-
Junior Member
- Вес репутации
- 51
странное открытие 25-го порта
Добрый день. Столкнулся с такой проблемой. Пару дней назад мне от провадера пришло письмо о том, что с нашего айпи идет спам по 25-му порту и они нам закрывают 25-й порт, что для мне есть не хорошо. Хотел узнать что за зараза принимает соединение на 25-й порт, TCPVIEW и прочий софт постоянно молчал про 25-й порт, решил установить юниксовый firewall и натравить логировать 25-й порты, firewall успешно справлялся со своей задачей, каждую ночь происходила активность по 25-му порту, при чем с удаленного узла на мой узел, но при этом, не одна программа которая смотрит за активными соединениями процесса не зафиксировала ничего что связано с 25-й портом. Более подробное изучение проблемы стало извесно, что если делать telnet localhost 25 с локальной машины, ничего не происходит, якобы порт закрыт и все хорошо, так было сделано telnet 193.108.хх.хх(внейшний интрефейс) 25 с локальной машины, сказало что подключиться не может, но, при попытке подключение на этот же 193.108.хх.хх уже с другой тачки, которая находиться на другом конце города, соединение удачно прошло, но при этом не один софт не отразил этот процесс который принял этот порт. Думал, ладно, может телнет ушел слишком быстро по тайм ауту, настроил на удаленном компе почтовый клиент и прописал смтп 193.108.хх.хх и соответсвенно порт 25, начал отрпавлть письмо, почтовик сказал, что сессия поключена, пытаемся отправить и в это время смотрю в netstat и другой софт и удивляюсь, что там нету ни одного подключения по 25-у порту, хотя firewall успешно пишет логи что идет активность по 25-му порту. Помогите разбраться!
файлы логов прилагаются.
PS процессы и модули которые надо ip_fw.sys - юниксовы firewall
cmdow.exe - скрывает запуск батников
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток
Отключите восстановление системы
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('C:\WINDOWS\system32\CrDll.Dll','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\program files\winservice manager\winservice.exe','');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 51
Все сделал как было сказано
Файл сохранён как:100618_122543_virus_4c1b2d872939a.zip
Размер файла:1124227
MD:5495bd112cc616a4099e70bc5443552b0
-
Больше ничего плохого не вижу.
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
DefesT
Больше ничего плохого не вижу.
Да, вроде бы все нормально, я думаю что проблема решена.
Спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\winservice manager\winservice.exe - Trojan-PSW.Win32.QQHacker.g
- c:\windows\system32\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-