Re: backdoor.win32.Rbot.gen

Autor: Marek Janaszewski \(USUN_TO. z adresu!\) <USUN_TO.j_marek_at_gazeta.pl>
Data: Sat 06 Nov 2004 - 15:34:18 MET
Message-ID: <cmio4m$1sep$1@node3.news.atman.pl>
Content-Type: text/plain; format=flowed; charset="iso-8859-2"; reply-type=original

W wiadomości: cmihm1$3ok$1@opal.futuro.pl,
[...]
>>> AVP wyrzuca mi że wykrył virus: backdoor.win32.Rbot.gen w pliku o
>>> nazwie tftp1740.* i że mam chyba coś z tym zrobić. Szukałem różnego
>>> softu
>>
>> A potrzebny jest ci ten plik? Nie możesz go wywalić?
[...]
> plik wywalić moge i robie to tylko ze co jakiś czas pojawiają się
> nowe..z tym samym numerem jako początek nazwy albo innymi....

Witam!

Pewno jest w pamięci operacyjnej i się automatycznie naprawia. Sprawdź
najpierw wśród uruchomionych procesów, jeśli to .exe. Można także użyć
narzędzia Process Explorer z SysInternals i sprawdzić, czy gdzie taki plik
nie jest ładowany, np. jako .dll-ka. Może to być Browser Helper Object (BHO)
i wtedy jest trudniej. Być może trzeba będzie zabić całego explorer-a i
skasować plik z wiersza poleceń. W ostateczności można użyć konsoli
naprawczej z CD-ROM-u instalacyjnego XP/w2k. Inne przydatne narzędzie to
Spyboot S&D, otrzymasz informacje o zainstalowanych BHO dla IE.

> chodzi o to że w sumie nie wiem o co chodzi z tym wirusem bo
> tftp.exe to chyba jakieś narzędzie..protokół, nie wiem, nie znam sie,
> które jest składnikiem systemu i umozliwia "zdalne" zarządzanie

Samo TFTP to jest Tivial FTP. Czyli FTP działający na protokóle
transportowym UDP, przeznaczony przez wszystkim do sieci lokalnej. Ma pewne
ograniczania w stosunku do normalnego FTP (działa na protokóle transportowym
TCP), czyli transferu plików. Pewno wirus podszywa się pod narzędzie
systemowe. Sprawdź daty modyfikacji plików Zwróć uwagę, że daty plików
systemowych mogą nie być przypadkowe.

> maszyną. Wniosek taki jest że albo jestem atakowany a AVP te
> ataki odpiera
> albo komputer jest..podlega wpływom jakiegoś innego i wcale
> niepożądanego administratora niż ja a tego to bym nie chciał.
> Reasumując: pliki wywalam a one pojawiają się na nowo czemu
> towarzyszy monit AVP że wykryto wirus backdoor.win32.rbot.gen w pliku
> np.: tftp868 i co dziwne plik jest jakby bez rozszerzenia..ja usuwam
> a pliki tworzą się na nowo, pozdr.

Może jakieś ukrywanie rozszerzeń jest włączone. Można sprawdzić głębiej, jak
sprawy wyglądają pod cmd, komenda dir /x. 

-- 
Pozdrawiam,
Marek Janaszewski
[ j_marek(małpa)gazeta.pl ]
Received on Sat Nov 6 15:40:24 2004

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sat 06 Nov 2004 - 15:42:01 MET