Вирус, троянец или какво?
На няколко машини съм забелязъл чрез командата netstat -an, че компютъра има активна връзка към някой сървър на порт 6667, този е стандартен за IRC, но няма пуснат никакъв клиент или каквото и да е, по регистрите не го намира, както и в services. с ХР са компютрите. Някои да го е срещал или идея как да се провери кое го стартира?
Вирус, троянец или какво?
Ако наистина нямаш пуснат IRC клиент, ситуацията не е нормална.
Мирише на Korgo.Z - вариация на Korgo от вчера, 27.07.2004 г.
Има и 5-6 троянеца, които слушат през 6667, ама пък казваш, че в registry не си открил нищо... Все пак би ли проверил, дали в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run нямаш някой подозрителен ключ?
Вирус, троянец или какво?
Възможно е. Провери дали няма активен някой подозрителен процес, който не познаваш. Казвам го от личен опит, защото когато си пуснах кабелен нет през НЕТ-ИС-САТ първото нещо което се случи беше, че в момента когато се опитах да се свържа с windows update и ми се лепна червей, подвизаващ се като процеса win64.exe. Имаше същите симптоми, свързваше се на този порт с разни IRC съсрвъри. След като инсталирах firewall, разбрах че атаката идва от различни други клиенти на същата фирма, които вече са заразени и червеят се опитва да се разпространява. Положението си е същото и до днес, но вече съм конфигурирал добре firewall-а. Така че всички потребители на горепосочената фирма трябва много да внимават.
Вирус, троянец или какво?
Не е от това много добре съм прегледал регистри процеси, сканирал съм с НАВ с дефиниции от 26.07.04, с последни дефиниции до вчера на Ad-aware, Trojan remover. Възможно е да е Korgo.Z, но поне от описанието не съвпада, трябва да го видя и на място и ще го търся пак какво е точно.
Приемам всякакви идеи и т.н.