Приветствую всех «заболевших» и всех «докторов».Несколько дней назад в системе начало «слетать» подключение по локальной сети иобнаружил у себя в автозагрузке новый файл – winsystems25(winsystems.exe) – посмотрел в техподдержке сторожа – говорится, что это «W32/Rbot-CNZ-саморазмножающийся вирус-троян». Попытался его найти – нет его нигде в системе. Запустил Dr.Web и Spybot – те тоже не нашли. Зашел к Вам на сайт в «Правила» - сделал всё по инструкции. Пока делал – в автозагрузке новый «зверь» появился – ещё один W32/Rbot-BJV – msconfig38(mssvcc.exe). Подскажите, мне что, моих «животных» не трогать – ждать Вашего ответа, или хоть как-то их заблокировать(в сеть я их не выпускаю). И ещё – я сам юзер «темный», в тонкостях настроек и восстановления ОС разбираться буду долго и с трудом- подскажите кто может оптимальнй защитный «джентельменский набор». У меня стоят Dr. Web, Outpost Firewall, Spaybot Search & Destroy – все последние версии. Всё регулярно обновляю, проверяю и т.д. Может что-то убрать, добавить, или может что-то «в консерватории поменять» - в смысле поменять IE на Opera?Уже спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
c:\windows\system32\mssvcc.exe
Этот файл пришлите пожалуйста нам как указано в правилах. После этого проверьте его тут:http://www.virustotal.com/ и сообщите о результатах.
>c:\windows\system32\mssvcc.exeЭтот файл пришлите пожалуйста нам как указано в правилах. После этого проверьте его тут:http://www.virustotal.com/ и сообщите о результатах.>>Послал, как указано в правилах.Затем зашел на virustotal.com – наверно у них нет в базах – ответ такой:VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.Попробовал провериться онлайн у Доктора Веба – ответ один – OK.У касперского онлайн не срабатывал.Затем набрал имя вируса в Гугле – он отправил меня на сайт «Sofos»( http://www.sophos.com/virusinfo/anal...32rbotcnz.html) – там дали короткое описание вируса:Name W32/Rbot-CNZType Spyware Worm How it spreads Network shares Affected operating systems Windows Side effects Allows others to access the computer Steals information Downloads code from the internet Reduces system security Installs itself in the Registry Exploits system or software vulnerabilities Aliases Backdoor.Win32.Agobot.agw Protection Download virus identity (IDE) file Protection available since 14 March 2006 04:54:14 (GMT) Included in our products from May 2006 (4.05)-- и предложили пролечить прогой Sophos Anti-Virus(<a href="http://www.sophos.com/downloads/ide/)Но" target="_blank">http://www.sophos.com/downloads/ide/)Но я не хочу запускать на машине малоизвестные проги, которые могут не совместится с моими "защитниками". Может дождусь совета от Вас, что бы не «наломать дров».Ещё раз спасибо.А.
>Пришло два файла, оба - "звери", Backdoor.Win32.Agobot.agw>Олегу Зайцеву.Спасибо за быстрый ответ.Дико извиняюсь – т.к. толком не умею пользоваться форумом и плаваю в терминх.Посоветуйте приблизительно схему лечения . И как жить дальше среди «дикой природы» - ставить Opera, и тщательнее следить за портами?А.
>Короче оба файла нужно удал;ять. КАВ детектит их, а ДрВеб будет скоро.>Может AVZ удалит их более коректно, поскольку он один их только "видит". И что означает "ДрВеб будет скоро."?А.
Судя по тому, что ни Др. Веб, ни Spybot, ни АВЗ его не распознали, бэкдор этот новый и самое разумное в этом случае - отформатировать системный диск. Бэкдоры (с англ. задняя дверь) засылаются на компьютеры , чтобы использовать последние для рассылки спэма или для DDoS-атак. В случае активации бэкдора пользователем, a bad guy получает в руки инструмент дистанционного управления и обходит или выключает программы, служащие дле повышения безопасности системы антивирусы, файрволл и т.д. и может удалять и создавать файлы, так, что пользователь ни о чём не подозревает. Удалить такой инструмент с гарантией не может сегодня ни один антивирус/антитроянер/анти ... что хотите.
И как жить дальше среди «дикой природы»
1. Думать, куда давить ещё до того, как давить.
2. Ставить заплатки на систему
3. Выключить ненужные службы с помощью этой программы = тщательнее следить за портами
4. Антивирус установить и держать uptodate, но не рассматривать его, как 100% средство защиты.
5. ставить Opera - тоже хорошая идея.
Главное всё-таки - Пункт 1
Удалить такой инструмент с гарантией не может сегодня ни один антивирус/антитроянер/анти ... что хотите.
Ну, FORMAT против очередного Agobot - это немного перебор, ничего уж такого опасного в нем нет to aravind
Необходимо извлечь из прицепленного к теме архива файл main001.avz, положить его в папку Base утилиты AVZ поверх имеющегося там файла и пролечить системный диск. Должно помочь ... возможно, после лечения придется перезагрузиться. После этого нужно заново сделать логи и поместить сюда - для контроля
Последний раз редактировалось Зайцев Олег; 19.10.2008 в 22:03.
Всем спасибо за быстрые ответы. Я наверное попробую пролечиться по совету Олега-может ума наберусь не сразу, но опыта чуть-чуть - так точно.Если нет - буду всё сность, только нужно разобраться как правильно сохранять данные(папки System Volume Information с остальных дисков вероятно нужно также удалить).Я не до конца разобрался с разрешительными настройками Outpost Firewall Pro, и с портами не все ясно, понятно только, что лезут и стучатся постоянно как "очередь за колбасой при коммунистах". Поэтому не могу понять, как Ренегат обходится совсем без фаревола.Спасибо еще раз.Извиняюсь за «фамильярность».Отчетные логи после лечения сразу вышлю.Аравинд.
Полазил по сети, послушал мнения "пострадавших" - говорят, что Panda Titanium 2006 Antivirus + Antispyware может помочь решить проблемы сетевой безопасности. Кто им пользовался или слышал - черканите пару слов - будет ли Это лучше, чем Outpost Firewall Pro+ Dr. Web, плиз...
Ну, FORMAT против очередного Agobot - это немного перебор, ничего уж такого опасного в нем нет.
Для пользователя это не смертельно. Однако я отношусь к категории пользователей, которая не доверяет стопроцентно софту в борьбе с софтом. Победитель в этой борьбе как правило нападающая сторона, т.е. мальваре. Все Анти-программы могут реагировать только тогда,когда вредитель занесён в их базы и распознан сразу же при попадании на ПК. Против новых неизвестных вредителей помогает только эвристика, да и то не всегда. Да и Вам лично это всё лучше меня известно .
А в случае доказанного заражения Ботом to flatten and rebuild является ИМХО единственным гарантированным способом не попасть в Ботнет и не стать зомбиком.
Сообщение от aravind
Поэтому не могу понять, как Ренегат обходится совсем без фаревола.
У меня рутер . А десктоп-файрволл - это ведь тоже только программа, которую нужно правильно сконфигуриривать. Кроме того её можно и выключить и обмануть. Посетите эту страничку и скачайте пару тестов для Вашего файрволла. Некоторый тесты распознаются некоторыми антивирусами как троянцы, но это не так: я списался с их авторами, да и где-то в в зтом форуме уже был топик на эту тему.
Ну а ещё скажу: зачем Вам пытаться закрыть порты файрволлом, если достаточно выключить службы, которыми Вы не пользуетесь и гарантированно отключить эти порты?
EDIT:
Сообщение от aravind
папки System Volume Information с остальных дисков вероятно нужно также удалить
Удалять не нужно, нужно опорожнить. Для этого выключите системное восстановление на всех дисках, запуститесь по-новой, после чего включите системное восстановлвние.
Последний раз редактировалось Rene-gad; 29.05.2006 в 12:48.
Rene-gad, мы же вроде всё обсудили уже. Теоретически ты прав на все 100%. Фактически люди сюда приходят для того что бы им помогли убрать зловредов без формата. Так что давай договоримся, в этом разделе помогают лечить компьютеры. А холивары в других. Ок?
