Показано с 1 по 10 из 10.

Backdoor.Win32.Rbot (заявка № 10064)

  1. #1
    Junior Member Репутация
    Регистрация
    25.04.2007
    Сообщений
    30
    Вес репутации
    36

    Exclamation Backdoor.Win32.Rbot

    Сервак у соседей начал начал атаковать узлы в инете. Нашёл замечательную штуку (сабж), времени вникать нет, подскажите что и как удалить )
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Пока не удалять, а присылать - Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('wuauclt6.exe','');
     QuarantineFile('wuauclt28.exe','');
     QuarantineFile('ns75.exe','');
     QuarantineFile('c:\windows\system32\rslsys.exe','');
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, загрузите содержимое карантина AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=10064 , как написано в прил.3 правил

  4. #3
    Junior Member Репутация
    Регистрация
    25.04.2007
    Сообщений
    30
    Вес репутации
    36
    Сделал.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    В карантин попал только один файл c:\windows\system32\rslsys.exe. По нему пришел ответ из ЛК:
    Код:
    New malicious software was found in the attached file.
    Backdoor.Win32.SdBot.bid
    It's detection will be included in the next update. Thank you for your help.
    -----------------
    Regards, Roman Gavrilchenko
    Virus Analyst, Kaspersky Lab
    Вот теперь можно удалять. В программе hijackthis пофиксите строки
    Код:
    O4 - HKLM\..\Run: [Microsoft] rslsys.exe
    O4 - HKLM\..\Run: [SPHandler] wuauclt28.exe
    O4 - HKLM\..\RunServices: [Windows-Xordate] wuauclt6.exe
    O4 - HKLM\..\RunServices: [Update] ns75.exe
    O4 - HKLM\..\RunServices: [Microsoft] rslsys.exe
    O4 - HKLM\..\RunServices: [SPHandler] wuauclt28.exe
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('wuauclt6.exe');
     DeleteFile('wuauclt28.exe');
     DeleteFile('ns75.exe');
     DeleteFile('c:\windows\system32\rslsys.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, сделайте новые логи. В первый раз, кстати, логи делали не из терминального подключения? Если да, то сейчас, по возможности, сделайте их напрямую с проблемной машины.

  6. #5
    Junior Member Репутация
    Регистрация
    25.04.2007
    Сообщений
    30
    Вес репутации
    36
    Логи и в первый раз и сейчас делаются напрямую
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Я больше ничего подозрительного не вижу. Проблема осталась? И еще: надо разбираться с симантеком - насколько старая версия, обновляется ли, если да - то как часто. Если не обновляется, то он, как минимум, бесполезен.

  8. #7
    Junior Member Репутация
    Регистрация
    25.04.2007
    Сообщений
    30
    Вес репутации
    36
    Спасибо большое, пока всё работает...если снова отрубят - значит снова в бой=)....Просто не я админ той сетки....ИМХО комп атакует какой-то хад, проникает, полагаю, через уязвимость того самого симантека...потом ставит свою дрянь...НО если снести сервер симантека, я боюсь, как себя клиенты поведут...юзверы вирей кааак нахватают...
    Разобраться не могу, т.к. пасс от серверной части SAV никто не знает (+ИМХО он давно сброшен злоумышленником)

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Угу. А еще им хорошо бы SP2 для Win2003 установить. Он уже довольно давно существует и доступен через автоматическое обновление. И использовать сервер в качестве одной из рабочих станций - не дело

  10. #9
    Junior Member Репутация
    Регистрация
    25.04.2007
    Сообщений
    30
    Вес репутации
    36
    Согласен....правда там сервер используется в качестве всех рабочих станций..клиентские машины без хардов загружаются прям по сети с сервака и в нём же работают терминальными клиентами...
    СП2...через автовапдейт- боязно, однако...как установится в подарок средство проверки подлинности...как захочет активации винда...а вот по прямым ссылочкам я бы скачал...

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\symantec antivirus\\mse.exe - Backdoor.Win32.Rbot.bll (DrWEB: Win32.HLLW.MyBot)
      2. c:\\windows\\system32\\rslsys.exe - Backdoor.Win32.SdBot.bid (DrWEB: BackDoor.IRC.Sdbot.1400)


  • Уважаемый(ая) billyg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Backdoor:Win32/Rbot.gen
      От ZesT в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.11.2009, 02:32
    2. Win32.backdoor.RBot
      От avvis в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:27
    3. Ответов: 3
      Последнее сообщение: 03.12.2006, 21:04
    4. Ответов: 1
      Последнее сообщение: 15.11.2006, 18:09
    5. новый? Backdoor.Win32.Rbot
      От aravind в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 30.05.2006, 19:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00504 seconds with 21 queries