Господа, добрый день.
Есть контроллер домена на котором стоит почтовый сервер. Есть линуксовый файервол с белым адресом который всем сеть раздаёт, в том числе и домену. Смотрю логи файервола - каждую минуту с домена идут пакеты по 25 порту на непонятно какие адреса. В журнале Агнитум Оутпост который на домене стоит ничего криминального нету. TCPView тоже ничего не показывает.
Что у меня засёк Агнитум это только protector.exe который как бы находится в \system32, но там его нету. В любом случае он в сеть ни одного байта не передал.
У меня был уже спамерский троян из-за которого я на 2 недели попал в чёрный список, но его было видно сразу - процесс с непонятным именем долбится по всем портам. Я его просто убил, а этот... Как ему удалось файервол обойти?....
В общем буду благодарен любой помощи..
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После выполнения скрипта компьютер автоматом уйдет на перезапуск, это нормально. После перезагрузки сделайте новые гоги и пришлите попавшие в карантин файлы.
Стоит McAfee 8.0i ничего в упор не видит. Каждый день в 2:00 базы обновляются. В 3 часа полная проверка.
Из сети нодом32 проверял тоже самое.
Я понять не могу как червь оутпост обходит? Идут ведь пакеты в сеть. (Могу скрины прислать)
Стоит McAfee 8.0i ничего в упор не видит. Каждый день в 2:00 базы обновляются. В 3 часа полная проверка.
Из сети нодом32 проверял тоже самое.
Я понять не могу как червь оутпост обходит? Идут ведь пакеты в сеть. (Могу скрины прислать)
А какие конкретно подозрительные файлы?
Собственно указанный скрипт AVZ их и поместит в карантин. Прчто те два руткита, которые видны в логе - они оди из самых лучших - поэтому они весьма успешно маскируются от антивирусов и поиска. В скрипте AVZ идут команды их неутрализации и блокировки.
В карантине упоминается о файлах se.exe.exe, ss.exe.exe, up.cmd
Последний это мой скрипт. Первые два я ручками удалил, после перезагрузки не появились.
8. Загрузите полученный архив по адресу https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: