

                                > Witaj Piecyku :)
                                > Listuje to, co mam w
                                > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:
                                > (moga byc jakies bledy, bo po logowaniu w sieci nie dzialaja mi
                                > funkcje 'kopiuj' i 'wklej', wiec pisze 'recznie':)) :

                                Wystarczy wciskać Ctrl + C (na zaznaczonym tekście), Ctrl + V (w miejscu
                                docelowym). :-)))

                                Przed dokonaniem zmian w rejestrze, kliknij PRAWYM przyciskiem myszy na kluczu
                                RUN i wybierz opcję Eksportuj. Następnie zapisz to pod jakąś nazwą np. na
                                pulpicie. W razie ew. problemów jednym kliknięciem przywrócisz wpisy do stanu
                                poprzedniego.

                                > AVG_CC - wiadomo
                                > Country Selection - nie wiem co to, myślę, że można wywalić
                                > DeluxeCD - jw.
                                > InCD - jak nie korzystasz z nagrywania pakietowego (nagrywanie na płytę tak
                                jak na dyskietkę), wywal
                                > mssyslanhelper - nie wiem co to, wywal
                                > NAV DefAlert - wiadomo
                                > NeroCheck - wywal
                                > Norton eMail Protect - wiadomo
                                > NPS Event Checker - nie wiem co to, wywal
                                > SoniqueQuickStart - wywal (nie wiem co to)
                                > Synchronization Manager - wywal (nie wiem co to)
                                > Windows MeTaLRoCk service - MOCNO podejrzane, wywal

                                > Kolejna sprawa: Rowniez przed wejsciem do neta proces svchost.exe nie daje
                                sie
                                > zakonczyc w mamagerze zadan.

                                Baaaaaaaaaaaaardzo dziwne.

                                > SP4 sciaga sie rzeczywiscie jakby 'nie chcial i nie mogl'; w tej chwili
                                > obiecuje mi jeszcze 240 min. wspolnej zabawy... :) Trudno, znajomych z
                                plytka
                                > z Entera nie mam w okolicy.

                                A nie masz znajomego ze stałym łączem i nagrywarką? A może bujnąć się do
                                kawiarenki i pościągać? Będzie taniej i szybciej.

                                Pozdrawiam,
                                • Gość: zrozpaczona Re: I jeszcze... IP: *.warszawa.cvx.ppp.tpnet.pl 02.11.03, 16:51
                                  Piecyku,
                                  Z plikow, ktore radziles wywalic - wylawlilam wszystko, poza dwoma : InCD oraz
                                  NeroCheck - te programy byly na kompie od zawsze, i chyba nie one sa problemem.
                                  Pozostale skasowalam. Btw: po kliknieciu prawym przyciskiem myszy na RUN nie
                                  wyswietla mi sie opcja Eksportuj (to, co sie wyswietla, to: Rozwin | Nowy |
                                  Znajdz | Usun | Zmien nazwe | Zmien nazwe klucza )

                                  Do najblizszej kawiarenki mam tak samo dalek, jak do najblizszego autobusu :)),
                                  tzn mieszkam pod warszawa, czyli na wsi; kawiarenki moze jakies sa, ale ja o
                                  nich nie wiem :(

                                  Co do ctrl+c i ctrl+v - po prostu nie dzialaja te funkcje, obojetnie, czy z
                                  myszy, czy spod klawiatury. :(

                                  svchost.exe naprawde nie chce zakonczyc procesu, slowo daje; "baaaaardzo
                                  dziwne" - naprawde nie oszukuje :)

                                  Do ukonczenia sciagania SP4 pozostało mi jeszcze "szacunkowo 30 minut". Czyli
                                  pewnie jeszcze z poltorej godziny.

                                  To rzeczywiscie dziwne, ze nikt sie nie wlacza w nasza dyskusje. Czyzby nikt
                                  nie nie sciagal plikow z internetu i nie mial podobnego problemu? 'Baaaaardzo
                                  dziwne' ;-)))

                                  Pozdrawiam Piecyku i dziekuje :)
                                  • Gość: piecyk gazowy Re: I jeszcze... IP: *.visp.energis.pl 02.11.03, 17:10
                                    Gość portalu: zrozpaczona napisał(a):

                                    > Piecyku,
                                    > Z plikow, ktore radziles wywalic - wylawlilam wszystko, poza dwoma : InCD
                                    oraz
                                    > NeroCheck - te programy byly na kompie od zawsze, i chyba nie one sa
                                    problemem.

                                    OK. I dalej są problemy?

                                    > Pozostale skasowalam. Btw: po kliknieciu prawym przyciskiem myszy na RUN nie
                                    > wyswietla mi sie opcja Eksportuj (to, co sie wyswietla, to: Rozwin | Nowy |
                                    > Znajdz | Usun | Zmien nazwe | Zmien nazwe klucza )

                                    Kliknąć trzeba na KLUCZU (tym na drzewie z lewej strony). U mnie działało,
                                    testowałem.

