Ситуация - на машине поселились штук 8 разных червей и троянов. C него началась рассылка спама.
Загрузились с KAV 6.0 beta CD, пролечили. Вроде как чисто.... Но остались подозрения.
На машину поставили KAV WS 5.0.712, ничего не нашёл. Но я засёк попытки соединения на 69.50.177.122 TCP port 33022. Пробил IP по спам базам - http://www.dnsstuff.com/tools/ip4r.ch?ip=69.50.177.122
Результат:
TXT= "Escalated Listing (Spam or Spam Support) See: http://www.sorbs.net/lookup.shtml?69.50.177.122"
Reports CNAME of atrivo.com.spam-support.blackholes.five-ten-sg.com.
TXT= "added 2005-09-07; refusal to remove esthost"
25 порт я ему прикрыл напрочь, но Касперский помигивал в трее значком проверки почты, хотя в отчёте ни одного проверенного письма. Как я понимаю это были попытки соединения.
Поставил KAV WS beta 6, антихакер поймал соединение - svchost.exe на 25 порт упорно хочет что-то послать.
То есть бот подсел на этот процесс.
Давайте выловим эту сволочь! Как отследить что в системе сидит?
Подозревал ert.dll, удалил из загрузки - не помогло.
Сейчас проверю ещё RootKitRevealer. Логи чуть позже от всего выложу.
Вот логи. Процессы, строки найденные в процессе svchost, ещё кое что.
Последний раз редактировалось givi; 19.10.2006 в 13:32.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: