-
Junior Member
- Вес репутации
- 60
Есть подозрение на вирусы!!
При обращении на мой FTP Kerio personal firewall начинает ругаться на то, что при обращении к нему по ftp-протоколу, на клиентскую машину пытается пробиться троян backdoor.trojan.striker. Проверял сервер NOD32 и cureit с обновленными базами, они ничего не нашли. Avz кое-что нашел, но мне очень бы не хотелось без особых знаний в этой области удалять mfaphook.dll tzhook.dll (citrix на сервере есть). Вот логи.
Заранее спасибо!
Последний раз редактировалось testik777; 17.11.2008 в 09:05.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
testik777
Avz кое-что нашел, но мне очень бы не хотелось без особых знаний в этой области удалять mfaphook.dll tzhook.dll (citrix на сервере есть).
То, что нашел АВЗ - закарантинить и прислать по правилам Приложения 2 и 3.
У Вас тут гибрид какой-то из Вин2К и сервера?
-
-
Видно, что проверки вы выполняли из терминальной сессии. Если есть возможность, повторите логи AVZ, запустив утилиту из консоли.
-
-
Junior Member
- Вес репутации
- 60
AVZ я запускал из консоли, возможно в этот момент была открыта моя терминальная сессия на этот сервер. Выкладываю свежие логи (AVZ был запушен из консоли) + карантин.
Последний раз редактировалось testik777; 17.11.2008 в 09:05.
-
Проверьте пожалуйста - какие логи соответствуют действительности.
Вы должны прикрепить 3 лога в соответствии с правилами.
Карантин virusinfo_cure.zip загрузите по красной ссылке вверху темы.
-
-
Junior Member
- Вес репутации
- 60
Извиняюсь. Карантин прикрепил, как в указано приложении 2. Прикрепляю недостающий лог от Hijack.
Последний раз редактировалось testik777; 17.11.2008 в 09:05.
-
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
QuarantineFile('d:\winnt\system32\srvany.exe','');
end.
После выполнения скрипта, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=27018 , как написано в прил. 3 правил.
-
-
Junior Member
- Вес репутации
- 60
Извините за задержку! карантин выложил по указанной ссылке.
-
По заключению аналитиков лаборатории Касперского, файл чистый. Вынесли вашу тему на коллегиальное обсуждение, возможно, какие-то идеи новые появятся. Попутно, вопрос: а как организован ftp-сервер (в смысле, какие программные средства используются) ?
-
-
Junior Member
- Вес репутации
- 60
Спасибо за помощь. Я бы хотел закрыть тему. На самом сервере никаких внешних признаков заражения не наблюдается. Единственным показателем был керио firewall, в обязанности которого не входит точно определение видов троянов. Скорее всего он перепутал легальный входящий запрос с ftp с чем-то подозрительным. Еще раз спасибо.