-
Junior Member
- Вес репутации
- 53
Новый Руткит?! Множественные подключения по SMTP протоколу!!!
Помогите пожалуйста!
Зараженный компьютер находится в локалке. На роутере недавно обнаружил, что с больного компа идут множественные подключения в основном по SMTP протоколу к различным хостам типа хх.хх.хх.хх.hinet.com:12345 (китай)
Трафик идет постоянный
В локалке других активностей не наблюдается (имхо сеть чистая).
КAV2010 и CureIT ничего не видят...
Заранее спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\duyteppw');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\duyteppw\Parameters');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Проверьте компьютер этим: http://www.freedrweb.com/livecd
-
-
Junior Member
- Вес репутации
- 53
Выполнил скрипт, перезагрузился, прикреплен новый лог.
P.S. KDWin.exe нужная программа
-
hinet.com американский домен.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
QuarantineFile('C:\WINDOWS\system32\jwtxqpl.dll','');
DeleteFile('C:\WINDOWS\system32\jwtxqpl.dll');
BC_DeleteReg('HKLM\SYSTEM\CurrentControlSet\Services\duyteppw');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
-
-
Junior Member
- Вес репутации
- 53
При выполнении последнего скрипта, обнаружил, что файл jwtxqpl.dll отсутствует в системе, файла карантина вообще нет, подключения исчезли, наверно после последних обновлений (от 23.01.10) базы KAV его снес.
Вроде все в порядке! Спасибо за помощь и поддержку!
P.S. Подключения шли на hinet.net, а не на hinet.com (я перепутал), а это уже китай.
Последний раз редактировалось ash666; 25.01.2010 в 13:45.