Подозрение на вирус (спамрассылщик)

Printable View

27.09.2008, 16:10
HighMan

Подозрение на вирус (спамрассылщик)

Внезапно обнаружил, что мой IP загремел в Blacklist.. Разумеется, сразу стал шерстить свой комп.
Nod32 - усе чисто
AVZ - чисто
На роутере:
tcpdump -i eth1 dst port 25
выдает кучу обращений на разные почтовые сервера.
Шерстим комп дальше...
Все чисто, блин! Запросы к почтовым серверам рождаются прямо из воздуха.
Когда ничего не помогает, как средство последней надежды, привлекаем моСК. Смотрим реестр на наличие чаво либо криминального в автозапуске. Опять чисто, да вот только не везьде я посмотрел!
[quote]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,c:\\Documents and Settings\\highman\\ryni.exe"[/quote]
Такс... Это я явно не прописывал...
Отрубаю сей шедевр и.... Тишь, да гладь! tcpdump на роутере активно кажет тишину )))
27.09.2008, 16:11
Гриша

Стационар [url]http://virusinfo.info/forumdisplay.php?f=46[/url] устав [url]http://virusinfo.info/showthread.php?t=1235[/url]
28.09.2008, 01:01
borka

[QUOTE=HighMan;289848]Такс... Это я явно не прописывал...
Отрубаю сей шедевр и.... Тишь, да гладь! tcpdump на роутере активно кажет тишину )))[/QUOTE]
Вы хотите сказать, что АВЗ этого не показал? ;) "Не верю" (с) :)
28.09.2008, 01:35
Shark

[QUOTE=borka;290037]Вы хотите сказать, что АВЗ этого не показал? ;) "Не верю" (с) :)[/QUOTE]

Старый + необновлённый наверняка = точно не покажет. 8)
28.09.2008, 02:51
AndreyKa

ryni.exe - Trojan-Proxy.Win32.Agent.baq (Касперский), Trojan.Spambot.3561 (DrWeb)

[quote=HighMan]AVZ - чисто[/quote]
Если AVZ и не детектирует этот троян, это еще не значит, что он его не видит.
28.09.2008, 13:25
HighMan

В том то и дело, что я не только NOD32 просканировал весь диск, но потом и АВЗ! AVZ последний, другое дело, что обновлял я его два дня назад! Но ни тот, ни другой ничего подозрительного не нашли!!!!
Снес лицензионный NOD32 и поставил халявный avast. Посмотрим как поведет себя последний.
28.09.2008, 13:27
Гриша

Сигнатурный детект-это не конек AVZ :)
28.09.2008, 23:50
Karlson

[quote=Гриша;290130]Сигнатурный детект-это не конек AVZ :)[/quote]
дык на то и учат логи разбирать ручками... :)

[QUOTE=Shark]Старый + необновлённый наверняка = точно не покажет.[/QUOTE]
он его может не опознать как вредоносный или подозрительный, но в логе то он присутствовать будет все равно..