Показано с 1 по 14 из 14.

Подозрение на RBot (заявка № 4503)

  1. #1
    Petrovich
    Guest

    Подозрение на RBot

    Добрый день.

    На сервере стоит NOD32, на клиентских машинах Dr.Web. Все обновления последние.
    29.12.05 NOD32 просигналил, что файл в WinNT\System32\msncheker.exe заражен Win32/Rbot троян, и перемещен в карантин. Но сам файл остался на месте. Снимаю с него атрибуты только для чтения, системный, невидимый, и спокойно удаляю его. Но через некоторое время (иногда 2-3 раза в день, иногда через день) он появляется опять. Пробовал антивирусы Dr.Web, Касперский, антивирус Зайцева, Панду, и несколько утилит для проверки троянов - ничего не находит, а NOD32 сообщает: "Событие при попытке доступа к файлу приложением ..., ошибка при очистке - действие недоступно для этого типа объекта". Пробовал проверить клиентские машины - то же ничего. Сегодня файл msncheker.exe появился в 1:20 ночи, в это время у меня работает только сервер, клиенты выключены, получается, что это от меня качается с интернета.
    Помогите, пожалуйста, разобраться есть ли у меня троян или нет?
    И как от него избавиться?
    С уважением.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    А все заплатки установлены, и все админские учётки со сложными паролями?

  4. #3
    Petrovich
    Guest
    Цитата Сообщение от Geser
    А все заплатки установлены, и все админские учётки со сложными паролями?
    Да, все обновления стоят. Пароли и на сервер, и на киентов 8 значные, цифры, буквы, регистр.
    Да, забыл написать, внешне все работает как раньше, никаких тормозов, зависаний и прочих проявлений заражения. Я даже готов был допустить, что NOD ошибается, но файл то появляется откуда-то. Пробовал аудит сделать на этот файл - никакой записи не создало. Я даже не могу этот файл переместить, скопировать, только удалить, но это я думаю NOD не дает сделать.
    С уважением.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от Petrovich
    Я даже не могу этот файл переместить, скопировать, только удалить, но это я думаю NOD не дает сделать.
    С уважением.
    NOD отключить на минуту для того, чтобы скопировать файл, пробовали?
    Если удастся его скопировать, то скорее всего можно будет узнать механизм его распространения.
    Чтобы предотвратить его повторное появление попробуйте создать файл с таким же именем и снимите для него права на изменение/запись.

  6. #5
    Petrovich
    Guest
    Цитата Сообщение от AndreyKa
    NOD отключить на минуту для того, чтобы скопировать файл, пробовали?
    Если удастся его скопировать, то скорее всего можно будет узнать механизм его распространения.
    Чтобы предотвратить его повторное появление попробуйте создать файл с таким же именем и снимите для него права на изменение/запись.
    Отключать NOD не пробовал, я уже удалил файл. При повторном появлении попробую скопировать. А куда его отправить на исследование?
    Насчет повторного появления - если не удалять файл, то при существующем msncheker.exe, появляется msncheke8.exe, msncheke5.exe и т.д.
    С уважением.

  7. #6
    Petrovich
    Guest
    Вдогонку.
    Есть в карантине NOD-а переименованный файл msncheker.exe.
    Прислать?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Присылайте.

  9. #8
    Petrovich
    Guest
    Поторопился с высылкой файла.
    Пробую переписать, при отключенном NOD-е, в общую сетевую папку, переписывает, а когда пытаюсь оттуда забрать на свой компьютер, пишет, что файл не найден, и файл пропадает. Пробовал записать на CD, тоже самое.

  10. #9
    Petrovich
    Guest
    Вроде получилось, надо было заархивировать сначала.

  11. #10
    Petrovich
    Guest
    Цитата Сообщение от Petrovich
    Вроде получилось, надо было заархивировать сначала.
    О! А куда вложение делось?Оказывается превышен размер.Вложение весит 290 КБ.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от Petrovich
    О! А куда вложение делось?Оказывается превышен размер.Вложение весит 290 КБ.
    Шлите на virus@virusinfo.info в архиве с паролем virus

  13. #12
    Geser
    Guest
    Надеюсь логи были сделаны не в safe mode?

  14. #13
    Petrovich
    Guest
    Цитата Сообщение от Geser
    Надеюсь логи были сделаны не в safe mode?
    Нет, в обычном. Это сервер, и он у меня не выключается. Могу только в выходные отключать или перезагружать.
    С уважением.

  15. #14
    Petrovich
    Guest
    Добрый день.

    Выслал в пятницу на анализ файл msncheker.exe. Результата, как он распространяется, пока нет?
    С уважением.

  • Уважаемый(ая) Petrovich, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Backdoor:Win32/Rbot.gen
      От ZesT в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.11.2009, 02:32
    2. Win32.backdoor.RBot
      От avvis в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:27
    3. Backdoor.Win32.Rbot
      От billyg в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:51
    4. Ответов: 3
      Последнее сообщение: 03.12.2006, 21:04
    5. новый? Backdoor.Win32.Rbot
      От aravind в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 30.05.2006, 18:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00348 seconds with 17 queries