-
Junior Member
- Вес репутации
- 50
Backdoor Lurker
В AVZ после проверки написано: Обратите внимание. Порт 1116 UDP - Backdoor.Lurker (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
Данный Backdoor.Lurker появляется только иногда, может появиться в любое время при проверке. Восстановление системы через Акронис ничего не даёт, на какое то время он исчезает, но потом опять появляется, подскажите, почему и что делать? Почему его не видят ни один антивирус и ни одна антивирусная утилита? Где находится само тело вируса? Как закрыть порты 1111 и 1116 в PC Tools Firewall Plus ?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 50
Логи сделаны, но уже не появляется этот Lurker, AVZ его не видит. После появления процесс svchost использующий порт 1116 был прибит и логи сделаны уже после перезагрузки. Но порты 1111, 1113 снова появляются, причём после каждой перезагрузки компа, они то открыты, то нет, не понимаю почему.
Последний раз редактировалось Nuka; 24.08.2010 в 20:40.
Причина: Добавлено
-
Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
В остальном подозрительного нет.
Начинайте обновлять систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
понаблюдайте за проблемой
-
-
Junior Member
- Вес репутации
- 50
Простите, а можно мне как "чайнику", доступным языком описать что сделать с этим кодом. потому что про обновление системы понятно, и что значит - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. Ну, открыла, а что дальше?
-
дальше копируете все что написано и выполняете скрипт в AVZ
-
-
Junior Member
- Вес репутации
- 50
Где написано???? Не понимаю что куда копировать! Это для вас всё так просто, а простым людям ещё надо понять что и куда. Если мне надо скопировать "код" который выше и именно его вставлять в скрипт авз, зачем тогда открывать этот файл ScanVuln.txt с ним то что делать, я не понимаю, поясните, пожалуйста.
Последний раз редактировалось Nuka; 24.08.2010 в 22:15.
-
Сообщение от
Nuka
Данный Backdoor.Lurker появляется только иногда, может появиться в любое время при проверке.
QIP используете?
Сообщение от
Nuka
Не понимаю что куда копировать!
Открываете файл ScanVuln.txt, там находится скрипт, нажимаете Ctrl+A, должен выделиться весь скрипт, нажимаете копировать, в АВЗ - Файл - Выполнить скрипт, нажимаете вставить, нажимаете выполнить, теперь как?
-
-
Junior Member
- Вес репутации
- 50
Нет, QIP не использую, а причём тут он?
-
Да собственно ни при чём, это я для себя, смысл в том, что не только сам Backdoor.Lurker слушает данные порты, а также некоторые полезные программы.
-
-
Junior Member
- Вес репутации
- 50
Поскольку, только Ваша AVZ соизволяет только иногда находить Backdoor. Daodan и Backdoor. Lurker на портах 1111 и 1116, то мне уж очень хотелось бы услышать хоть один вразумительный ответ по поводу местонахождения данного трояна, а также услышать про его поведение, задачи и т.п. А то, если только AVZ это находит и никто ничего вразумительного так и не ответил, начинает складываться впечатление, что AVZ попросту врёт, а здесь на форуме никто ничего про эти Backdoor не знает.
-
Да кто Вам сказал, что АВЗ находит бэкдор, АВЗ указывает на то, что открыты порты, присущие той или иной вредоносной программе, что не указывает на прямое наличие вредоносного ПО в системе, эти порты может открыть кто угодно, у меня например QIP периодически открывает рандомные порты для своего сервиса и бывает что 1116 UDP.
-
-
Сообщение от
Nuka
начинает складываться впечатление, что ... здесь на форуме никто ничего про эти Backdoor не знает.
Я не удивлюсь, если это так и есть. Олег Зайцев, наверное, всё-таки сталкивался, а вот остальные участники в большинстве только подозрения в логах и наблюдали.
-