P.S. Уже не говоря о том, что формат одного раздела на диске тоже не даёт никакой гарантии. И формат всего диска тоже не даёт никакой гарантии. И вообще, все кто хотят гарантию должны отформатировать диск, потом размагнитить его специальным устройством, и не в коем случае не включать компьютер. Это даст 100% гарантию.
Последний раз редактировалось Geser; 29.05.2006 в 11:09.
Фактически люди сюда приходят для того что бы им помогли убрать зловредов без формата.
Так если получается - я не против. Но ведь не всегда получается. Да ещё если пользователь только и умеет, что включить и выключить компьютер. Я просто уверен, что если такой пользователь отформатирует пару раз системный (а может и не только ) диск, подумает о том , что не стоит давить на всё пёстренькое, а подумает сначала: "А может ну его". Т.е. лучше предупредить и не допустить, чем потом пытаться вылечить. Ну как в случае со СПИДом .
По моему вполне получилось. Файлы нашли, отправили АВ компаниям. Человек их удалит, антивирус обновиться и добъёт остатки. Опасность того что там что-то останется есть, ну так она всегда есть. И спидом заражаются каждый день, в том числе и в больницах. От всего не убережешся. Не нужно всё смешивать в кучу. Как защищать компьютер тема другого раздела.
Судя по тому, что ни Др. Веб, ни Spybot, ни АВЗ его не распознали, бэкдор этот новый и самое разумное в этом случае - отформатировать системный диск.
Паранойя - штука порой полезная. Но в такой же степени .
1. Думать, куда давить ещё до того, как давить.
2. Ставить заплатки на систему
3. Выключить ненужные службы с помощью этой программы = тщательнее следить за портами
4. Антивирус установить и держать uptodate, но не рассматривать его, как 100% средство защиты.
5. ставить Opera - тоже хорошая идея.
Главное всё-таки - Пункт 1
И обязательно файерволл. Иначе "FORMAT" надо будет делать раза три на дню.
И обязательно файерволл. Иначе "FORMAT" надо будет делать раза три на дню.
Так нет у меня файрволла. И не было. Ну объясните мне, тупому, зачем мне ещё одна прога, которая сама по себе запускает ещё минимум одну службу и держит ещё минимум один активный порт? Я же утверждаю, что если порты ПК находятся в состоянии CLOSED (www.pcflank.com или www.grc.com - test), этого вполне достаточно.
Паранойя - штука порой полезная
...для тех, кто желает иметь порты в состоянии STEALTH
Так нет у меня файрволла. И не было. Ну объясните мне, тупому, зачем мне ещё одна прога, которая сама по себе запускает ещё минимум одну службу и держит ещё минимум один активный порт? Я же утверждаю, что если порты ПК находятся в состоянии CLOSED (www.pcflank.com или www.grc.com - test), этого вполне достаточно.
Ну хотя бы потому что часто firewall может предотвратить кражу данных трояном, который попал на компьютер.
А так же потому что при сканировании сети твой компьютер будет невиден, следовательно меньше шансов что найдут таки уязвимость в тех сервисак которые у тебя всё же запущены, и посадят троян.
Ну хотя бы потому что часто firewall может предотвратить кражу данных трояном, который попал на компьютер.
Сомневаюсь я, однако. Первое, что сделает троянер - это выключит файрволл. И такие штучки посильны каждому ребёнку, который посетил страничку для skriptkiddies.
Сообщение от Geser
А так же потому что при сканировании сети твой компьютер будет невиден, следовательно меньше шансов что найдут таки уязвимость в тех сервисак которые у тебя всё же запущены, и посадят троян.
Если говорить о системных уязвимостях, то уместно тут вспомнить SASSER, который внедрялся и в те компьютеры, на которых файрволл был установлен. Так что твой аргумент не убедителен.
А то, что меня уже пару-тройку лет видят в сети меня мало интересует- пусть видят.
Уважаемый(ая) aravind, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: