Forum » Pomoč in nasveti » Nov backdoor/trojanec/črv/bot/karkoli že???
Nov backdoor/trojanec/črv/bot/karkoli že???
_sem_ ::
Čez vikend se nam je na par računalnikih zaredila golazen. Dvorni izvajalec DDD Symantec AV corporate je zatajil na celi črti. Očistili ročno, ključno vprašanje pa je, kako se stvar širi in čez katero luknjo pride not. Da ne bo čez en teden spet , glede na to da AV ne najde. Morda kdo pozna podrobneje?
Zadeva v system in system32 direktorija namesti par odvečnih skritih fajlov.
V registry v Run ali RunOnce ni sumljivih stvari, namesti pa kup dodatnih servisov.
.NET Framework - None - C:\WINNT\system\scvhost.exe (tudi pri ne povsem uspešnih okužbah)
COM+ Component - None - C:\WINNT\system\scvhost.exe
Logical Disk Manager Service - Unknown - C:\WINNT\system32\srvany.exe (s tem programe požene kot servis)
LsServ SSH Daemon - Unknown - C:\WINNT\system\SERVICES.EXE
C:\WINNT\system32\wbem\system\SMSS.EXE (preimenovani ioFTPd ftp demon)
Odpre telnet port 2288
Pozdrav:
---o00o------------------- Welcome To This MiFFstro ---------------o00o---
******************************************
* M 0 0 F S I N F U L L F O R C E *
******************************************
etc.
Trend Micro Housecall je našel SMSS.EXE in ser.exe.
BitDefender ni našel nič.
Kasperski online je med sumljivimi prepoznal:
ser.exe - infected by not-a-virus:RiskWare.Tool.Hideout
service.exe - infected by Backdoor.ServU-based
SMSS.EXE - infected by Backdoor.Win32.FTP.ioFtpd.a
nc.exe - infected by not-a-virus:RiskWare.RemoteAdmin.NetCat
Zadeva v system in system32 direktorija namesti par odvečnih skritih fajlov.
V registry v Run ali RunOnce ni sumljivih stvari, namesti pa kup dodatnih servisov.
.NET Framework - None - C:\WINNT\system\scvhost.exe (tudi pri ne povsem uspešnih okužbah)
COM+ Component - None - C:\WINNT\system\scvhost.exe
Logical Disk Manager Service - Unknown - C:\WINNT\system32\srvany.exe (s tem programe požene kot servis)
LsServ SSH Daemon - Unknown - C:\WINNT\system\SERVICES.EXE
C:\WINNT\system32\wbem\system\SMSS.EXE (preimenovani ioFTPd ftp demon)
Odpre telnet port 2288
Pozdrav:
---o00o------------------- Welcome To This MiFFstro ---------------o00o---
******************************************
* M 0 0 F S I N F U L L F O R C E *
******************************************
etc.
Trend Micro Housecall je našel SMSS.EXE in ser.exe.
BitDefender ni našel nič.
Kasperski online je med sumljivimi prepoznal:
ser.exe - infected by not-a-virus:RiskWare.Tool.Hideout
service.exe - infected by Backdoor.ServU-based
SMSS.EXE - infected by Backdoor.Win32.FTP.ioFtpd.a
nc.exe - infected by not-a-virus:RiskWare.RemoteAdmin.NetCat
Hammer123 ::
Tudi pri meni se je tole malo zaredilo: AV mi je brez prestanka javljal virus/trojenec. fajl je bil pa scvhostx.exe, samo mi ga je pa AV takoj popucal.
Uporabljam AVG 7.0 FREE Edition.
Uporabljam AVG 7.0 FREE Edition.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Kako odstraniti smss.exe???Oddelek: Pomoč in nasveti | 1745 (1662) | BladE_ |
» | Trojanski konjOddelek: Pomoč in nasveti | 4110 (3721) | KaiCris |
» | Proxy trojanski konjOddelek: Pomoč in nasveti | 2553 (2272) | jan01 |
» | Cudni procesi v winXPOddelek: Operacijski sistemi | 1886 (1744) | Haby |
» | Zanimiv server LOGOddelek: Omrežja in internet | 1964 (1532) | TheHijacker |