вопрос о startup'e в винде
недавно переустановил дрова - nvidia -мож это от нихда
NvCpl rundll32.exe C:\windows\system32\Nvcpl.dll,Nvstarup
В ответ на:
Программы, устанавливаемые вместе с драйвером NVidia ForceWare (Detonator). Полезной нагрузки за ними не замечено. Отключайте их из автозагрузки (nvcpl также надо отключить через Управление службами, иначе он восстановится) - работоспособность системы от этого не пострадает.
nwiz nwiz.exe /install
В ответ на:
Для компьютеров без двух мониторов она почти бесполезна.
Отключить её можно так: Свойства экрана - Настройка - Дополнительно - "Ваша видеокарта" - Дополнительные свойства - Утилиты рабочего стола - Снять флажок "Включить менеджер рабочего стола".
А функций этого менеджера - соседняя кнопка.
А так же.
В ответ на:
[table width=100% border=0 cellspacing=1 cellpadding=5]
Symantec обнаружила появление червя W32.Gaobot.ZX
Статьи / новые вирусы
Дата: 15 Апр, 2004 г. - 14:48~~[size=2]W32.Gaobot.ZX – это уменьшенный вариант W32.Gaobot.SY. Этот червь пытается распространиться через папки, доступные по сети. Степень его опасности оценивается как средняя. Зафиксирован 12 апреля.
W32.Gaobot.ZX позволяет атакующему получить доступ на инфицированный компьютер через определенный IRC-канал.
Червь использует для распространения различные уязвимости, включая:
• The DCOM RPC уязвимость (описанную в Microsoft Security Bulletin MS03-026 используя TCP порт 135.
• The WebDav уязвимость (описанную в Microsoft Security Bulletin MS03-007 используя TCP порт 80.
• The Workstation service уязвимость переполнения буфера (описанную в Microsoft Security Bulletin MS03-049 используя TCP порт 445. Пользователи Windows XP от нее защищены, если используют Microsoft Security Bulletin MS03-043. Пользователи Windows 2000 должны использовать MS03-049.
• The Microsoft Messenger Service уязвимость переполнения буфера (описанную в Microsoft Security Bulletin MS03-043).
• The Locator service уязвимость (описанную в Microsoft Security Bulletin MS03-001 используя TCP порт 445.
• The UPnP уязвимость (описанную в Microsoft Security Bulletin MS01-059).
• Уязвимости в Microsoft SQL Server 2000 или MSDE 2000 аудит (описанные в Microsoft Security Bulletin MS02-061 используя UDP порт 1434.
• Рассылая себя в бекдор-порты, открытые червями из семейств Beagle и Mydoom.
Этот вариант сжат с помощью Yoda's Cryptor, PE_Patch и UPX.
Другое название: Backdoor.Agobot.lq [Лаборатория Касперского].
Размер: около 105 KB.
Уязвимые операционные системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.
После запуска W32.Gaobot.ZX совершает следующее:
Копирует себя в системную папку в виде %System%\nwiz.exe.
Добавляет значение
"Norton Wizzard"="nwiz.exe"
ключам реестра:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunServices
Таким образом червь запускается каждый раз при загрузке Windows.
Удаляет значения:
• "Ssate.exe"
• "rate.exe"
• "d3dupdate.exe"
• "TaskMon"
• "Explorer"
из ключа реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Удаляет следующие процессы:
• irun4.exe
• i11r54n4.exe
• winsys.exe
• bbeagle.exe
• taskmon.exe
W32.Gaobot.ZX пытается удалить нижеследующие процессы:
• _AVP32.EXE
• _AVPCC.EXE
• _AVPM.EXE
• ACKWIN32.EXE
• ADAWARE.EXE
• ADVWIN.EXE
• AGENTSVR.EXE
• AGENTW.EXE
• ALERTSVC.EXE
• ALEVIR.EXE
• ALOGSERV.EXE
• AMON9X.EXE
• ANTI-TROJAN.EXE
• ANTIVIRUS.EXE
• ANTS.EXE
• APIMONITOR.EXE
• APLICA32.EXE
• APVWIN.EXE
• ARR.EXE
• ATCON.EXE
• ATGUARD.EXE
• ATRO55EN.EXE
• ATWATCH.EXE
• AU.EXE
• AUPDATE.EXE
• AUTODOWN.EXE
• AUTO-PROTECT.NAV80TRY.EXE
• AUTOTRACE.EXE
• AUTOUPDATE.EXE
• AVCONSOL.EXE
• AVE32.EXE
• AVGCC32.EXE
• AVGCTRL.EXE
• AVGNT.EXE
• AVGSERV.EXE
• AVGSERV9.EXE
• AVGUARD.EXE
• AVGW.EXE
• AVKPOP.EXE
• AVKSERV.EXE
• AVKSERVICE.EXE
• AVKWCTl9.EXE
• AVLTMAIN.EXE
• AVNT.EXE
• AVP.EXE
• AVP32.EXE
• AVPCC.EXE
• AVPDOS32.EXE
• AVPM.EXE
• AVPTC32.EXE
• AVPUPD.EXE
• AVSCHED32.EXE
• AVSYNMGR.EXE
• AVWIN95.EXE
• AVWINNT.EXE
• AVWUPD.EXE
• AVWUPD32.EXE
• AVWUPSRV.EXE
• AVXMONITOR9X.EXE
• AVXMONITORNT.EXE
• AVXQUAR.EXE
• BACKWEB.EXE
• BARGAINS.EXE
• BD_PROFESSIONAL.EXE
• BEAGLE.EXE
• BELT.EXE
• BIDEF.EXE
• BIDSERVER.EXE
• BIPCP.EXE
• BIPCPEVALSETUP.EXE
• BISP.EXE
• BLACKD.EXE
• BLACKICE.EXE
• BLSS.EXE
• BOOTCONF.EXE
• BOOTWARN.EXE
• BORG2.EXE
• BPC.EXE
• BRASIL.EXE
• BS120.EXE
• BUNDLE.EXE
• BVT.EXE
• CCAPP.EXE
• CCEVTMGR.EXE
• CCPXYSVC.EXE
• CDP.EXE
• CFD.EXE
• CFGWIZ.EXE
• CFIADMIN.EXE
• CFIAUDIT.EXE
• CFINET.EXE
• CFINET32.EXE
• Claw95.EXE
• CLAW95CF.EXE
• CLEAN.EXE
• CLEANER.EXE
• CLEANER3.EXE
• CLEANPC.EXE
• CLICK.EXE
• CMD32.EXE
• CMESYS.EXE
• CMGRDIAN.EXE
• CMON016.EXE
• CONNECTIONMONITOR.EXE
• CPD.EXE
• CPF9X206.EXE
• CPFNT206.EXE
• CTRL.EXE
• CV.EXE
• CWNB181.EXE
• CWNTDWMO.EXE
• DATEMANAGER.EXE
• DCOMX.EXE
• DEFALERT.EXE
• DEFSCANGUI.EXE
• DEFWATCH.EXE
• DEPUTY.EXE
• DIVX.EXE
• DLLCACHE.EXE
• DLLREG.EXE
• DOORS.EXE
• DPF.EXE
• DPFSETUP.EXE
• DPPS2.EXE
• DRWATSON.EXE
• DRWEB32.EXE
• DRWEBUPW.EXE
• DSSAGENT.EXE
• DVP95.EXE
• DVP95_0.EXE
• ECENGINE.EXE
• EFPEADM.EXE
• EMSW.EXE
• ENT.EXE
• ESAFE.EXE
• ESCANH95.EXE
• ESCANHNT.EXE
• ESCANV95.EXE
• ESPWATCH.EXE
• ETHEREAL.EXE
• ETRUSTCIPE.EXE
• EVPN.EXE
• EXANTIVIRUS-CNET.EXE
• EXE.AVXW.EXE
• EXPERT.EXE
• EXPLORE.EXE
• F-AGNT95.EXE
• F-AGOBOT.EXE
• FAMEH32.EXE
• FAST.EXE
• FCH32.EXE
• FIH32.EXE
• FINDVIRU.EXE
• FIREWALL.EXE
• FLOWPROTECTOR.EXE
• FNRB32.EXE
• FPROT.EXE
• F-PROT.EXE
• F-PROT95.EXE
• FP-WIN.EXE
• FP-WIN_TRIAL.EXE
• FRW.EXE
• FSAA.EXE
• FSAV.EXE
• FSAV32.EXE
• FSAV530STBYB.EXE
• FSAV530WTBYB.EXE
• FSAV95.EXE
• FSGK32.EXE
• FSM32.EXE
• FSMA32.EXE
• FSMB32.EXE
• F-STOPW.EXE
• GATOR.EXE
• GBMENU.EXE
• GBPOLL.EXE
• GENERICS.EXE
• GMT.EXE
• GUARD.EXE
• GUARDDOG.EXE
• HACKTRACERSETUP.EXE
• HBINST.EXE
• HBSRV.EXE
• HIJACKTHIS.EXE
• HOTACTIO.EXE
• HOTPATCH.EXE
• HTLOG.EXE
• HTPATCH.EXE
• HWPE.EXE
• HL.EXE
• HXIUL.EXE
• IAMAPP.EXE
• IAMSERV.EXE
• IAMSTATS.EXE
• IBMASN.EXE
• IBMAVSP.EXE
• ICLOAD95.EXE
• ICLOADNT.EXE
• ICMON.EXE
• ICSUPP95.EXE
• ICSUPPNT.EXE
• IDLE.EXE
• IEDLL.EXE
• IEDRIVER.EXE
• IEXPLORER.EXE
• IFACE.EXE
• IFW2000.EXE
• INETLNFO.EXE
• INFUS.EXE
• INFWIN.EXE
• INIT.EXE
• INTDEL.EXE
• INTREN.EXE
• IOMON98.EXE
• IPARMOR.EXE
• IRIS.EXE
• ISASS.EXE
• ISRV95.EXE
• ISTSVC.EXE
• JAMMER.EXE
• JDBGMRG.EXE
• JEDI.EXE
• KAVLITE40ENG.EXE
• KAVPERS40ENG.EXE
• KAVPF.EXE
• KAZZA.EXE
• KEENVALUE.EXE
• KERIO-PF-213-EN-WIN.EXE
• KERIO-WRL-421-EN-WIN.EXE
• KERIO-WRP-421-EN-WIN.EXE
• KERNEL32.EXE
• KILLPROCESSSETUP161.EXE
• LAUNCHER.EXE
• LDNETMON.EXE
• LDPRO.EXE
• LDPROMENU.EXE
• LDSCAN.EXE
• LNETINFO.EXE
• LOADER.EXE
• LOCALNET.EXE
• LOCKDOWN.EXE
• LOCKDOWN2000.EXE
• LOOKOUT.EXE
• LORDPE.EXE
• LSETUP.EXE
• LUALL.EXE
• LUAU.EXE
• LUCOMSERVER.EXE
• LUINIT.EXE
• LUSPT.EXE
• MAPISV
В ответ на:
Программы, устанавливаемые вместе с драйвером NVidia ForceWare (Detonator). Полезной нагрузки за ними не замечено. Отключайте их из автозагрузки (nvcpl также надо отключить через Управление службами, иначе он восстановится) - работоспособность системы от этого не пострадает.
nwiz nwiz.exe /install
В ответ на:
Для компьютеров без двух мониторов она почти бесполезна.
Отключить её можно так: Свойства экрана - Настройка - Дополнительно - "Ваша видеокарта" - Дополнительные свойства - Утилиты рабочего стола - Снять флажок "Включить менеджер рабочего стола".
А функций этого менеджера - соседняя кнопка.
А так же.
