Czy to jakiś wirus? Dziwne procesy w Menedżerze zadań (shivan.exe, navihs.exe)

12.03.2004

23:51

[3]

kamehameha [ Centurion ]

KURWA MAĆ, tyle do dodania (niestety wszedłem na tą stronke)


PROSZĘ SKASOWAĆ TEN WĄTEK

[HNTR] [ Freak ]

No nie kurwaaaaa !! Kto to skasował ?? Co za syf jeden !! Tam było rozwiązanie tego, a teraz skasowali !!

[HNTR] [ Freak ]

Dobra, jak ktoś umieto wywalić niech pisze... mam to samo co kamehameha !

[HNTR] [ Freak ]

Chyba ju ż wiem jak to działa... plik login.exe najpierw odpala z c:\windows\stystem32\ jakieś navihs.exe, a ten chyba tworzy plik shivan.exe (bo go skasowałem), a ten shivan wyala to okienko, a potem che się łączyć z 212.77.101.134 przez port 80...

[HNTR] [ Freak ]

CZY JUŻ NIKOGO TO NIE OBCHODZI ? NIECH KTOŚ MI POMOŻE...

davis [ ]

A jaki masz windołs?

[HNTR] [ Freak ]

Windows Xp Pro

davis [ ]

no to jest kilka możliwości:
sprawdź autostart
sprawdź wpisy w rejestrze w kluczu HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
sprawdź pliki win.ini i system.ini czy nie ma tam odniesień do tych exe
jak to nie pomoże to nie wiem :)
Aha ponieważ nigdy tego windołsa nie używałem (tylko 98) to być może te porady są ch..a warte, ale spróbować zawsze można :)

[HNTR] [ Freak ]

Davis > To nie pomogło :/ nic tam nie znalazłem

davis [ ]

Zobacz jeszcze w tym kluczu pozostałe "RUN"
services only itp.

[HNTR] [ Freak ]

Tam też nic nie ma :/

[HNTR] [ Freak ]

^ UP ^ może ktoś pomoże ?

13.03.2004

10:11

[15]

[HNTR] [ Freak ]

^ UP ^ Do góry niech ktoś pomoże, błagam :(

tomirek [ ]

jak masz XP to sprobuj przywrocic system do jakiegos punktu kontrolnego sprzed kilku dni

[HNTR] [ Freak ]

tomirek > ale ja nie robie żadnych tam backupów itp. jest jakieś przeinstalowanie systemu ?

tomirek [ ]

Jezeli nie wylaczyles przywracania systemu to backupy sie automatycznie robia. Ja powylaczalem na wszystkich partycjach oprocz systemowej wlasnie na wypadek takich sytuacji...

tomirek [ ]

Jezeli nie wylaczyles przywracania systemu to backupy sie automatycznie robia. Ja powylaczalem na wszystkich partycjach oprocz systemowej wlasnie na wypadek takich sytuacji...

kamehameha [ Centurion ]

tomirek => a jak ktoś ma wyłaczone przywracanie systemu? :(

Zobacze co da wyjebanie login.exe, shivan.exe i navihs.exe (wszystkie w windows/system32). Robie to z drugiego systemu, z WinXP sie nie da (za każdym razem jak skilluje proces, to od razu pojawia się od nowa)

13.03.2004

13:56

[21]

kamehameha [ Centurion ]

Wywalenie tych plików pomogło :) Już nic się nie dzieje przy starcie kompa. Jeżeli trzeba zrobić coś jeszcze to pisać tutaj o tym.

13.03.2004

13:57

[22]

Bregan a.k.a. Czapajew [ Senator ]

A potraktowaliście to Trojan Removerem lub Ad-aware?

13.03.2004

14:53

[23]

davis [ ]

Co jeszcze może pomóc:
Wejdź do rejsetru, wciśnij ctrl+f i wpisz nazwę niepożądanego pliku. jak znajdzie jakiś odnośnik do niego to wpizdu go :)

13.03.2004

15:01

[24]

bartek [ ]

[email protected] - na ten mail zostaja wysylane Wasze pliki cookies, nie zapisujcie plikow cookies, wylaczcie procesy shivan.exe i navihs.exe poprzez CTRL + ALT + DEL Zamiknij drzewo procesow i:

PRZEINSTALUJCIE SYSTEM

Wywalilem wczoraj syfa, ale plik index.dat w Cookies byl przy mojej obecnej wiedzy niemozliwy do usuniecia.

bartek [ ]

Ad-Ware nic nie widzi, Trojan Remover rowniez, bo to nie wirus.

Program korzysta z portu 1053 czy 1042, nie jestem pewien, mozna go zablokowac Kerio Personal Firewall'em, mail do WP juz poszedl.

Wielkie dzieki dla Hellmakera :)

Spis plikow (ktore pamietam):

C:\shivan.exe (ukryty)
C:\navihs.exe (ukryty, systemowy)
C:\Documents and Settings\User\Cookies\index.dat (obejrzyjcie sobie notatnikiem... :|)
C:\WINDOWS\Prefetch (kilka plikow .pf navihs i shivana)

Do tego drzewo folderow User jest kopiowane kilkakrotnie.

Infekuje plik svchost.exe.

bartek [ ]

Z tym sie laczy, gdzies w kodzie jest pewnie haslo na mail...

[HNTR] [ Freak ]

Teraz, to już za późno. Zrobiłęm format...