                                    > Do najblizszej kawiarenki mam tak samo dalek, jak do najblizszego
                                    autobusu :)),
                                    >
                                    > tzn mieszkam pod warszawa, czyli na wsi; kawiarenki moze jakies sa, ale ja o
                                    > nich nie wiem :(

                                    Ostatecznie sam mógłbym nagrać i wysłać pocztą. :-)

                                    > Co do ctrl+c i ctrl+v - po prostu nie dzialaja te funkcje, obojetnie, czy z
                                    > myszy, czy spod klawiatury. :(

                                    Też to miałem przed chwilą. Bawiłem się svchostem (mam Win XP, ale tam też jest
                                    ten program).

                                    > svchost.exe naprawde nie chce zakonczyc procesu, slowo daje; "baaaaardzo
                                    > dziwne" - naprawde nie oszukuje :)

                                    OK. Nie trzeba go zamykać. Tzn. myślałem, że trzeba. Żadnego pliku jeśli, jest
                                    w użyciu, nie można "dotknąć" i np. usunąć wirusa. Ale sam svchost raczej nie
                                    jest zawirusowany.

                                    > Do ukonczenia sciagania SP4 pozostało mi jeszcze "szacunkowo 30 minut". Czyli
                                    > pewnie jeszcze z poltorej godziny.

                                    Ach, ta nasza Tepsa... Ja z domu też na modemie jadę. :-)

                                    > To rzeczywiscie dziwne, ze nikt sie nie wlacza w nasza dyskusje. Czyzby nikt
                                    > nie nie sciagal plikow z internetu i nie mial podobnego problemu? 'Baaaaardzo
                                    > dziwne' ;-)))

                                    Strasznie dziwne. A ja nie jestem alfą i omegą.

                                    > Pozdrawiam Piecyku i dziekuje :)

                                    Też pozdrawiam. Mam nadzieję, że razem osiągniemy zamnierzony cel. ;-)
                                  • Gość: MK Re: I jeszcze... IP: *.507.15.vie.surfer.at 04.11.03, 00:04
                                    wlacza sie... ja sie wlaczam... od kilku dni walcze z Wirusem... AVP nazywa go Goabot.c i w systemie32 generuje dwa pliki scvhost.exe (nie mylic z svchost.exe) oraz winhlpp32.exe Drugi mozna wywalic,ale pierwszy nie daje sie i wylacza antyvirusa.. Wylaczam go zmieniajac nazwe i po restarcie moge go usunac. Jednak po pewnym czasie (ok. godziny) znow zaczyna dzialac i pierwsza oznaka to wylaczenie AVP... Juz formatowalem dysk systemowy i instalowalem Windowsa ale sie go nie pozbylem... Teraz szukam w sieci pomocy.
                      • Gość: Kokosowy wielbłąd Re: svchost.exe wygenerowal bledy... IP: *.elblag.dialog.net.pl 03.11.03, 00:43
                        Tak sobie czytałem bo właśnie mam ten sam (identyczny) czyt.(idiotyczny)
                        problem z svchost'em. Po paru minutach mi się włącza ale tylko na necie.
                        Zauważyłem, że uruchamia się (ten błąd.exe) kiedy jakaś strona jest z
                        ograniczeniem dostępu. Wyłączyłem ograniczenia i już siedzę 2 godz. i nic się
                        nie dzieje. Mam też win 2000 pro. Jak pojawi się ten błąd to kopiuj, wklej też
                        nie działa, czasem nie ma ź lub ż lub Ź, Ż . Poza tym ściągam już 8 godzinę
                        service paca 4 pl i jestem prawie przy końcu, ale ciekawy jestem czy to wogóle
                        coś pomoże (koleżka-znajomek) oświecił mnie że tak.
                        Ps. No z chęcią bym pomógł ale się na tym kompletnie nie znam, a poza tym
                        ciekawy jestem jak ta internetowa telenowela się skończy. Piecyk przestaje być
                        bezduszną maszyną i zaczyna okazywać uczucia... :)
                            • Gość: okosowy wielbłąd Nareszcie!!!!!!!!! IP: *.elblag.dialog.net.pl 05.11.03, 01:38
                              Ech jak to dobrze poczuć się geniuszem (choć przez chwilke). Otóż problem
                              rozwiązałem sam więc nie dziwne, że się chwalę. Zrozpaczona, wszystkie problemy
                              z svchostem znikną kiedy zainstalujesz za strony www.pcformat.com.pl taki oto
                              programiczenieczek maluśki ZoneAlarm3.1 no i zainstalujesz ( jest w dziale
                              download). O tym svchost możesz zapomnieć, schowek działa, wszystko gra. Też
                              miałem problem z tym lichem.
                              Pozdrawiam, żywiąc nadzieję, że się nie zawiedziesz.
                            • skynews "Robale" scvhost.exe i W32.Welchia 05.11.03, 01:54

