Показано с 1 по 13 из 13.

netstat + smtp (заявка № 26634)

  1. #1
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    13
    Вес репутации
    35

    Thumbs up netstat + smtp

    Всем привет. Ситуация аналогичная, как и здесь - http://virusinfo.info/showthread.php...hlight=netstat

    Лог netstat:
    Код:
    Active Connections
    
      Proto  Local Address          Foreign Address        State
      TCP    tigra:1028             216.195.62.91:1715     ESTABLISHED
      TCP    tigra:1984             sponts.teresto.net:smtp  ESTABLISHED
      TCP    tigra:2236             www2.your-server.de:smtp  ESTABLISHED
      TCP    tigra:2984             webmail.macnews.de:smtp  TIME_WAIT
      TCP    tigra:3398             mail7.hsphere.cc:smtp  TIME_WAIT
      TCP    tigra:3562             mail.rz-as.de:smtp     TIME_WAIT
      TCP    tigra:3684             hermes.euregio-gateway.net:smtp  TIME_WAIT
      TCP    tigra:3734             smtpbackup.mailwise.com:smtp  TIME_WAIT
      TCP    tigra:3745             mailin.rzone.de:smtp   TIME_WAIT
      TCP    tigra:3832             212.82.237.108:smtp    TIME_WAIT
      TCP    tigra:3836             mx2.screenwork-net.de:smtp  TIME_WAIT
      TCP    tigra:3864             ch2ssibme3.basel.usf.ihost.com:smtp  TIME_WAIT
      TCP    tigra:3865             mailin.rzone.de:smtp   TIME_WAIT
      TCP    tigra:3899             vgate.microplan.de:smtp  TIME_WAIT
      TCP    tigra:3939             mailin.rzone.de:smtp   TIME_WAIT
      TCP    tigra:3947             endor-neu.nw-team.de:smtp  TIME_WAIT
      TCP    tigra:3993             dd10204.kasserver.com:smtp  TIME_WAIT
      TCP    tigra:4035             mailin.rzone.de:smtp   TIME_WAIT
      TCP    tigra:4042             static-ip-85-25-152-209.inaddr.intergenia.de:smt
    p  TIME_WAIT
      TCP    tigra:4065             dd16938.kasserver.com:smtp  TIME_WAIT
      TCP    tigra:4078             mailin.rzone.de:smtp   TIME_WAIT
      TCP    tigra:4084             www15.your-server.de:smtp  ESTABLISHED
      TCP    tigra:4129             mail.batelco.com.bh:smtp  TIME_WAIT
      TCP    tigra:4140             filter2-til.mf.surf.net:smtp  TIME_WAIT
      TCP    tigra:4142             mailin.rzone.de:smtp   TIME_WAIT
      TCP    tigra:4149             msg.gfz-potsdam.de:smtp  TIME_WAIT
      TCP    tigra:4155             mailin.rzone.de:smtp   TIME_WAIT
      TCP    tigra:4156             smtpin2.tal.de:smtp    ESTABLISHED
      TCP    tigra:4193             as31.cnbg.de:smtp      TIME_WAIT
      TCP    tigra:4205             mailrelay.netcologne.de:smtp  TIME_WAIT
      TCP    tigra:4224             mail97.bayern.de:smtp  SYN_SENT
      TCP    tigra:4225             mail98.bayern.de:smtp  SYN_SENT
      TCP    tigra:4236             h-213.61.14.92.host.de.colt.net:smtp  TIME_WAIT
      TCP    tigra:4252             mailin.rzone.de:smtp   TIME_WAIT
      TCP    tigra:4255             mailrelay2.d3.net:smtp  TIME_WAIT
      TCP    tigra:4260             129.187.90.59:smtp     SYN_SENT
      TCP    tigra:4275             mail.kdo.de:smtp       TIME_WAIT
      TCP    tigra:4287             dd3136.kasserver.com:smtp  ESTABLISHED
      TCP    tigra:4302             mail.rz-as.de:smtp     TIME_WAIT
      TCP    tigra:4312             assp01.lrnc.net:smtp   TIME_WAIT
      TCP    tigra:4331             spooler.redcondor.net:smtp  SYN_SENT
      TCP    tigra:4346             leo-club-wuppertal.de:smtp  TIME_WAIT
      TCP    tigra:4349             hermes.euregio-gateway.net:smtp  TIME_WAIT
      TCP    tigra:4381             mailin.rzone.de:smtp   TIME_WAIT
      TCP    tigra:4414             mx5.rz.RWTH-Aachen.DE:smtp  TIME_WAIT
      TCP    tigra:4446             mailin.rzone.de:smtp   TIME_WAIT
      TCP    tigra:4472             vgate.microplan.de:smtp  TIME_WAIT
      TCP    tigra:4480             mailr-k.nerc.ac.uk:smtp  TIME_WAIT
      TCP    tigra:4492             webmail.macnews.de:smtp  ESTABLISHED
      TCP    tigra:4495             s15196472.rootmaster.info:smtp  ESTABLISHED
      TCP    tigra:4500             mailin.rzone.de:smtp   TIME_WAIT
    ^C
    Коннекты идут от svchost.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Tad25\0000', 'CSConfigFlags', '1');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Tad25.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Tad25.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_ImportquarantineList;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=26634 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.

  4. #3
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    13
    Вес репутации
    35
    Numb - готово.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Выполните скрипт AVZ в таком виде:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     bc_DeleteSvc('tcpsr');
     BC_DeleteSvc('Tad25');
     DeleteFile('C:\WINDOWS\System32\Drivers\Tad25.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Tad25.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки, повторите логи, начиная с п. 10 правил, еще раз, пожалуйста. Паразитный траффик прекратился?

  6. #5
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    13
    Вес репутации
    35
    Паразитный траффик прекратился?
    Да прекратился. По крайней мере " TCP tigra:1028 216.195.62.91:1715 ESTABLISHED" - этого соединения, как я понял управляющего для данного бота - больше не наблюдается.
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    В логах чисто,жалобы есть?

  8. #7
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    13
    Вес репутации
    35
    Прошу сильно не бить. К сожалению не успел воспользоваться последним советом (уезжал в командировку). Пока меня не было компьютер опять что-то словил, подозреваю что - тоже самое.
    Вложения Вложения

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Пофиксить

    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,C:\Documents and Settings\bob\jrtah.exe \s
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\gmj.exe','');
     DeleteFile('C:\WINDOWS\system32\gmj.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  10. #9
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    13
    Вес репутации
    35
    сделано.
    Вложения Вложения

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    Плохого не видно,жалобы есть?

  12. #11
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    13
    Вес репутации
    35
    Выполнил все твики. Жалоб нет.
    Спасибо.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Для справки:

    gmj.exe-Backdoor.Win32.Arin.a

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\gmj.exe - Backdoor.Win32.Arin.b (DrWEB: BackDoor.BlackHole.2403)


  • Уважаемый(ая) kba, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не запускается Mozilla, много открытых портов netstat - ano (заявка №46380)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 09.01.2011, 12:00
    2. smtp активность в netstat
      От c11ross в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.12.2010, 22:32
    3. Ответов: 1
      Последнее сообщение: 02.04.2009, 10:20
    4. netstat и SYN_SENT и smtp
      От scarev в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:41
    5. aka automatic netstat loging
      От drongo в разделе Общая сетевая безопасность
      Ответов: 15
      Последнее сообщение: 18.12.2007, 11:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00443 seconds with 17 queries