Показано с 1 по 13 из 13.

Backdoor Lurker (заявка № 86239)

  1. #1
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    6
    Вес репутации
    23

    Exclamation Backdoor Lurker

    В AVZ после проверки написано: Обратите внимание. Порт 1116 UDP - Backdoor.Lurker (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
    Данный Backdoor.Lurker появляется только иногда, может появиться в любое время при проверке. Восстановление системы через Акронис ничего не даёт, на какое то время он исчезает, но потом опять появляется, подскажите, почему и что делать? Почему его не видят ни один антивирус и ни одна антивирусная утилита? Где находится само тело вируса? Как закрыть порты 1111 и 1116 в PC Tools Firewall Plus ?

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524

  4. #3
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    6
    Вес репутации
    23
    Логи сделаны, но уже не появляется этот Lurker, AVZ его не видит. После появления процесс svchost использующий порт 1116 был прибит и логи сделаны уже после перезагрузки. Но порты 1111, 1113 снова появляются, причём после каждой перезагрузки компа, они то открыты, то нет, не понимаю почему.
    Вложения Вложения
    Последний раз редактировалось Nuka; 24.08.2010 в 20:40. Причина: Добавлено

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Профиксите в HijackThis
    Код:
    R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
    В остальном подозрительного нет.

    Начинайте обновлять систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .

    После обновления:
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    понаблюдайте за проблемой

  6. #5
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    6
    Вес репутации
    23
    Простите, а можно мне как "чайнику", доступным языком описать что сделать с этим кодом. потому что про обновление системы понятно, и что значит - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. Ну, открыла, а что дальше?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    дальше копируете все что написано и выполняете скрипт в AVZ

  8. #7
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    6
    Вес репутации
    23
    Где написано???? Не понимаю что куда копировать! Это для вас всё так просто, а простым людям ещё надо понять что и куда. Если мне надо скопировать "код" который выше и именно его вставлять в скрипт авз, зачем тогда открывать этот файл ScanVuln.txt с ним то что делать, я не понимаю, поясните, пожалуйста.
    Последний раз редактировалось Nuka; 24.08.2010 в 22:15.

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,042
    Вес репутации
    1254
    Цитата Сообщение от Nuka Посмотреть сообщение
    Данный Backdoor.Lurker появляется только иногда, может появиться в любое время при проверке.
    QIP используете?

    Цитата Сообщение от Nuka Посмотреть сообщение
    Не понимаю что куда копировать!
    Открываете файл ScanVuln.txt, там находится скрипт, нажимаете Ctrl+A, должен выделиться весь скрипт, нажимаете копировать, в АВЗ - Файл - Выполнить скрипт, нажимаете вставить, нажимаете выполнить, теперь как?

  10. #9
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    6
    Вес репутации
    23
    Нет, QIP не использую, а причём тут он?

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,042
    Вес репутации
    1254
    Да собственно ни при чём, это я для себя, смысл в том, что не только сам Backdoor.Lurker слушает данные порты, а также некоторые полезные программы.

  12. #11
    Junior Member Репутация
    Регистрация
    24.08.2010
    Сообщений
    6
    Вес репутации
    23
    Поскольку, только Ваша AVZ соизволяет только иногда находить Backdoor. Daodan и Backdoor. Lurker на портах 1111 и 1116, то мне уж очень хотелось бы услышать хоть один вразумительный ответ по поводу местонахождения данного трояна, а также услышать про его поведение, задачи и т.п. А то, если только AVZ это находит и никто ничего вразумительного так и не ответил, начинает складываться впечатление, что AVZ попросту врёт, а здесь на форуме никто ничего про эти Backdoor не знает.

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,042
    Вес репутации
    1254
    Да кто Вам сказал, что АВЗ находит бэкдор, АВЗ указывает на то, что открыты порты, присущие той или иной вредоносной программе, что не указывает на прямое наличие вредоносного ПО в системе, эти порты может открыть кто угодно, у меня например QIP периодически открывает рандомные порты для своего сервиса и бывает что 1116 UDP.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от Nuka Посмотреть сообщение
    начинает складываться впечатление, что ... здесь на форуме никто ничего про эти Backdoor не знает.
    Я не удивлюсь, если это так и есть. Олег Зайцев, наверное, всё-таки сталкивался, а вот остальные участники в большинстве только подозрения в логах и наблюдали.

  • Уважаемый(ая) Nuka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Backdoor.Lurker
      От Hollow в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.05.2010, 18:56
    2. Куча открытых UDP портов и нечто Backdoor.Lurker
      От Doxer в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.11.2008, 12:09
    3. UDP 7788 - backdoor.mnets,backdoor.singu, blackhole 2000
      От dimonavia в разделе Общая сетевая безопасность
      Ответов: 1
      Последнее сообщение: 11.02.2008, 12:55
    4. Подозрение на Backdoor Lurker
      От Ksanta в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.01.2006, 08:24
    5. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 26.07.2005, 02:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00481 seconds with 22 queries