broo utworzono 20 grudnia 2007 utworzono 20 grudnia 2007 Witam Mam nastepujacy problem - na jednym z komputerow znajdujacych sie w sieci lokalnej zauwazylem aktywnosc jakiegos wirusa/trojana/etc a mianowicie co jakis czas (jak dotad nie znalazlem zadnej prawidlowosci) komputer ten zaczyna laczyc sie z roznymi adresami na port 25, wiec wysyla jakis spam, caly ten ruch loguje na routerze i wyglada to mniej wiecej tak: Dec 20 18:16:03 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1059 194.67.23.20:25 in via rl0Dec 20 18:16:04 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1060 62.149.128.157:25 in via rl0Dec 20 18:16:04 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1061 168.174.252.69:25 in via rl0Dec 20 18:16:04 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1064 130.208.186.10:25 in via rl0Dec 20 18:16:04 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1065 210.150.125.199:25 in via rl0Dec 20 18:16:04 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1066 216.39.53.1:25 in via rl0Dec 20 18:16:04 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1067 64.13.238.245:25 in via rl0Dec 20 18:16:04 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1068 220.181.15.196:25 in via rl0Dec 20 18:16:06 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1055 65.54.244.104:25 in via rl0Dec 20 18:16:07 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1058 194.33.187.159:25 in via rl0Dec 20 18:16:07 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1059 194.67.23.20:25 in via rl0Dec 20 18:16:07 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1060 62.149.128.157:25 in via rl0Dec 20 18:16:07 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1061 168.174.252.69:25 in via rl0Dec 20 18:16:07 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1064 130.208.186.10:25 in via rl0Dec 20 18:16:07 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1065 210.150.125.199:25 in via rl0Dec 20 18:16:07 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1066 216.39.53.1:25 in via rl0Dec 20 18:16:07 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1067 64.13.238.245:25 in via rl0Dec 20 18:16:07 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1068 220.181.15.196:25 in via rl0Dec 20 18:16:12 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1055 65.54.244.104:25 in via rl0Dec 20 18:16:13 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1058 194.33.187.159:25 in via rl0Dec 20 18:16:13 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1059 194.67.23.20:25 in via rl0Dec 20 18:16:13 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1060 62.149.128.157:25 in via rl0Dec 20 18:16:13 x /kernel: ipfw: 200 Deny TCP 192.168.0.4:1061 168.174.252.69:25 in via rl0 oczywiscie jest tego znacznie wiecej komputer dziala na Windowsie XP, antywirus to Kaspersky wersja 6, po tym jak wykrylem problem zainstalowalem tez bitdefendera i spybot search&destroy - zaden z programow nic nie wykryl, tzn zarowno kaspersky jak i bitdefender nie znalazly zadnego wirusa, tak samo spybot s&d, firewalla ustawilem tak aby pytal o kazdy program ktory proboje sie laczyc z internetem i owszem, pyta o programy do poczty, www, skype etc, ale nie wykryl zadnego programu ktory probowalby sie laczyc ze zdalnym portem 25 pytanie - czy ma ktos jakis pomysl ? co to moze byc ? z gory przepraszam jesli post jest troche chaotyczny, ale jestem po 14h pracy i ledwie siedze z gory dzieki za jakies wskazowki
nitro07 komentarz 21 grudnia 2007 komentarz 21 grudnia 2007 spróbuj jeszcze przeskanować komputer jakimś programem do wykrywania rootkitów, przejrzyj jeszcze uruchomione procesy i programy startujące automatycznie z systemem (usuń wszystkie podejrzane) możesz jeszcze wrzucić na forum log z Hijackthis.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.