Backdoor.Win32. ПОМОЖИТЕ!

[Serp]

Господа, Мужики!
Помогите...
Каждый день меня одолевает
вирус.
Один и тот же.
Называется Backdoor.Win32.

Поражает почему-то самого Касперского
вот лог:

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\rundlI32.exe Инфицирован Backdoor.Win32.Rbot.ft

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\sysmsvc.exe Инфицирован Backdoor.Win32.Rbot.gen

Что-то я ничего не понимаю...
Может это касперовцы сами его шлют?
Такие подозрения возникли из-за того, что
отрубилось продление лицензии Каспера
до 2007 года (конечно же пиратское),
и больше не запускается интегрирование его (продления) в реестр...

В общем что-то я ничего не понимаю.
Каспер чистит этот вирус, но на следующий
день (или через день) он появляется снова.
Файерволл Аутпост (лицензионный) - тоже
непонятно, почему он этот вирус пропускает...

В общем помогите разобраться, кто может...

Заранее премногоблагодарен.

[Сапёр Водичка]

Господа, Мужики!
Помогите...
Каждый день меня одолевает
вирус.
Один и тот же.
Называется Backdoor.Win32.

Поражает почему-то самого Касперского
вот лог:

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\rundlI32.exe Инфицирован Backdoor.Win32.Rbot.ft

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\sysmsvc.exe Инфицирован Backdoor.Win32.Rbot.gen

Это не Касперского он поразил, а это Касперский заражённые файлы ложет в папку "Инфицированные"

И вообще лучший антивирус для меня - это программмулина Starter...

[Serp]

Это не Касперского он поразил, а это Касперский заражённые файлы ложет в папку "Инфицированные"

И вообще лучший антивирус для меня - это программмулина Starter...

Ну, ладно, не Касперского...
А чего бы мне такое сделать, чтоб
больше с ним не встречаться?
Почему он файерволл обходит не глядя?
Правда добрые люди из Агнитум прекратили
поддержку обновления Аутпоста и требуют
ДОПЛАТУ за продолжение лицензии...
Почему-то всего полгода она действовала...

Может есть какая-нибудь заплатка на Винду против
этого Бэкдора?..

[Сапёр Водичка]

Ну, ладно, не Касперского...
А чего бы мне такое сделать, чтоб
больше с ним не встречаться?
Почему он файерволл обходит не глядя?
Правда добрые люди из Агнитум прекратили
поддержку обновления Аутпоста и требуют
ДОПЛАТУ за продолжение лицензии...
Почему-то всего полгода она действовала...

Может есть какая-нибудь заплатка на Винду против
этого Бэкдора?..

вот что пишут про этот вирус...

Раньше у меня стоял старый "Оутпост", сейчас "Керио". Первый всё же был лучше.

Про заплатки ничего не нашёл. Счас спецы подтянутся, расскажут...

[Jameson]

Эх, я юзаю надстройку maxthon над иксплорером, он как заявлено сам затыкает некоторые дыры, и юзаю бесплатный и вполне функционаьный антивирь avast. www.avast.com, домашняя версия бесплатна. Содержит в себе кроме всего почтовый сервер, который следит за тем ,что идет через почтовые протоколы. Где-то была ссылка ,чтобы проверить свой почтовый антивирь, так вот, три письма оттуда пропустил почтовый каспер, и еще один антивирь, небесплатный, но на авасте это дело застряло..
Коме того он следит за пиринговыми качалками, аськами, Летучей мышью, аутглюком(который не експресс.)

[Serp]

вот что пишут про этот вирус...

Ага, интересно..
________________________________________________________________
Зато последнюю строчку рейтинга вновь заняла вредоносная программа Backdoor.Win32.Rbot.gen, управляемая через IRC-каналы и распространяющаяся через различные дыры в операционных системах Microsoft Windows (в том числе через уязвимость в локальной подсистеме аутентификации пользователей LSASS).
_____________________________________________________________

Тогда вопрос к знатокам - если эта грязь лезет через локалку,
то нельзя ли как-то отрубить эту LSASS?
И что это за IRC каналы? (у меня есть подозрения,
что я ими не пользуюсь).
Очень ли она мне нужна?
И ещё, может кто-то знает через какие порты этот Бэкдор
лезет, я бы посмотрел лог файерволла, идентифицировал бы
отправителя этого гуана, и заложил бы его провайдеру...

[Serp]

Эх, я юзаю надстройку maxthon над иксплорером, он как заявлено сам затыкает некоторые дыры, и юзаю бесплатный и вполне функционаьный антивирь avast. www.avast.com, домашняя версия бесплатна. Содержит в себе кроме всего почтовый сервер, который следит за тем ,что идет через почтовые протоколы. Где-то была ссылка ,чтобы проверить свой почтовый антивирь, так вот, три письма оттуда пропустил почтовый каспер, и еще один антивирь, небесплатный, но на авасте это дело застряло..
Коме того он следит за пиринговыми качалками, аськами, Летучей мышью, аутглюком(который не експресс.)

Спасибо.
Но ведь это его тогда надо повесить в фоновый режим,
когда сидишь в инете или получаешь почту?
Что-то мне это как-то не очень...
неохота тормозить итак медленный рунет...

Но на безрыбье - попробую...
Спастбо Jameson!

[ShootOut]

Спасибо.
Но ведь это его тогда надо повесить в фоновый режим,
когда сидишь в инете или получаешь почту?
Что-то мне это как-то не очень...
неохота тормозить итак медленный рунет...

Но на безрыбье - попробую...
Спастбо Jameson!

Попробуй.. Лучше бесплатный работающий антивирь, чем просроченный Каспер...
Вот еще один неплохой бесплатный продукт. Посмотреть и скачать можно отсюда. При установке оба этих антивиря поставятся как надо - будут и почту проверять, и трафик сетевой..
Только два важных момента:
1. Снеси Каспера. Правда чисто он снимается только переустановкой Windows...
2. Антивирус надо ставить 1. А не два, три и больше...
3. Если так хочется еще защиты - можно поставить Dr.Web, НО! Ставить можно только сканер, никаких других модулей..
Потом вручную запускать на сканирование..
И все-таки лучше определится с антивирем, и не разводить зверинца - порядка не будет..

Что до стенок - попробуй Tiny Personal Firewall - 30 дней проходит без проблем: достаточно чтобы определится надо или нет...
ZoneAlarm свеженький тоже ничего, но Tiny посерьезнее продукт будет...

Эх, скорее бы порт ipfw под винды довели до ума.. Так просто - 20 килов размер, и конфой помочь можно.. (мечтает)..

Regards! BS

[Jameson]

Да, забыл, действительно два антивирусных мониторинга, если они одинаковое дело делают, передеруться. У меня кое-кто дрвеб поверх аваста поставил -так проводник не грузился..

[Serp]

Запугали вы меня, товарщи, совсем...
А где FilippOk?
Я вот у него хочу спросить кое-что...
FilippOOOOOOOOk, Ты где!

И кстати... мой Каспер вычищает этого Бэкдора,
на это его как раз хватает пока... а систему
переустанавливать - это, ой, мляяяяяяяя!!!!..
На это я пойтить не могу! Пока во всяком случае...
Это для меня на пару дней вообще выпасть в осадок...

Тем не менее спасибо всем!

[FilippOk]

Ну тут я, тут, второй день на твои стоны смотрю, добавить пока нечего.
Как тут поможешь, если ты, сидя с Outpost-ом, не в силах выяснить, через какой канал к тебе бэкдверь прёт?
Какой, кстати, версии Кошмарский?

[Jameson]

Кстати, написано через IRC он залаззить. А по-моему, у аваста и IRC экран есть

[Serp]

Ну тут я, тут, второй день на твои стоны смотрю, добавить пока нечего.
Как тут поможешь, если ты, сидя с Outpost-ом, не в силах выяснить, через какой канал к тебе бэкдверь прёт?
Какой, кстати, версии Кошмарский?

FilippOk!
Милинькай!
Всё пучком (Аутпост ВДРУГ сам обновился
до версии 2.5, и теперь он просто зверь -
рвёт всех подряд, как тузиков Грелка! )
Но у меня к тебе вопросец...
Нельзя ли какнить обновить тот файлик,
что Ты мне прислал (если помнишь)?
При запуске того файлика пишется, что типа
он не может быть запущен, потому что типа
какой-то он не ДВОИЧНЫЙ ( :confused: )
И почему кошмарский его внезапно срыгнул?
До недавнего времени всё обновлялось,
всё работало... а тут ВДРУГ - рррраз, и всё...
А ведь где-то там показывалось, что типа
до 2007 года будет малина!
Может это кашмаровцы его раскусили?..

В общем истроия повтряется - есть лицензионный
кошмарский, но нет к нему обновления баз...

[FilippOk]

Какой файлик? Давно дело было, я так и не упомню...
Ключик к Кошмарскому, штоль?
Тады версию твоего Кошмаря давай - кину, канэшна.
А вот последнюю фразу я не понял. Если есть лиц. Кошмарский - он должен обновляться стопудофф. Как это нет обновления баз?
Маленький совет, даже два:
1. Лезем в каталог
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\
и сносим там всё, что видим нафиК.
2. Лезем в Панель управления->Свойства обозДревателя->Общие->Временные файлы интернета->Удалить файлы->галку тык-тык->Да.
Заодно там же тык-тык кнопку "Удалить 'Cookie'".

[Jameson]

КСТАТИ, сейчас эпидемия Bagle WX началась. Что подтверждает тезис о сумме разума на одну планету.. Ибо червяка этого надо самому запустить. Так вот, это началось 31, аваст локальный почтовый сервер его поймал до того, как его поймал другой бесплатный антивирь, а платный почтовый каспер его по-прежнему не ловит, иначе бы бесплатный поточвый уведомления не слал, до него бы не доходило.. Кстати? этого червя и zonealarm pro ловит.
А для Каспера я бы посоветовал настроить "неизлечимые -удалять". А аваст свою карантинную базу не тестирует на вирусы, ибо и так все ясно

[Serp]

Какой файлик? Давно дело было, я так и не упомню...
Ключик к Кошмарскому, штоль?
Тады версию твоего Кошмаря давай - кину, канэшна.
А вот последнюю фразу я не понял. Если есть лиц. Кошмарский - он должен обновляться стопудофф. Как это нет обновления баз?
Маленький совет, даже два:
1. Лезем в каталог
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\
и сносим там всё, что видим нафиК.
2. Лезем в Панель управления->Свойства обозДревателя->Общие->Временные файлы интернета->Удалить файлы->галку тык-тык->Да.
Заодно там же тык-тык кнопку "Удалить 'Cookie'".

Тыц-тыц произвёл строго по инструкции.
Вирусы я в карантин не помещаю, а уничтожаю на корню
(это я Jamesonу).
В общем тыц-тыц не помогли...

И так:
Версия Кашпировского 4.0.1.54

Ты мне прислал AVP Platimum 5Y (lj 26/10/07
(и вот этот ключик больше не работает,
хотя в окошке "О программе" он указан, среди
всех личных лицензионных данных).

Вооот...
Как тут быть?..

[FilippOk]

Угу, ясно.

А. Что касается Кошмарского.
0. Лезем на сайт (здеся), качаем оттуда Кошмарского версии 5.0.227.
1. Сносим Кошмарского 4.0.1.54. Ибо старьё тормозное.
2. Ребутаемся.
3. Ставим скачанного Кошмарского версии 5.0.227.
4. Засылаем мне письмо с напоминанием о ключике, или ищем его в Сети сами - валяются чуть ли не под ногами.
5. Придёт ключик - поставишь. Ключик.

Б. Что касается собственно вируса.
Backdoor.Win32.Rbot.gen - ещё один из многочисленного семейства Backdoor.Rbot - семейство троянов, предоставляющих злоумышленнику удалённый доступ к заражённой машине. Управляются через IRC.
Среди прочего, сканит и финдит машины, уже заражённые троянами типа Backdoor.Optix, Backdoor.NetDevil, Backdoor.SubSeven и куча других бэкдверей, и троянскими компонентами червей I-Worm.MyDoom, I-Worm.Bagle.
Но этими товарищами ты вряд ли болен: если Кошмарский обновлен до упора - он бы тебя ими уже заколебал.
Соответственно, возможно, что идёт эта гадость к тебе через порт, открытый MIRCой, его и найти и закрыть в Аутпосте. Или удалить МИРКу.
Чаты лю-ю-юбишь, редиска?
Там же в Аутпосте можно посмотреть, не приползали ли эти файлы (rundlI32.exe и sysmsvc.exe) к тебе из Сети, и откуда, и если да, приползли, то запретить принимать оттуда что-либо. Надеюсь, я понятно перевыразил общую концепцию противодействия негативным скриптовым воздействиям из внешнего контента.
З.Ы. Аутпост - вещь, адназначна.

[Serp]

________________________________________
Всё,FilippOk!
Не надо, не беспокойся!
Я сам нашёл ключик...
Всё пашет как реактивное!
Спасибо!

[FilippOk]

Я ж говорил, этого добра как грязи...
Вирь больше не лезет?
[сипло] "Ну, ты заходи... если что..." (с) Волк

[Serp]

Я ж говорил, этого добра как грязи...
Вирь больше не лезет?
[сипло] "Ну, ты заходи... если что..." (с) Волк

Не лезэ, ничОго ужэ не лезэ...
Спасибо, (и зайду)!

Кстати... я вот чего не понимаю...
Если все себе понаскачивают этих
ключиков, то что -то непонятно как-то -
почему их ВСЕХ сам Касперский принимает
за настоящие и даёт обновлять базы
разной шушере, вроде меня?..
Я так понимаю, что ключи-то настоящие,
но не может же их быть миллион!
Ну, вот Билл наш, Вильям, можно сказать -
такое уже давно пресёк, а чем Касперский-то глупее :confused:
Или тут какой-то другой механизьм?

[schuss]

А ключики периодически банятся. Это делает не только Касперский, но и другие антивирусники. Критериев, по которым определяются ключи для бана, может быть множество.

Кстати, по поводу вирусов IMHO стоит прикрепить ссылочку на http://virusinfo.info - там много грамотного народа, включая некоторых разработчиков антивирусов.

[Serp]

А ключики периодически банятся. Это делает не только Касперский, но и другие антивирусники. Критериев, по которым определяются ключи для бана, может быть множество.

Кстати, по поводу вирусов IMHO стоит прикрепить ссылочку на http://virusinfo.info - там много грамотного народа, включая некоторых разработчиков антивирусов.

Хм... ну я прожил с таким ключиком полгода!
Странно...
Но приятно.
А за ссылочку спасибо!

[Serp]

Да, вот хорошо бы для чайников, хватанувших
вируса повесить у нас на форуме на видном месте вот это:

http://virusinfo.info/index.php?boar...ay;threadid=20