В ответ на:
[table width=100% border=0 cellspacing=1 cellpadding=5]
Symantec обнаружила появление червя W32.Gaobot.ZX
Статьи / новые вирусы
Дата: 15 Апр, 2004 г. - 14:48~~[size=2]W32.Gaobot.ZX – это уменьшенный вариант W32.Gaobot.SY. Этот червь пытается распространиться через папки, доступные по сети. Степень его опасности оценивается как средняя. Зафиксирован 12 апреля.
W32.Gaobot.ZX позволяет атакующему получить доступ на инфицированный компьютер через определенный IRC-канал.
Червь использует для распространения различные уязвимости, включая:
• The DCOM RPC уязвимость (описанную в Microsoft Security Bulletin MS03-026 используя TCP порт 135.
• The WebDav уязвимость (описанную в Microsoft Security Bulletin MS03-007 используя TCP порт 80.
• The Workstation service уязвимость переполнения буфера (описанную в Microsoft Security Bulletin MS03-049 используя TCP порт 445. Пользователи Windows XP от нее защищены, если используют Microsoft Security Bulletin MS03-043. Пользователи Windows 2000 должны использовать MS03-049.
• The Microsoft Messenger Service уязвимость переполнения буфера (описанную в Microsoft Security Bulletin MS03-043).
• The Locator service уязвимость (описанную в Microsoft Security Bulletin MS03-001 используя TCP порт 445.
• The UPnP уязвимость (описанную в Microsoft Security Bulletin MS01-059).
• Уязвимости в Microsoft SQL Server 2000 или MSDE 2000 аудит (описанные в Microsoft Security Bulletin MS02-061 используя UDP порт 1434.
• Рассылая себя в бекдор-порты, открытые червями из семейств Beagle и Mydoom.
Этот вариант сжат с помощью Yoda's Cryptor, PE_Patch и UPX.
Другое название: Backdoor.Agobot.lq [Лаборатория Касперского].
Размер: около 105 KB.
Уязвимые операционные системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.
После запуска W32.Gaobot.ZX совершает следующее:
Копирует себя в системную папку в виде %System%\nwiz.exe.
Добавляет значение
"Norton Wizzard"="nwiz.exe"
ключам реестра:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunServices
Таким образом червь запускается каждый раз при загрузке Windows.
Удаляет значения:
• "Ssate.exe"
• "rate.exe"
• "d3dupdate.exe"
• "TaskMon"
• "Explorer"
из ключа реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Удаляет следующие процессы:
• irun4.exe
• i11r54n4.exe
• winsys.exe
• bbeagle.exe
• taskmon.exe
W32.Gaobot.ZX пытается удалить нижеследующие процессы:
• _AVP32.EXE
• _AVPCC.EXE
• _AVPM.EXE
• ACKWIN32.EXE
• ADAWARE.EXE
• ADVWIN.EXE
• AGENTSVR.EXE
• AGENTW.EXE
• ALERTSVC.EXE
