Backdoor Lurker

[Nuka]

В AVZ после проверки написано: Обратите внимание. Порт 1116 UDP - Backdoor.Lurker (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
Данный Backdoor.Lurker появляется только иногда, может появиться в любое время при проверке. Восстановление системы через Акронис ничего не даёт, на какое то время он исчезает, но потом опять появляется, подскажите, почему и что делать? Почему его не видят ни один антивирус и ни одна антивирусная утилита? Где находится само тело вируса? Как закрыть порты 1111 и 1116 в PC Tools Firewall Plus ?

[polword]

Внимательно прочитайте и аккуратно выполните

[Nuka]

Логи сделаны, но уже не появляется этот Lurker, AVZ его не видит. После появления процесс svchost использующий порт 1116 был прибит и логи сделаны уже после перезагрузки. Но порты 1111, 1113 снова появляются, причём после каждой перезагрузки компа, они то открыты, то нет, не понимаю почему.

[polword]

Профиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)

В остальном подозрительного нет.

Начинайте обновлять систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

понаблюдайте за проблемой

[Nuka]

Простите, а можно мне как "чайнику", доступным языком описать что сделать с этим кодом. потому что про обновление системы понятно, и что значит - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. Ну, открыла, а что дальше?

[polword]

дальше копируете все что написано и выполняете скрипт в AVZ

[Nuka]

Где написано???? Не понимаю что куда копировать! Это для вас всё так просто, а простым людям ещё надо понять что и куда. Если мне надо скопировать "код" который выше и именно его вставлять в скрипт авз, зачем тогда открывать этот файл ScanVuln.txt с ним то что делать, я не понимаю, поясните, пожалуйста.

[olejah]

Данный Backdoor.Lurker появляется только иногда, может появиться в любое время при проверке.

QIP используете?

Не понимаю что куда копировать!

Открываете файл ScanVuln.txt, там находится скрипт, нажимаете Ctrl+A, должен выделиться весь скрипт, нажимаете копировать, в АВЗ - Файл - Выполнить скрипт, нажимаете вставить, нажимаете выполнить, теперь как?

[Nuka]

Нет, QIP не использую, а причём тут он?

[olejah]

Да собственно ни при чём, это я для себя, смысл в том, что не только сам Backdoor.Lurker слушает данные порты, а также некоторые полезные программы.

[Nuka]

Поскольку, только Ваша AVZ соизволяет только иногда находить Backdoor. Daodan и Backdoor. Lurker на портах 1111 и 1116, то мне уж очень хотелось бы услышать хоть один вразумительный ответ по поводу местонахождения данного трояна, а также услышать про его поведение, задачи и т.п. А то, если только AVZ это находит и никто ничего вразумительного так и не ответил, начинает складываться впечатление, что AVZ попросту врёт, а здесь на форуме никто ничего про эти Backdoor не знает.

[olejah]

Да кто Вам сказал, что АВЗ находит бэкдор, АВЗ указывает на то, что открыты порты, присущие той или иной вредоносной программе, что не указывает на прямое наличие вредоносного ПО в системе, эти порты может открыть кто угодно, у меня например QIP периодически открывает рандомные порты для своего сервиса и бывает что 1116 UDP.

[pig]

начинает складываться впечатление, что ... здесь на форуме никто ничего про эти Backdoor не знает.

Я не удивлюсь, если это так и есть. Олег Зайцев, наверное, всё-таки сталкивался, а вот остальные участники в большинстве только подозрения в логах и наблюдали.