о как поймал трояна..
видимо за те несколько секунд когда пришлось отключить файрволл.
потом файрволл тоже сказал, шо за каким-то хреном tftp в инет полезло. хи-хи
в результате шо имеем, когда это бяка запущена
вот такой процесс в памяти с однозначыми параметрами
cmd.exe /c c:\nc.exe -l -p21000 -t -d -e cmd.exe
нетстат про п21000 согласился.
сам nc.exe размером 28160 байт. завернут upx.
сзади все как надо LoadLibrary, GetProcAddress, WSOCK32.DLL
также в памяти сидели незакрытые процессы
net stop "System Event Notification"
теперь более интересное.
эта короста лезет к mysql
создает временный файл в \mysql\bin\tmp.txt
(или это виндос при попытке закрытия сервиса также и майсклд пытается отгрузить, который честно ждет Y/n)
The following services are dependent on the
Stopping the System Event Notification serv
Background Intelligent Transfer Service
Do you want to continue this operation? (Y/n)
и кроме этого в реджистри появился запуск
%winnt%/system32/mysqlagent.exe, xotya samogo takogo file netu...
я тоже такого не встречал.
да.. комп начинает дико тормозить. какие-то services.exe занимают до 100% cpu
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif)
gregory_777