• ALEVIR.EXE
• ALOGSERV.EXE
• AMON9X.EXE
• ANTI-TROJAN.EXE
• ANTIVIRUS.EXE
• ANTS.EXE
• APIMONITOR.EXE
• APLICA32.EXE
• APVWIN.EXE
• ARR.EXE
• ATCON.EXE
• ATGUARD.EXE
• ATRO55EN.EXE
• ATWATCH.EXE
• AU.EXE
• AUPDATE.EXE
• AUTODOWN.EXE
• AUTO-PROTECT.NAV80TRY.EXE
• AUTOTRACE.EXE
• AUTOUPDATE.EXE
• AVCONSOL.EXE
• AVE32.EXE
• AVGCC32.EXE
• AVGCTRL.EXE
• AVGNT.EXE
• AVGSERV.EXE
• AVGSERV9.EXE
• AVGUARD.EXE
• AVGW.EXE
• AVKPOP.EXE
• AVKSERV.EXE
• AVKSERVICE.EXE
• AVKWCTl9.EXE
• AVLTMAIN.EXE
• AVNT.EXE
• AVP.EXE
• AVP32.EXE
• AVPCC.EXE
• AVPDOS32.EXE
• AVPM.EXE
• AVPTC32.EXE
• AVPUPD.EXE
• AVSCHED32.EXE
• AVSYNMGR.EXE
• AVWIN95.EXE
• AVWINNT.EXE
• AVWUPD.EXE
• AVWUPD32.EXE
• AVWUPSRV.EXE
• AVXMONITOR9X.EXE
• AVXMONITORNT.EXE
• AVXQUAR.EXE
• BACKWEB.EXE
• BARGAINS.EXE
• BD_PROFESSIONAL.EXE
• BEAGLE.EXE
• BELT.EXE
• BIDEF.EXE
• BIDSERVER.EXE
• BIPCP.EXE
• BIPCPEVALSETUP.EXE
• BISP.EXE
• BLACKD.EXE
• BLACKICE.EXE
• BLSS.EXE
• BOOTCONF.EXE
• BOOTWARN.EXE
• BORG2.EXE
• BPC.EXE
• BRASIL.EXE
• BS120.EXE
• BUNDLE.EXE
• BVT.EXE
• CCAPP.EXE
• CCEVTMGR.EXE
• CCPXYSVC.EXE
• CDP.EXE
• CFD.EXE
• CFGWIZ.EXE
• CFIADMIN.EXE
• CFIAUDIT.EXE
• CFINET.EXE
• CFINET32.EXE
• Claw95.EXE
• CLAW95CF.EXE
• CLEAN.EXE
• CLEANER.EXE
• CLEANER3.EXE
• CLEANPC.EXE
• CLICK.EXE
• CMD32.EXE
• CMESYS.EXE
• CMGRDIAN.EXE
• CMON016.EXE
• CONNECTIONMONITOR.EXE
• CPD.EXE
• CPF9X206.EXE
• CPFNT206.EXE
• CTRL.EXE
• CV.EXE
• CWNB181.EXE
• CWNTDWMO.EXE
• DATEMANAGER.EXE
• DCOMX.EXE
• DEFALERT.EXE
• DEFSCANGUI.EXE
• DEFWATCH.EXE
• DEPUTY.EXE
• DIVX.EXE
• DLLCACHE.EXE
• DLLREG.EXE
• DOORS.EXE
• DPF.EXE
• DPFSETUP.EXE
• DPPS2.EXE
• DRWATSON.EXE
• DRWEB32.EXE
• DRWEBUPW.EXE
• DSSAGENT.EXE
• DVP95.EXE
• DVP95_0.EXE
• ECENGINE.EXE
• EFPEADM.EXE
• EMSW.EXE
• ENT.EXE
• ESAFE.EXE
• ESCANH95.EXE
• ESCANHNT.EXE
• ESCANV95.EXE
• ESPWATCH.EXE
• ETHEREAL.EXE
• ETRUSTCIPE.EXE
• EVPN.EXE
• EXANTIVIRUS-CNET.EXE
• EXE.AVXW.EXE
• EXPERT.EXE
• EXPLORE.EXE
• F-AGNT95.EXE
• F-AGOBOT.EXE
• FAMEH32.EXE
• FAST.EXE
• FCH32.EXE
• FIH32.EXE
• FINDVIRU.EXE
• FIREWALL.EXE
• FLOWPROTECTOR.EXE
• FNRB32.EXE
• FPROT.EXE
• F-PROT.EXE
• F-PROT95.EXE
• FP-WIN.EXE
• FP-WIN_TRIAL.EXE
• FRW.EXE
• FSAA.EXE
• FSAV.EXE
• FSAV32.EXE
• FSAV530STBYB.EXE
• FSAV530WTBYB.EXE
• FSAV95.EXE
• FSGK32.EXE
• FSM32.EXE
• FSMA32.EXE
• FSMB32.EXE
• F-STOPW.EXE
• GATOR.EXE
• GBMENU.EXE
• GBPOLL.EXE
• GENERICS.EXE
• GMT.EXE
• GUARD.EXE
• GUARDDOG.EXE
• HACKTRACERSETUP.EXE
• HBINST.EXE
• HBSRV.EXE
• HIJACKTHIS.EXE
• HOTACTIO.EXE
• HOTPATCH.EXE
• HTLOG.EXE
• HTPATCH.EXE
• HWPE.EXE
• HL.EXE
• HXIUL.EXE
• IAMAPP.EXE
• IAMSERV.EXE
• IAMSTATS.EXE
• IBMASN.EXE
• IBMAVSP.EXE
• ICLOAD95.EXE
• ICLOADNT.EXE
• ICMON.EXE
• ICSUPP95.EXE
• ICSUPPNT.EXE
• IDLE.EXE
• IEDLL.EXE
• IEDRIVER.EXE
• IEXPLORER.EXE
• IFACE.EXE
• IFW2000.EXE
• INETLNFO.EXE
• INFUS.EXE
• INFWIN.EXE
• INIT.EXE
• INTDEL.EXE
• INTREN.EXE
• IOMON98.EXE
• IPARMOR.EXE
• IRIS.EXE
• ISASS.EXE
• ISRV95.EXE
• ISTSVC.EXE
• JAMMER.EXE
• JDBGMRG.EXE
• JEDI.EXE
• KAVLITE40ENG.EXE
• KAVPERS40ENG.EXE
• KAVPF.EXE
• KAZZA.EXE
• KEENVALUE.EXE
• KERIO-PF-213-EN-WIN.EXE
• KERIO-WRL-421-EN-WIN.EXE
• KERIO-WRP-421-EN-WIN.EXE
• KERNEL32.EXE
• KILLPROCESSSETUP161.EXE
• LAUNCHER.EXE
• LDNETMON.EXE
• LDPRO.EXE
• LDPROMENU.EXE
• LDSCAN.EXE
• LNETINFO.EXE
• LOADER.EXE
• LOCALNET.EXE
• LOCKDOWN.EXE
• LOCKDOWN2000.EXE
• LOOKOUT.EXE
• LORDPE.EXE
• LSETUP.EXE
• LUALL.EXE
• LUAU.EXE
• LUCOMSERVER.EXE
• LUINIT.EXE
• LUSPT.EXE
• MAPISV
> nwiz nwiz.exe /install
просто удали из автозагрузки, оно нах не нужно. это от дров остался визард по настройке моника/моников. второе мона оставить (оно делать Control Panel для настройки дров).
зы. вот это простыня сверху, zx48k удивил
просто удали из автозагрузки, оно нах не нужно. это от дров остался визард по настройке моника/моников. второе мона оставить (оно делать Control Panel для настройки дров).
зы. вот это простыня сверху, zx48k удивил
ну испугал блин 
Отключайте их из автозагрузки (nvcpl также надо отключить через Управление службами, иначе он восстановится)это как? через управление службам - т.е. в msconfig'e в sevives? там тока : nvidia display driver service - это случайно не дрова?
Свойства экрана -> Настройка -> Дополнительно -> "Ваша видеокарта" -> Дополнительные свойства -> Утилиты рабочего стола -> Снять флажок "Включить менеджер рабочего стола".это типа dispaly properities->settings->advanced->geforce...->desktop managment->disable(nview desktop manager)
если это то - тогда у меня он был отключен но все равно nwiz восстановился
и еще вопрос как удалять из startup'a - дело в том что я могу только поставить флажок вкл или выкл
thx
Оставить комментарий
Alex19691975
просто у меня здеся какие то комманды запускаются а я не знаю че за коммандыне объясните ли
nwiz nwiz.exe /install
NvCpl rundll32.exe C:\windows\system32\Nvcpl.dll,Nvstarup
дело в том что я их отключал из startup'a а они опять включились
(точнее завелись опять эти комманды)
PS : недавно переустановил дрова - nvidia -мож это от них
PS2 : да и если это что левое то как это дело закрыть насовсем