backdoor.daodan

Printable View

03.03.2010, 12:25
niabu

backdoor.daodan

Доброго времени суток. Прошу совета.
Проблема следующая: win srv 2003 sp2 + exch srv на ней.
При очередном сканировании AVZ выдал вот такое сообщение.
[QUOTE]>> Обратите внимание: порт 1111 UDP - Backdoor.Daodan, Backdoor.Delf (d:\exchsrvr\bin\store.exe - опознан как безопасный процесс)[/QUOTE] Заменять (тем более, удалять) файл не хочется, ибо опасаюсь потом проблем с эксчейнджем..

логи прилепил на всякий случай.
Заранее спасибо.
03.03.2010, 13:35
DefesT

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
03.03.2010, 15:36
niabu

Если просто сделать диск с - прикрепил.
при попытке сделать диск d - виснет и всё :(
эксчейндж на диске d находится.
03.03.2010, 20:56
thyrex

Скачайте [url="http://www2.gmer.net/mbr/mbr.exe"]mbr[/url]
После запуска в папке с программой найдете mbr.log
Его и выложите
04.03.2010, 15:09
niabu

всё, что в логе было

[QUOTE]Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, [url]http://www.gmer.net[/url]

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK [/QUOTE]
04.03.2010, 15:12
thyrex

Порядок
04.03.2010, 15:40
niabu

[QUOTE=thyrex;597539]Порядок[/QUOTE]

да в том то и дело : )
так что делать-то? : )
может, забить пока? сначала на новую версию avz грешил, но на других-то серваках всё ок.

а. (вдруг поможет) ещё и на dns.exe тоже грешил, там проблему решил удалением файла, новый с установочного диска распаковал, туда же (в system32) бросил, зону dns переустановил, и ошибка пропала.

просто с экчсчейнджем так не прокатит, там же store какую-ту инфу содержит служебную :(
05.03.2010, 05:58
pig

Ничто не мешает легитимным приложениям использовать под свои легитимные нужды порты, которыми любят пользоваться трояны. Если приложение действительно фирменное, если никакого инжекта вредоносного кода в процесс нет - стало быть, порядок.
05.03.2010, 17:10
niabu

[QUOTE=pig;597915]Ничто не мешает легитимным приложениям использовать под свои легитимные нужды порты, которыми любят пользоваться трояны. Если приложение действительно фирменное, если никакого инжекта вредоносного кода в процесс нет - стало быть, порядок.[/QUOTE]

так на других-то компах с такой же конфигурацией не ругается!
вот в чём странность.
07.03.2010, 20:27
pig

Я думаю, что и на этом после перезагрузки всё придёт в норму. 1111 - это из пула динамически выдаваемых системой портов.