Сервак у соседей начал начал атаковать узлы в инете. Нашёл замечательную штуку (сабж), времени вникать нет, подскажите что и как удалить )
Сервак у соседей начал начал атаковать узлы в инете. Нашёл замечательную штуку (сабж), времени вникать нет, подскажите что и как удалить )
Пока не удалять, а присылать - Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, загрузите содержимое карантина AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=10064 , как написано в прил.3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('wuauclt6.exe',''); QuarantineFile('wuauclt28.exe',''); QuarantineFile('ns75.exe',''); QuarantineFile('c:\windows\system32\rslsys.exe',''); RebootWindows(true); end.
Сделал.
В карантин попал только один файл c:\windows\system32\rslsys.exe. По нему пришел ответ из ЛК:Вот теперь можно удалять. В программе hijackthis пофиксите строкиКод:New malicious software was found in the attached file. Backdoor.Win32.SdBot.bid It's detection will be included in the next update. Thank you for your help. ----------------- Regards, Roman Gavrilchenko Virus Analyst, Kaspersky LabПрограмма AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O4 - HKLM\..\Run: [Microsoft] rslsys.exe O4 - HKLM\..\Run: [SPHandler] wuauclt28.exe O4 - HKLM\..\RunServices: [Windows-Xordate] wuauclt6.exe O4 - HKLM\..\RunServices: [Update] ns75.exe O4 - HKLM\..\RunServices: [Microsoft] rslsys.exe O4 - HKLM\..\RunServices: [SPHandler] wuauclt28.exeСистема будет перезагружена. После перезагрузки, сделайте новые логи. В первый раз, кстати, логи делали не из терминального подключения? Если да, то сейчас, по возможности, сделайте их напрямую с проблемной машины.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('wuauclt6.exe'); DeleteFile('wuauclt28.exe'); DeleteFile('ns75.exe'); DeleteFile('c:\windows\system32\rslsys.exe'); ExecuteSysClean; RebootWindows(true); end.
Логи и в первый раз и сейчас делаются напрямую
Я больше ничего подозрительного не вижу. Проблема осталась? И еще: надо разбираться с симантеком - насколько старая версия, обновляется ли, если да - то как часто. Если не обновляется, то он, как минимум, бесполезен.
Спасибо большое, пока всё работает...если снова отрубят - значит снова в бой=)....Просто не я админ той сетки....ИМХО комп атакует какой-то хад, проникает, полагаю, через уязвимость того самого симантека...потом ставит свою дрянь...НО если снести сервер симантека, я боюсь, как себя клиенты поведут...юзверы вирей кааак нахватают...
Разобраться не могу, т.к. пасс от серверной части SAV никто не знает (+ИМХО он давно сброшен злоумышленником)
Угу. А еще им хорошо бы SP2 для Win2003 установить. Он уже довольно давно существует и доступен через автоматическое обновление. И использовать сервер в качестве одной из рабочих станций - не дело
Согласен....правда там сервер используется в качестве всех рабочих станций..клиентские машины без хардов загружаются прям по сети с сервака и в нём же работают терминальными клиентами...
СП2...через автовапдейт- боязно, однако...как установится в подарок средство проверки подлинности...как захочет активации винда...а вот по прямым ссылочкам я бы скачал...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\symantec antivirus\\mse.exe - Backdoor.Win32.Rbot.bll (DrWEB: Win32.HLLW.MyBot)
- c:\\windows\\system32\\rslsys.exe - Backdoor.Win32.SdBot.bid (DrWEB: BackDoor.IRC.Sdbot.1400)
Уважаемый(ая) billyg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.