Показано с 1 по 6 из 6.

Ловим спамбота (заявка № 6519)

  1. #1
    Junior Member Репутация
    Регистрация
    19.10.2006
    Сообщений
    17
    Вес репутации
    43

    Ловим спамбота

    Ситуация - на машине поселились штук 8 разных червей и троянов. C него началась рассылка спама.
    Загрузились с KAV 6.0 beta CD, пролечили. Вроде как чисто.... Но остались подозрения.
    На машину поставили KAV WS 5.0.712, ничего не нашёл. Но я засёк попытки соединения на 69.50.177.122 TCP port 33022. Пробил IP по спам базам -
    http://www.dnsstuff.com/tools/ip4r.ch?ip=69.50.177.122
    Результат:
    TXT= "Escalated Listing (Spam or Spam Support) See: http://www.sorbs.net/lookup.shtml?69.50.177.122"
    Reports CNAME of atrivo.com.spam-support.blackholes.five-ten-sg.com.
    TXT= "added 2005-09-07; refusal to remove esthost"
    25 порт я ему прикрыл напрочь, но Касперский помигивал в трее значком проверки почты, хотя в отчёте ни одного проверенного письма. Как я понимаю это были попытки соединения.
    Поставил KAV WS beta 6, антихакер поймал соединение - svchost.exe на 25 порт упорно хочет что-то послать.
    То есть бот подсел на этот процесс.
    Давайте выловим эту сволочь! Как отследить что в системе сидит?
    Подозревал ert.dll, удалил из загрузки - не помогло.
    Сейчас проверю ещё RootKitRevealer. Логи чуть позже от всего выложу.
    Вот логи. Процессы, строки найденные в процессе svchost, ещё кое что.
    Вложения Вложения
    Последний раз редактировалось givi; 19.10.2006 в 12:32.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    External Specialist Репутация Репутация Аватар для sergey_gum
    Регистрация
    13.05.2005
    Адрес
    Россия, Московская область
    Сообщений
    482
    Вес репутации
    52
    Пожалуйста прочтите правила

  4. #3
    Junior Member Репутация
    Регистрация
    19.10.2006
    Сообщений
    17
    Вес репутации
    43
    Прочёл. Просто скрипты требуют много времени на выполнение. Так что пока только предварительные логи
    А вот и логи:
    Вложения Вложения
    Последний раз редактировалось givi; 19.10.2006 в 13:15.

  5. #4
    Junior Member Репутация
    Регистрация
    19.10.2006
    Сообщений
    17
    Вес репутации
    43
    ert.dll - модификация Trojan-Proxy.Win32.Small.ct
    Но ещё что-то есть. Этого уже убил через AVZ - удаление файла

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    137
    пофиксите с помощью HijackThis следующие строки:
    O21 - SSODL: IEFilter - {7B07A302-8D98-4080-A9A4-70EA6228EE46} - (no file)

    пришлите на проверку файлы по правилам форума:
    C:\WINDOWS\SYSTEM32\psqlpwd.dll
    C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll

  7. #6
    Junior Member Репутация
    Регистрация
    19.10.2006
    Сообщений
    17
    Вес репутации
    43
    Не получится, компьютер был нужен срочно. Так что всё вылечилось командой format c:

  • Уважаемый(ая) givi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Постоянная просьба ввести логин и пароль.
      От Slava VVV в разделе Технические и иные вопросы
      Ответов: 0
      Последнее сообщение: 29.02.2012, 16:22
    2. Не проходят логин:пароль в броузере.
      От Ramaloke в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.01.2010, 19:01
    3. Не найти СпамБота
      От KulakovSergey в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.01.2009, 12:40
    4. Похоже на спамбота
      От expe в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.10.2008, 10:38
    5. Подозрение на СпамБота
      От hyppopotam в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 07.02.2008, 21:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01241 seconds with 17 queries