                              Windows NT/2000/XP - usuwanie "robali",ktore "infekuja" Svchost.exe
                              odpowiedzialne za serwis i uslugi:

                              1. deaktywowac uslugi zwiazane z RPC
                              Network Connections Sharing oraz WINS Client(jezeli sa aktywne)

                              2.deaktywowac przywracanie systemu
                              3.rejestr - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

                              wykasowac klucze: RpcPatch i RpcTftpd - nastepnie zwiazana z nimi Svchost.exe
                              (Svchost.exe" jest w %SystemRoot%System32)

                              Stawiam na "robala" W32.Welchia(nastepca blastra) i Agobot-AF(Network-Worm,
                              ktory rozprzestrzenia sie przez IRC wykorzystujac do tego celu "dziury"
                              w DCOM RPC i RPC.

                              W32/Agobot-AF kopiuje sie w Windows jako "SCVHOST.EXE"

                              HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Config Loader = SCVHOST.EXE

                              HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Config Loader
                              = SCVHOST.EXE

                              NIE MYLIC Z SVCHOST.EXE!

                              W32/Agobot-AF probuje przede wszystkim deaktywowac Security-Software
                              manipulujac roznymi Svchost.exami,ktore uruchamiaja uslugi RPC - stad
                              prawdopodobnie info "svchost.exe wygenerowal bledy".

                              Info svchost.exe:
                              SVCHOST.EXE jest ogolna nazwa procesow Host dla usług ,ktore sa "wykonywane"
                              za pomoca DLL'ów(Dynamic-Link Libraries).
                              "Svchost.exe" jest w %SystemRoot%System32.Przy starcie "Svchost.exe" sprawdza
                              czesc rejestru odpowiedzialna za uslugi aby sporządzić liste tych uslug,ktore
                              musza byc "zaladowane"
                              Kazde "posiedzenie" Svchost.exe moze dotyczyc wlasnej grupy uslug i w
                              zależności od tego gdzie "Svchost.exe" wystartuje,tam rozne uslugi beda mogly
                              byc "wykonane".

                              wiecej tutaj:
                              forum.gazeta.pl/forum/72,2.html?f=37&w=8851973&a=8853853
                              • skynews MeTaLRoCk service to "ROBAL"W32/Randex-Q 05.11.03, 04:06
                                alias W32.Randex.Q, WORM_RANDEX.Q / Typ Win32-Worm

                                W32/Randex-Q jest "robalem" z funkcja Backdoor,ktora umozliwia "atakujacemu"
                                zdalne sterowanie systemem przez kanaly IRC.

                                W32/Randex-Q wybiera przypadkowe IP-adresy .Kiedy polaczenie
                                jest aktywne,probuje sie kopiowac w folderach:
                                c$\winnt\system32\musirc4.71.exe i Admin$\system32\musirc4.71.exe

                                Jak tylko W32/Randex-Q sie "pokopiowal" - probuje laczyc sie z okreslonym
                                IRC-Serwerem przez scisle okreslony kanal.

                                Krotko - probuje "telefonowac" do domu.
                                "Robal" jest wowczas aktywny w tle jako serwer i "czeka" na rozkazy.

                                Kiedy W32/Randex-Q startuje po raz pierwszy kopiuje sie jako
                                Musirc4.71.exe,
                                metalrock.exe
                                albo metalrock-is-gay.exe w plikach systemowych
                                Windows i robi oczywiscie odpowiednie wpisy w rejestrze tak aby mogl byc
                                aktywny razem ze startem systemu.

                                HKLM\Software\Microsoft\Windows\CurrentVersion\Run

                                HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

                                Przyklady wpisow w rejestrze:

                                HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
                                MusIRC (irc.musirc.com) client = musirc4.71.exe

                                HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
                                MusIRC (irc.musirc.com) client = musirc4.71.exe

                                HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
                                MeTaLRoCk (irc.musirc.com) has sex with printers = metalrock-is-gay.exe

                                HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
                                MeTaLRoCk (irc.musirc.com) has sex with printers = metalrock-is-gay.exe

                                HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
                                Windows MeTaLRoCk service = metalrock.exe

                                HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
                                Windows MeTaLRoCk service = metalrock.exe

                                Usuwanie(opisalem tez w poprzednim poscie) w HKEY_LOCAL_MACHINE :

                                HKLM\Software\Microsoft\Windows\CurrentVersion\
                                Run\MusIRC (irc.music.com) client = "<kopia wirusa>"

                                HKLM\Software\Microsoft\Windows\CurrentVersion\
                                RunServices\MusIRC (irc.music.com) client = "<kopia wirusa>"

                                Ostroznie z rejestrem - moze nalezaloby jako pierwsze zrobic Backup rejestru.

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka