Добрый день, уважаемые.
Столкнулся сегодня с проблемой. Подхожу утром к компу - вижу сообщение NOD'а об обнаружении сабжа... После просмотра десятка таких сообщений отключил вывод и стал смотреть лог Нода. В итоге нашлось несколько тысяч этой дряни. Назывались экзешники, как вы понимаете, по имени папки.
Загрузился с загрузочного диска, запустил AVZ - он вычистил еще некоторое количество этого.
Полез читать описания - но остальные симптомы у себя не обнаружил, ни в docs&settings, ни в windir - ничего нет. Авз тоже ничего не находит.
Но при одном из сканирований авз сказал, что обнаружил какой-то руткит. Больше это ни разу не повторялось.
Через час-два нод опять заорал, и опять стал удалять туеву хучу этих файлов. Повторил процедуру, поизучал авз-шные отчеты - ничего интересного не обнаружил.
Снес нода, поставил каспера .411. Вычистил. Через полчаса - снова.
Т.е. кто-то их туда начинает копировать. Но никто не видит кто. Сисинтерналовский руткит-ревилер ничекго не видит. Авз один раз ругнулся на подмену имени у файрфокса, один раз на подмену имени у actviesync.
Прочитал все похожие темы тут - симптомы совпадают лишь частично. Через некотрое время вдруг отрубается запуск любых приложений. Ребут от этого лечит.
Снова все вычистил, поставил файрволл, сижу жду..
У кого какие идеи есть? Где может сидеть эта дрянь?
Заранее спасибо
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Видимый процесс с PID=2432, имя = "\Device\HarddiskVolume1\PROGRA~1\MOZILL~1\firefox .exe"
>> обнаружена подмена имени, новое имя = "c:\program files\mozilla firefox\firefox.exe"
srescan.sys - это что ? в прошлый раз , человек не смог к нам его прислать . Попробуйте любым методом .
isafe.exe- это антивирус от esafe , его нужно отключить .Возможно из-за него глюки .
C:\WINDOWS\system32\r_server.exe - сами ставили ? возможно через него вам засаживают .
Последний раз редактировалось drongo; 31.01.2007 в 20:34.
srescan.sys - это что ? в прошлый раз , человек не смог к нам его прислать . Попробуйте любым методом .
isafe.exe- это антивирус от esafe , его нужно отключить .Возможно из-за него глюки .
C:\WINDOWS\system32\r_server.exe - сами ставили ? возможно через него вам засаживают .
srescan - это от зоналарма. Прикрепил к теме архив.
isafe - видимо тоже поставился вместе с зоналармом. Глюки начались раньше.
Вопрос: заплатки на систему все стоят? Пароль на учётную запись администратора стоит? Диски не расшаривали? Апач снаружи виден? Если да, то как у него с заплатками?
begin
SetAVZGuardStatus(True);
SearchRootkit(true, false);
QuarantineFile('c:\Bookshelf.TR\TRBookshelf_.dll.button.js','');
QuarantineFile('D:\Tools\Snoop\IniFile.dll','');
QuarantineFile('d:\tools\snoop\snoop2.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7727_quarantine.zip');
SetAVZGuardStatus(False);
end.
После выполнения скрипта, в папке AVZ найдите файл virusinfo_7727_quarantine.zip и пришлите его нам по правилам(через эту форму)
Готово. Но это файлы безвредные.
Первый - читалка книг. Я ее уже удалил, поэтому в архиве нету ее
Второе и третее - это от программки snoop2, которой я пользуюсь уже лет эдак семь =)
Сообщение от pig
Вопрос: заплатки на систему все стоят? Пароль на учётную запись администратора стоит? Диски не расшаривали? Апач снаружи виден? Если да, то как у него с заплатками?
заплатки не стоят, ибо виндоус не очень лицензионный, а ломать неохота. Пароль стоит. Апач виден только в локалке. Тут хацкеров нет =) Если только wifi сломали.. но это маловероятно.
Расшарено только пара папок. Стоп. Как раз те папки, в которых появляются вирусы! Спасибо за мысль!! Ща я тут устрою тотальную аннигиляцию =)
Все. спасибо большое. Я тупиццо
Гад действительно сидел на другой машине (и почему там не стоял антивир?). И записывался ко мне через расшаренные папки.
Непонятно только по какому принципу он выбрал именно мою машину...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: