На сервере стоит NOD32, на клиентских машинах Dr.Web. Все обновления последние.
29.12.05 NOD32 просигналил, что файл в WinNT\System32\msncheker.exe заражен Win32/Rbot троян, и перемещен в карантин. Но сам файл остался на месте. Снимаю с него атрибуты только для чтения, системный, невидимый, и спокойно удаляю его. Но через некоторое время (иногда 2-3 раза в день, иногда через день) он появляется опять. Пробовал антивирусы Dr.Web, Касперский, антивирус Зайцева, Панду, и несколько утилит для проверки троянов - ничего не находит, а NOD32 сообщает: "Событие при попытке доступа к файлу приложением ..., ошибка при очистке - действие недоступно для этого типа объекта". Пробовал проверить клиентские машины - то же ничего. Сегодня файл msncheker.exe появился в 1:20 ночи, в это время у меня работает только сервер, клиенты выключены, получается, что это от меня качается с интернета.
Помогите, пожалуйста, разобраться есть ли у меня троян или нет?
И как от него избавиться?
С уважением.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А все заплатки установлены, и все админские учётки со сложными паролями?
Да, все обновления стоят. Пароли и на сервер, и на киентов 8 значные, цифры, буквы, регистр.
Да, забыл написать, внешне все работает как раньше, никаких тормозов, зависаний и прочих проявлений заражения. Я даже готов был допустить, что NOD ошибается, но файл то появляется откуда-то. Пробовал аудит сделать на этот файл - никакой записи не создало. Я даже не могу этот файл переместить, скопировать, только удалить, но это я думаю NOD не дает сделать.
С уважением.
Я даже не могу этот файл переместить, скопировать, только удалить, но это я думаю NOD не дает сделать.
С уважением.
NOD отключить на минуту для того, чтобы скопировать файл, пробовали?
Если удастся его скопировать, то скорее всего можно будет узнать механизм его распространения.
Чтобы предотвратить его повторное появление попробуйте создать файл с таким же именем и снимите для него права на изменение/запись.
NOD отключить на минуту для того, чтобы скопировать файл, пробовали?
Если удастся его скопировать, то скорее всего можно будет узнать механизм его распространения.
Чтобы предотвратить его повторное появление попробуйте создать файл с таким же именем и снимите для него права на изменение/запись.
Отключать NOD не пробовал, я уже удалил файл. При повторном появлении попробую скопировать. А куда его отправить на исследование?
Насчет повторного появления - если не удалять файл, то при существующем msncheker.exe, появляется msncheke8.exe, msncheke5.exe и т.д.
С уважением.
Поторопился с высылкой файла.
Пробую переписать, при отключенном NOD-е, в общую сетевую папку, переписывает, а когда пытаюсь оттуда забрать на свой компьютер, пишет, что файл не найден, и файл пропадает. Пробовал записать на CD, тоже самое.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: