<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/3.12.0">
</HEAD>
<BODY>
On Fri, 2007-11-30 at 07:40 -0500, Alfredo Perez wrote:
<BLOCKQUOTE TYPE=CITE>
<PRE>
<FONT COLOR="#000000">On Thu, Nov 29, 2007 at 04:43:44PM -0600, B.J. McClure wrote:</FONT>
<FONT COLOR="#000000">> Sad to say one of my file servers was exploited and used to run a</FONT>
<FONT COLOR="#000000">> Phishing scam.  Have identified subject virus amongst other things.  It</FONT>
<FONT COLOR="#000000">> appears twice in a virus scan; /sbin/z (which I assume can just be</FONT>
<FONT COLOR="#000000">> deleted) and /sys/bus/serio/drivers/atkbd/description.  The latter file</FONT>
<FONT COLOR="#000000">> is also present in identical uninfected machines.  I have been unable to</FONT>
<FONT COLOR="#000000">> open the file, even with root privileges, although it appears to be a</FONT>
<FONT COLOR="#000000">> text file.  Any suggestions on how to proceed appreciated.  Guess I</FONT>
<FONT COLOR="#000000">> could delete it and copy over the file from an identical machine.</FONT>
<FONT COLOR="#000000">> </FONT>
<FONT COLOR="#000000">> Thanks in advance,</FONT>
<FONT COLOR="#000000">> B.J.</FONT>
<FONT COLOR="#000000">> </FONT>
<FONT COLOR="#000000">> CentOS 5.0, Linux 2.6.18-8.1.15.el5 x86_64 16:26:48 up 10:46, 1 user,</FONT>
<FONT COLOR="#000000">> load average: 0.07, 0.08, 0.04</FONT>

<FONT COLOR="#000000">Hi Can you tell me which virus scan you are using?</FONT>

<FONT COLOR="#000000">Thanks</FONT>
</PRE>
</BLOCKQUOTE>
<BR>
avg75flr-r49-a1130.i386.rpm<BR>
<BR>
B.J.<BR>
<TABLE CELLSPACING="0" CELLPADDING="0" WIDTH="100%">
<TR>
<TD>
CentOS 5.0, Linux 2.6.18-8.1.15.el5 x86_64 07:26:34 up 1 day, 1:45, 1 user, load average: 0.30, 0.13, 0.09
</TD>
</TR>
</TABLE>
</BODY>
</HTML>