PDA

Просмотр полной версии : Подозрение на RBot



Petrovich
20.01.2006, 09:52
Добрый день.

На сервере стоит NOD32, на клиентских машинах Dr.Web. Все обновления последние.
29.12.05 NOD32 просигналил, что файл в WinNT\System32\msncheker.exe заражен Win32/Rbot троян, и перемещен в карантин. Но сам файл остался на месте. Снимаю с него атрибуты только для чтения, системный, невидимый, и спокойно удаляю его. Но через некоторое время (иногда 2-3 раза в день, иногда через день) он появляется опять. Пробовал антивирусы Dr.Web, Касперский, антивирус Зайцева, Панду, и несколько утилит для проверки троянов - ничего не находит, а NOD32 сообщает: "Событие при попытке доступа к файлу приложением ..., ошибка при очистке - действие недоступно для этого типа объекта". Пробовал проверить клиентские машины - то же ничего. Сегодня файл msncheker.exe появился в 1:20 ночи, в это время у меня работает только сервер, клиенты выключены, получается, что это от меня качается с интернета.
Помогите, пожалуйста, разобраться есть ли у меня троян или нет?
И как от него избавиться?
С уважением.

Geser
20.01.2006, 10:12
А все заплатки установлены, и все админские учётки со сложными паролями?

Petrovich
20.01.2006, 10:31
А все заплатки установлены, и все админские учётки со сложными паролями?

Да, все обновления стоят. Пароли и на сервер, и на киентов 8 значные, цифры, буквы, регистр.
Да, забыл написать, внешне все работает как раньше, никаких тормозов, зависаний и прочих проявлений заражения. Я даже готов был допустить, что NOD ошибается, но файл то появляется откуда-то. Пробовал аудит сделать на этот файл - никакой записи не создало. Я даже не могу этот файл переместить, скопировать, только удалить, но это я думаю NOD не дает сделать.
С уважением.

AndreyKa
20.01.2006, 11:30
Я даже не могу этот файл переместить, скопировать, только удалить, но это я думаю NOD не дает сделать.
С уважением.
NOD отключить на минуту для того, чтобы скопировать файл, пробовали?
Если удастся его скопировать, то скорее всего можно будет узнать механизм его распространения.
Чтобы предотвратить его повторное появление попробуйте создать файл с таким же именем и снимите для него права на изменение/запись.

Petrovich
20.01.2006, 11:40
NOD отключить на минуту для того, чтобы скопировать файл, пробовали?
Если удастся его скопировать, то скорее всего можно будет узнать механизм его распространения.
Чтобы предотвратить его повторное появление попробуйте создать файл с таким же именем и снимите для него права на изменение/запись.

Отключать NOD не пробовал, я уже удалил файл. При повторном появлении попробую скопировать. А куда его отправить на исследование?
Насчет повторного появления - если не удалять файл, то при существующем msncheker.exe, появляется msncheke8.exe, msncheke5.exe и т.д.
С уважением.

Petrovich
20.01.2006, 11:50
Вдогонку.
Есть в карантине NOD-а переименованный файл msncheker.exe.
Прислать?

pig
20.01.2006, 12:01
Присылайте.

Petrovich
20.01.2006, 12:02
Поторопился с высылкой файла.
Пробую переписать, при отключенном NOD-е, в общую сетевую папку, переписывает, а когда пытаюсь оттуда забрать на свой компьютер, пишет, что файл не найден, и файл пропадает. Пробовал записать на CD, тоже самое.

Petrovich
20.01.2006, 12:06
Вроде получилось, надо было заархивировать сначала.

Petrovich
20.01.2006, 12:10
Вроде получилось, надо было заархивировать сначала.
О! А куда вложение делось?Оказывается превышен размер.Вложение весит 290 КБ.

AndreyKa
20.01.2006, 12:33
О! А куда вложение делось?Оказывается превышен размер.Вложение весит 290 КБ.
Шлите на [email protected] в архиве с паролем virus

Geser
20.01.2006, 12:58
Надеюсь логи были сделаны не в safe mode?

Petrovich
20.01.2006, 13:24
Надеюсь логи были сделаны не в safe mode?

Нет, в обычном. Это сервер, и он у меня не выключается. Могу только в выходные отключать или перезагружать.
С уважением.

Petrovich
23.01.2006, 14:10
Добрый день.

Выслал в пятницу на анализ файл msncheker.exe. Результата, как он распространяется, пока нет?
С уважением.