Новый Руткит?! Множественные подключения по SMTP протоколу!!!
Помогите пожалуйста!
Зараженный компьютер находится в локалке. На роутере недавно обнаружил, что с больного компа идут множественные подключения в основном по SMTP протоколу к различным хостам типа хх.хх.хх.хх.hinet.com:12345 (китай)
Трафик идет постоянный
В локалке других активностей не наблюдается (имхо сеть чистая).
КAV2010 и CureIT ничего не видят...
Заранее спасибо!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\duyteppw'); RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\duyteppw\Parameters'); RebootWindows(true); end.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Проверьте компьютер этим: http://www.freedrweb.com/livecd
Выполнил скрипт, перезагрузился, прикреплен новый лог.
P.S. KDWin.exe нужная программа
hinet.com американский домен.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip'); QuarantineFile('C:\WINDOWS\system32\jwtxqpl.dll',''); DeleteFile('C:\WINDOWS\system32\jwtxqpl.dll'); BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\duyteppw'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
При выполнении последнего скрипта, обнаружил, что файл jwtxqpl.dll отсутствует в системе, файла карантина вообще нет, подключения исчезли, наверно после последних обновлений (от 23.01.10) базы KAV его снес.
Вроде все в порядке! Спасибо за помощь и поддержку!
P.S. Подключения шли на hinet.net, а не на hinet.com (я перепутал), а это уже китай.
Последний раз редактировалось ash666; 25.01.2010 в 13:45.
Уважаемый(ая) ash666, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
