avserve2.exe

avserve2.exe

offline
  • Pridružio: 02 Sep 2003
  • Poruke: 4956

Danas upalim komp, krenem da radim nesto i odjednom poruka da ce se iskljuciti za 60 sec (pao RPC). Skenirao sam komp svim alatima koje imam za msblastera i slicne, avg nista nije nasao, i tek sam task manageru video da se na svakih par sekundi pojavi proces 'avserve2' i nestane, i za to vreme se kursor promeni kao da radi nesto u pozadini.
Elem, obrisao sam ga iz startupa i premestio fajl na drugo mesto (dok ne saznam sta je) i vise nemam problema. Fajl se inace nalazio u c:\windows i velicine je 15.872 kb

Zna li neko sta je ovo?



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Voja 
  • Novi MyCity građanin
  • Pridružio: 02 Maj 2004
  • Poruke: 1

Znaci gasi mi se komp za 60, skenirao sam za blast nista nije nasao, ista poruka za Remote Procedure Call proces i sve sam skenirao sa avastom. Samo nisam uspeo da nadjem avserve2.exe ni na hardu ni u startupu ni proces nisam primetio.



offline
  • Pridružio: 24 Feb 2004
  • Poruke: 3013

Nisi primetio ni da si usao sa drugo "Ja" Wink

offline
  • SVITAC 
  • Legendarni građanin
  • Pridružio: 28 Apr 2003
  • Poruke: 5919
  • Gde živiš: Beograd

Radi se izgleda o Crviću .. worm.win32.sasser.B verzija ..
zakrpa: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

više informacija:
Worm.Win32.Sasser.b
[ 05/02/2004 22:14, GMT +03:00, Moscow ]
Danger : moderate risk

This worm spreads via the Internet using a vulnerability in the Microsoft Windows LSASS service. The vulnerability is described in Microsoft Security Bulletin MS04-011, which can be found at:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

The worm is written in C/C++ using Visual C compiler. It is approximately 15KB in size, and packed using ZiPack.
Propagation
When launching, the worm registers itself in the system registry autorun key:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve2.exe = %WINDIR%\avserve2.exe

The worm scans IP addresses, searching for computers which have the vulnerability described in MS04-011. A vulnerable computer will launch the command packet "cmd.exe" on TCP port 9996, and will then accept commands to download and launch copies of the worm.

Downloading is carried out via FTP protocol.

In order to do this the worm launches an FTP server on TCP port 5554 and on request from the victim computer loads a copy of itself. The copy of the worm will be loaded under the name "_up.exe", where "_" is a random number.
I skidajte novije definicije virusa za čišćenje virusa sa kompa ..

offline
  • Pridružio: 02 Sep 2003
  • Poruke: 4956

Tacno. Danas sam skinuo najnoviji update za AVG (prethodni sam skinuo pre dva dana) i detektovao ga je i uspesno obrisao.

offline
  • Goran 
  • Prof.Mr.Dr.Sci. Traumatologije
  • Pridružio: 05 Maj 2003
  • Poruke: 9977
  • Gde živiš: Singidunum

"KAV" taj virus ima u svojoj definiciji još od 5 Februara ove godine.

offline
  • SVITAC 
  • Legendarni građanin
  • Pridružio: 28 Apr 2003
  • Poruke: 5919
  • Gde živiš: Beograd

izgleda da kreće polako da se širi ..

offline
  • Pridružio: 02 Sep 2003
  • Poruke: 4956

Citat: "KAV" taj virus ima u svojoj definiciji još od 5 Februara ove godine

Verujem, ali video si i sam kako KAV radi kod mene... Sad

Ko je trenutno na forumu
 

Ukupno su 1040 korisnika na forumu :: 47 registrovanih, 3 sakrivenih i 990 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: A.R.Chafee.Jr., aleksmajstor, Arsenije, Ben Roj, bojank, bojankrstc, bokisha253, BRATORIII, Bubimir, ccoogg123, deimos25, djboj, Georgius, goxsys, kib, kolle.the.kid, Kubovac, kybonacci, lcc, Miki01, Milometer, Milos ZA, minmatar34957, MrNo, nebidrag, nebkv, nick79, novator, Oscar2, rovac, ruma, Sirius, SlaKoj, stemark, Stoilkovic, Trpe Grozni, trutcina, vathra, VJ, vladulns, voja64, vranjanac29, W123, YugoSlav, zax22r, zdrebac, 1107