Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 37.

новый? Backdoor.Win32.Rbot (заявка № 5590)

  1. #1
    Junior Member Репутация
    Регистрация
    28.05.2006
    Сообщений
    7
    Вес репутации
    43

    новый? Backdoor.Win32.Rbot

    Приветствую всех «заболевших» и всех «докторов».Несколько дней назад в системе начало «слетать» подключение по локальной сети иобнаружил у себя в автозагрузке новый файл – winsystems25(winsystems.exe) – посмотрел в техподдержке сторожа – говорится, что это «W32/Rbot-CNZ-саморазмножающийся вирус-троян». Попытался его найти – нет его нигде в системе. Запустил Dr.Web и Spybot – те тоже не нашли. Зашел к Вам на сайт в «Правила» - сделал всё по инструкции. Пока делал – в автозагрузке новый «зверь» появился – ещё один W32/Rbot-BJV – msconfig38(mssvcc.exe). Подскажите, мне что, моих «животных» не трогать – ждать Вашего ответа, или хоть как-то их заблокировать(в сеть я их не выпускаю). И ещё – я сам юзер «темный», в тонкостях настроек и восстановления ОС разбираться буду долго и с трудом- подскажите кто может оптимальнй защитный «джентельменский набор». У меня стоят Dr. Web, Outpost Firewall, Spaybot Search & Destroy – все последние версии. Всё регулярно обновляю, проверяю и т.д. Может что-то убрать, добавить, или может что-то «в консерватории поменять» - в смысле поменять IE на Opera?Уже спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    c:\windows\system32\mssvcc.exe
    Этот файл пришлите пожалуйста нам как указано в правилах. После этого проверьте его тут:http://www.virustotal.com/ и сообщите о результатах.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,228
    Вес репутации
    3387
    Пришло два файла, оба - "звери", Backdoor.Win32.Agobot.agw

  5. #4
    Junior Member Репутация
    Регистрация
    28.05.2006
    Сообщений
    7
    Вес репутации
    43

    новый? Backdoor.Win32.Rbot

    >c:\windows\system32\mssvcc.exeЭтот файл пришлите пожалуйста нам как указано в правилах. После этого проверьте его тут:http://www.virustotal.com/ и сообщите о результатах.>>Послал, как указано в правилах.Затем зашел на virustotal.com – наверно у них нет в базах – ответ такой:VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.Попробовал провериться онлайн у Доктора Веба – ответ один – OK.У касперского онлайн не срабатывал.Затем набрал имя вируса в Гугле – он отправил меня на сайт «Sofos»( http://www.sophos.com/virusinfo/anal...32rbotcnz.html) – там дали короткое описание вируса:Name W32/Rbot-CNZType Spyware Worm How it spreads Network shares Affected operating systems Windows Side effects Allows others to access the computer Steals information Downloads code from the internet Reduces system security Installs itself in the Registry Exploits system or software vulnerabilities Aliases Backdoor.Win32.Agobot.agw Protection Download virus identity (IDE) file Protection available since 14 March 2006 04:54:14 (GMT) Included in our products from May 2006 (4.05)-- и предложили пролечить прогой Sophos Anti-Virus(<a href="http://www.sophos.com/downloads/ide/)Но" target="_blank">http://www.sophos.com/downloads/ide/)Но я не хочу запускать на машине малоизвестные проги, которые могут не совместится с моими &quot;защитниками&quot;. Может дождусь совета от Вас, что бы не «наломать дров».Ещё раз спасибо.А.

  6. #5
    Junior Member Репутация
    Регистрация
    28.05.2006
    Сообщений
    7
    Вес репутации
    43
    >Пришло два файла, оба - "звери", Backdoor.Win32.Agobot.agw>Олегу Зайцеву.Спасибо за быстрый ответ.Дико извиняюсь – т.к. толком не умею пользоваться форумом и плаваю в терминх.Посоветуйте приблизительно схему лечения . И как жить дальше среди «дикой природы» - ставить Opera, и тщательнее следить за портами?А.

  7. #6
    Geser
    Guest
    Короче оба файла нужно удал;ять. КАВ детектит их, а ДрВеб будет скоро.

  8. #7
    Junior Member Репутация
    Регистрация
    28.05.2006
    Сообщений
    7
    Вес репутации
    43
    >Короче оба файла нужно удал;ять. КАВ детектит их, а ДрВеб будет скоро.>Может AVZ удалит их более коректно, поскольку он один их только "видит". И что означает "ДрВеб будет скоро."?А.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от aravind
    Посоветуйте приблизительно схему лечения .
    Судя по тому, что ни Др. Веб, ни Spybot, ни АВЗ его не распознали, бэкдор этот новый и самое разумное в этом случае - отформатировать системный диск. Бэкдоры (с англ. задняя дверь) засылаются на компьютеры , чтобы использовать последние для рассылки спэма или для DDoS-атак. В случае активации бэкдора пользователем, a bad guy получает в руки инструмент дистанционного управления и обходит или выключает программы, служащие дле повышения безопасности системы антивирусы, файрволл и т.д. и может удалять и создавать файлы, так, что пользователь ни о чём не подозревает. Удалить такой инструмент с гарантией не может сегодня ни один антивирус/антитроянер/анти ... что хотите.
    И как жить дальше среди «дикой природы»
    1. Думать, куда давить ещё до того, как давить.
    2. Ставить заплатки на систему
    3. Выключить ненужные службы с помощью этой программы = тщательнее следить за портами
    4. Антивирус установить и держать uptodate, но не рассматривать его, как 100% средство защиты.
    5. ставить Opera - тоже хорошая идея.
    Главное всё-таки - Пункт 1

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,228
    Вес репутации
    3387
    Цитата Сообщение от Rene-gad
    Удалить такой инструмент с гарантией не может сегодня ни один антивирус/антитроянер/анти ... что хотите.
    Ну, FORMAT против очередного Agobot - это немного перебор, ничего уж такого опасного в нем нет
    to aravind
    Необходимо извлечь из прицепленного к теме архива файл main001.avz, положить его в папку Base утилиты AVZ поверх имеющегося там файла и пролечить системный диск. Должно помочь ... возможно, после лечения придется перезагрузиться. После этого нужно заново сделать логи и поместить сюда - для контроля
    Последний раз редактировалось Зайцев Олег; 19.10.2008 в 21:03.

  11. #10
    Junior Member Репутация
    Регистрация
    28.05.2006
    Сообщений
    7
    Вес репутации
    43
    Всем спасибо за быстрые ответы. Я наверное попробую пролечиться по совету Олега-может ума наберусь не сразу, но опыта чуть-чуть - так точно.Если нет - буду всё сность, только нужно разобраться как правильно сохранять данные(папки System Volume Information с остальных дисков вероятно нужно также удалить).Я не до конца разобрался с разрешительными настройками Outpost Firewall Pro, и с портами не все ясно, понятно только, что лезут и стучатся постоянно как "очередь за колбасой при коммунистах". Поэтому не могу понять, как Ренегат обходится совсем без фаревола.Спасибо еще раз.Извиняюсь за «фамильярность».Отчетные логи после лечения сразу вышлю.Аравинд.

  12. #11
    Junior Member Репутация
    Регистрация
    28.05.2006
    Сообщений
    7
    Вес репутации
    43

    новый? Backdoor.Win32.Rbot

    Полазил по сети, послушал мнения "пострадавших" - говорят, что Panda Titanium 2006 Antivirus + Antispyware может помочь решить проблемы сетевой безопасности. Кто им пользовался или слышал - черканите пару слов - будет ли Это лучше, чем Outpost Firewall Pro+ Dr. Web, плиз...

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Цитата Сообщение от aravind
    будет ли Это лучше, чем Outpost Firewall Pro+ Dr. Web, плиз...
    Однозначно - нет. Плюс еще память придется докупить к панде, так как жрет она ее не по-детски .

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Зайцев Олег
    Ну, FORMAT против очередного Agobot - это немного перебор, ничего уж такого опасного в нем нет.
    Для пользователя это не смертельно. Однако я отношусь к категории пользователей, которая не доверяет стопроцентно софту в борьбе с софтом. Победитель в этой борьбе как правило нападающая сторона, т.е. мальваре. Все Анти-программы могут реагировать только тогда,когда вредитель занесён в их базы и распознан сразу же при попадании на ПК. Против новых неизвестных вредителей помогает только эвристика, да и то не всегда. Да и Вам лично это всё лучше меня известно .
    А в случае доказанного заражения Ботом to flatten and rebuild является ИМХО единственным гарантированным способом не попасть в Ботнет и не стать зомбиком.
    Цитата Сообщение от aravind
    Поэтому не могу понять, как Ренегат обходится совсем без фаревола.
    У меня рутер . А десктоп-файрволл - это ведь тоже только программа, которую нужно правильно сконфигуриривать. Кроме того её можно и выключить и обмануть. Посетите эту страничку и скачайте пару тестов для Вашего файрволла. Некоторый тесты распознаются некоторыми антивирусами как троянцы, но это не так: я списался с их авторами, да и где-то в в зтом форуме уже был топик на эту тему.
    Ну а ещё скажу: зачем Вам пытаться закрыть порты файрволлом, если достаточно выключить службы, которыми Вы не пользуетесь и гарантированно отключить эти порты?
    EDIT:
    Цитата Сообщение от aravind
    папки System Volume Information с остальных дисков вероятно нужно также удалить
    Удалять не нужно, нужно опорожнить. Для этого выключите системное восстановление на всех дисках, запуститесь по-новой, после чего включите системное восстановлвние.
    Последний раз редактировалось Rene-gad; 29.05.2006 в 11:48.

  15. #14
    Geser
    Guest
    Rene-gad, мы же вроде всё обсудили уже. Теоретически ты прав на все 100%. Фактически люди сюда приходят для того что бы им помогли убрать зловредов без формата. Так что давай договоримся, в этом разделе помогают лечить компьютеры. А холивары в других. Ок?

    P.S. Уже не говоря о том, что формат одного раздела на диске тоже не даёт никакой гарантии. И формат всего диска тоже не даёт никакой гарантии. И вообще, все кто хотят гарантию должны отформатировать диск, потом размагнитить его специальным устройством, и не в коем случае не включать компьютер. Это даст 100% гарантию.
    Последний раз редактировалось Geser; 29.05.2006 в 10:09.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Geser
    Фактически люди сюда приходят для того что бы им помогли убрать зловредов без формата.
    Так если получается - я не против. Но ведь не всегда получается. Да ещё если пользователь только и умеет, что включить и выключить компьютер. Я просто уверен, что если такой пользователь отформатирует пару раз системный (а может и не только ) диск, подумает о том , что не стоит давить на всё пёстренькое, а подумает сначала: "А может ну его". Т.е. лучше предупредить и не допустить, чем потом пытаться вылечить. Ну как в случае со СПИДом .

  17. #16
    Geser
    Guest
    По моему вполне получилось. Файлы нашли, отправили АВ компаниям. Человек их удалит, антивирус обновиться и добъёт остатки. Опасность того что там что-то останется есть, ну так она всегда есть. И спидом заражаются каждый день, в том числе и в больницах. От всего не убережешся. Не нужно всё смешивать в кучу. Как защищать компьютер тема другого раздела.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    741
    Цитата Сообщение от Rene-gad
    Судя по тому, что ни Др. Веб, ни Spybot, ни АВЗ его не распознали, бэкдор этот новый и самое разумное в этом случае - отформатировать системный диск.
    Паранойя - штука порой полезная. Но в такой же степени .

    1. Думать, куда давить ещё до того, как давить.
    2. Ставить заплатки на систему
    3. Выключить ненужные службы с помощью этой программы = тщательнее следить за портами
    4. Антивирус установить и держать uptodate, но не рассматривать его, как 100% средство защиты.
    5. ставить Opera - тоже хорошая идея.
    Главное всё-таки - Пункт 1
    И обязательно файерволл. Иначе "FORMAT" надо будет делать раза три на дню.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Alexey P.
    И обязательно файерволл. Иначе "FORMAT" надо будет делать раза три на дню.
    Так нет у меня файрволла. И не было. Ну объясните мне, тупому, зачем мне ещё одна прога, которая сама по себе запускает ещё минимум одну службу и держит ещё минимум один активный порт? Я же утверждаю, что если порты ПК находятся в состоянии CLOSED (www.pcflank.com или www.grc.com - test), этого вполне достаточно.
    Паранойя - штука порой полезная
    ...для тех, кто желает иметь порты в состоянии STEALTH

  20. #19
    Geser
    Guest
    Цитата Сообщение от Rene-gad
    Так нет у меня файрволла. И не было. Ну объясните мне, тупому, зачем мне ещё одна прога, которая сама по себе запускает ещё минимум одну службу и держит ещё минимум один активный порт? Я же утверждаю, что если порты ПК находятся в состоянии CLOSED (www.pcflank.com или www.grc.com - test), этого вполне достаточно.
    Ну хотя бы потому что часто firewall может предотвратить кражу данных трояном, который попал на компьютер.
    А так же потому что при сканировании сети твой компьютер будет невиден, следовательно меньше шансов что найдут таки уязвимость в тех сервисак которые у тебя всё же запущены, и посадят троян.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Geser
    Ну хотя бы потому что часто firewall может предотвратить кражу данных трояном, который попал на компьютер.
    Сомневаюсь я, однако. Первое, что сделает троянер - это выключит файрволл. И такие штучки посильны каждому ребёнку, который посетил страничку для skriptkiddies.
    Цитата Сообщение от Geser
    А так же потому что при сканировании сети твой компьютер будет невиден, следовательно меньше шансов что найдут таки уязвимость в тех сервисак которые у тебя всё же запущены, и посадят троян.
    Если говорить о системных уязвимостях, то уместно тут вспомнить SASSER, который внедрялся и в те компьютеры, на которых файрволл был установлен. Так что твой аргумент не убедителен.
    А то, что меня уже пару-тройку лет видят в сети меня мало интересует- пусть видят.

  • Уважаемый(ая) aravind, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Backdoor:Win32/Rbot.gen
      От ZesT в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.11.2009, 02:32
    2. Win32.backdoor.RBot
      От avvis в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:27
    3. Backdoor.Win32.Rbot
      От billyg в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:51
    4. Ответов: 3
      Последнее сообщение: 03.12.2006, 21:04
    5. Ответов: 1
      Последнее сообщение: 15.11.2006, 18:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00684 seconds with 17 queries