Re: Найти трояна
В сообщении от 13 Январь 2005 14:59 Ildar Shaynurov написал(a):
> On Wed, 12 Jan 2005 17:54:42 +0300
>
> box1739 <box1739@yandex.ru> wrote:
> > Wednesday, January 12, 2005, 5:25:44 PM, you wrote:
> >
> > IS> посмотрел я при помоши iptraf и ужаснулся. Постоянно с разных
> > IS> комповпытается сделать конект. Причем порт все время новый. Ну это
> > IS> еще ладно.Так же пытается сделать конект из сети 192.168.x.x. А у
> > IS> меня только 192.168.0.x. Но с этих аресов идет с порта 445.
> > IS> Вообщем придетсяпомучиться.
> >
> > IS> Никто случаем не знает что это за бестия такая?
> >
> > Осенью прошлого года слышал о двух подобных случаях, но "руками
> > пощупать не удалось". XP'хи востановили из образов раньше, чем я
> > приехал.
> > Теперь о деле. Возьми tcpview на
> > http://www.sysinternals.com/ntw2k/source/tcpview.shtml
> > поставь на "плохие" машины и посмотри, "что за бестия" открывает
> > сокеты и куда она ломится. Если получиться, сообщи в рассылку.
> > Любопытно.
>
> чем дальше тем интреснее. Все это шлет процесс winmedplay.exe.
> Запускается он из реестра. Находится в C:\WINDOWS\SYSTEM32.
не про похожее ли тут написано?
http://cnews.ru/newtop/index.shtml?2005/01/12/172261
> Шлет все на ns.dtlsolutions.com:8092 (217.199.174.11)
>
> Поиск по имени файла ничего не дал. Теперь даже не знаю что с ним
> делать. Или в какую-нить вирусную лабораторию сдать. И потом самому идти
> и чистить его. Или...
--
С Уважением,
Юркин Евгений
Siberia Health Inc
Reply to: