Re: Re[2]: Найти трояна
On Wed, 12 Jan 2005 17:54:42 +0300
box1739 <box1739@yandex.ru> wrote:
>
>
> Wednesday, January 12, 2005, 5:25:44 PM, you wrote:
>
> IS> посмотрел я при помоши iptraf и ужаснулся. Постоянно с разных
> IS> комповпытается сделать конект. Причем порт все время новый. Ну это
> IS> еще ладно.Так же пытается сделать конект из сети 192.168.x.x. А у
> IS> меня только 192.168.0.x. Но с этих аресов идет с порта 445.
> IS> Вообщем придетсяпомучиться.
>
> IS> Никто случаем не знает что это за бестия такая?
>
> Осенью прошлого года слышал о двух подобных случаях, но "руками
> пощупать не удалось". XP'хи востановили из образов раньше, чем я
> приехал.
> Теперь о деле. Возьми tcpview на
> http://www.sysinternals.com/ntw2k/source/tcpview.shtml
> поставь на "плохие" машины и посмотри, "что за бестия" открывает
> сокеты и куда она ломится. Если получиться, сообщи в рассылку.
> Любопытно.
>
чем дальше тем интреснее. Все это шлет процесс winmedplay.exe.
Запускается он из реестра. Находится в C:\WINDOWS\SYSTEM32.
Шлет все на ns.dtlsolutions.com:8092 (217.199.174.11)
Поиск по имени файла ничего не дал. Теперь даже не знаю что с ним
делать. Или в какую-нить вирусную лабораторию сдать. И потом самому идти
и чистить его. Или...
Reply to: