Непонятная проблема с Brontok.Q

**Xpundel** · 31.01.2007, 19:31

Добрый день, уважаемые.
Столкнулся сегодня с проблемой. Подхожу утром к компу - вижу сообщение NOD'а об обнаружении сабжа... После просмотра десятка таких сообщений отключил вывод и стал смотреть лог Нода. В итоге нашлось несколько тысяч этой дряни. Назывались экзешники, как вы понимаете, по имени папки.
Загрузился с загрузочного диска, запустил AVZ - он вычистил еще некоторое количество этого.
Полез читать описания - но остальные симптомы у себя не обнаружил, ни в docs&settings, ни в windir - ничего нет. Авз тоже ничего не находит.
Но при одном из сканирований авз сказал, что обнаружил какой-то руткит. Больше это ни разу не повторялось.

Через час-два нод опять заорал, и опять стал удалять туеву хучу этих файлов. Повторил процедуру, поизучал авз-шные отчеты - ничего интересного не обнаружил.

Снес нода, поставил каспера .411. Вычистил. Через полчаса - снова.
Т.е. кто-то их туда начинает копировать. Но никто не видит кто. Сисинтерналовский руткит-ревилер ничекго не видит. Авз один раз ругнулся на подмену имени у файрфокса, один раз на подмену имени у actviesync.

Прочитал все похожие темы тут - симптомы совпадают лишь частично. Через некотрое время вдруг отрубается запуск любых приложений. Ребут от этого лечит.

Снова все вычистил, поставил файрволл, сижу жду..

У кого какие идеи есть? Где может сидеть эта дрянь?

Заранее спасибо

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Xpundel** · 31.01.2007, 20:00

Вот, опять появилось в АВЗ

Видимый процесс с PID=2432, имя = "\Device\HarddiskVolume1\PROGRA~1\MOZILL~1\firefox .exe"
>> обнаружена подмена имени, новое имя = "c:\program files\mozilla firefox\firefox.exe"

**drongo** · 31.01.2007, 20:19

srescan.sys - это что ? в прошлый раз , человек не смог к нам его прислать . Попробуйте любым методом .

isafe.exe- это антивирус от esafe , его нужно отключить .Возможно из-за него глюки .
C:\WINDOWS\system32\r_server.exe - сами ставили ? возможно через него вам засаживают .

**PavelA** · 31.01.2007, 20:28

Это просто AVZ линные имена директорий не понравилось.
В логах, на первый взгляд, чисто.

**Xpundel** · 31.01.2007, 20:47

Сообщение от drongo

srescan.sys - это что ? в прошлый раз , человек не смог к нам его прислать . Попробуйте любым методом .

isafe.exe- это антивирус от esafe , его нужно отключить .Возможно из-за него глюки .
C:\WINDOWS\system32\r_server.exe - сами ставили ? возможно через него вам засаживают .

srescan - это от зоналарма. Прикрепил к теме архив.
isafe - видимо тоже поставился вместе с зоналармом. Глюки начались раньше.

RAdmin ставил сам.

**PavelA** · 31.01.2007, 20:51

Отсылать файлы надо по правилам Приложение 2

**Xpundel** · 31.01.2007, 20:55

Сообщение от PavelA

Отсылать файлы надо по правилам Приложение 2

я так и сделал. За исключением того, что архивировал не авз, а руками. Потому что АВЗ этот файл в карантин не кладет почему-то..

**Muffler** · 31.01.2007, 21:13

AVZ -> Файл -> Выполнить скрипт:

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, false);
 QuarantineFile('c:\Bookshelf.TR\TRBookshelf_.dll.button.js','');
 QuarantineFile('D:\Tools\Snoop\IniFile.dll','');
 QuarantineFile('d:\tools\snoop\snoop2.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7727_quarantine.zip');
SetAVZGuardStatus(False);
end.

После выполнения скрипта, в папке AVZ найдите файл virusinfo_7727_quarantine.zip и пришлите его нам по правилам(через эту форму)

**pig** · 31.01.2007, 22:17

Вопрос: заплатки на систему все стоят? Пароль на учётную запись администратора стоит? Диски не расшаривали? Апач снаружи виден? Если да, то как у него с заплатками?

**Xpundel** · 01.02.2007, 10:06

Сообщение от Muffler

AVZ -> Файл -> Выполнить скрипт:

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, false);
 QuarantineFile('c:\Bookshelf.TR\TRBookshelf_.dll.button.js','');
 QuarantineFile('D:\Tools\Snoop\IniFile.dll','');
 QuarantineFile('d:\tools\snoop\snoop2.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7727_quarantine.zip');
SetAVZGuardStatus(False);
end.

После выполнения скрипта, в папке AVZ найдите файл virusinfo_7727_quarantine.zip и пришлите его нам по правилам(через эту форму)

Готово. Но это файлы безвредные.
Первый - читалка книг. Я ее уже удалил, поэтому в архиве нету ее
Второе и третее - это от программки snoop2, которой я пользуюсь уже лет эдак семь =)

Сообщение от pig

Вопрос: заплатки на систему все стоят? Пароль на учётную запись администратора стоит? Диски не расшаривали? Апач снаружи виден? Если да, то как у него с заплатками?

заплатки не стоят, ибо виндоус не очень лицензионный, а ломать неохота. Пароль стоит. Апач виден только в локалке. Тут хацкеров нет =) Если только wifi сломали.. но это маловероятно.
Расшарено только пара папок. Стоп. Как раз те папки, в которых появляются вирусы! Спасибо за мысль!! Ща я тут устрою тотальную аннигиляцию =)

**Xpundel** · 01.02.2007, 10:40

Все. спасибо большое. Я тупиццо

Гад действительно сидел на другой машине (и почему там не стоял антивир?). И записывался ко мне через расшаренные папки.
Непонятно только по какому принципу он выбрал именно мою машину...

Но всё равно. Всем спасибо огромное

**CyberHelper** · 22.02.2009, 01:36

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Непонятная проблема с Brontok.Q (заявка № 7727)

Опции темы

Непонятная проблема с Brontok.Q

Итог лечения

Похожие темы

Непонятная проблема.

непонятная проблема

Непонятная проблема

непонятная проблема

непонятная проблема

Ваши права в разделе