Найден BackDoor

[Misterio]

Здравствуйте! Помогите мне пожалуйста. Дело в том, что сегодня, включив модем обнаружил,

что лампочка на нем непрерывно мигает, т.е. идет обмен информации с интернетом. Что меня поразило, так это то,

что модем-то включен, а на самом компьютере я соединение еще не включил. То бишь как бы он сам,

не спрашивая у меня разрешения,

в обход через основное подключение, соединяется с сетью. Что интересно, цвет значка соединения на рабочем столе показывает "неактивно".

Проверился свежей утилитой Др Веб Курейт - она нашла BackDoor.Eye.origin . Проверился Авастом - он нашел два Трояна.(Trojan Win32 gen<other>).

Тем не менее лампочка все равно мигает, что-то принимает, передает мой комп. Оутпост соединений активных не показывает, другие утилитки тоже(DU Metr,NetMonitor). Но в окне полученых\отправленных пакетов, у Оутпоста непрерывно появляется входящие пакеты с похожих iP: 192.168.1.1 и т.д.

Помогут ли логи, я их сделал..

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[C. Tantin]

Androno12, если такое повторится, запусти командную строку и напиши "ping ya.ru" и запости результат. Чтоб иконка подключения была серой, а лампочки мигали. А перед этим глянь, в сетевых подключениях ничего левого не появилось? ничего не подключено?

 

В логах не вижу ничего вредоносного. Работать с дозвоном по логам может только Аваст.

Изменено 17 ноября, 2008 пользователем C. Tantin

[Misterio]

Это не то что повторяется! Это происходит непрерывно! В оутпосте каждую секунду выходят заблокированные пакеты! Все входящие!(IN)!

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
QuarantineFile('EhttpSrv.sys','');
QuarantineFile('StarWindServiceAE.sys','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\sfareca00001.dll','');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\sfareca00001.dll');
DeleteFile('StarWindServiceAE.sys');
DeleteFile('EhttpSrv.sys');
BC_ImportAll;
BC_DeleteSvc('EhttpSrv');
BC_DeleteSvc('StarWindServiceAE');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

[C. Tantin]

1)

глянь, в сетевых подключениях ничего левого не появилось? ничего не подключено?

 

2)

запусти командную строку и напиши "ping ya.ru" и запости результат

[Misterio]

В сетевых подключениях ничего нет, кроме двух стандартных. В командной строке забил эту комбинацию(Ping ya.ru): черный экран на пару секунд, а где отчет сохраняется то?

Скрипт выполнил, файл отправил.

Ради интереса выключил компьютер и включил модем - все равно мигает лампочка.

Outpost бесперерывно что-то блокирует с "IN". IP в основном одинаковый(192.168. .. ..), только окончания разные..

[C. Tantin]

В сетевых подключениях ничего нет, кроме двух стандартных. В командной строке забил эту комбинацию(Ping ya.ru): черный экран на пару секунд, а где отчет сохраняется то?

Это нужно писать в консоли - посмотреть, пингуется ли яндекс.

 

wise-wistful, EhttpSrv.sys это не кусок антивируса? А то у Androno12 их много...

[Misterio]

Выходит надпись теперь Windows - системная ошибка "Конфликт IP адреса с другой системой в сети"

Outpost поддакивает "атака конфликт IP адреса шлюза". Это не есть хорошо.

Отсоединяю "Ethernet" кабель - все равно мигает лампочка (она всегда мерцает при отправке\закачке)

Мой комп наверно стал прокси-сервером для рассылки спама. Проверялся и КАВ8 и Cureitom и Авастом и АВЗ и AD-AWARE больше ничего нету говорят. А вчера был Бэкдур(Cureit нашел) 2трояна(Аваст).

Это что-то с ними наверно связано, свое дело сделали.. Пароль менять бесполезно, так понимаю, Винду переустанавливать - нету ее у меня(которые есть, не работают)

Хелперы! Дайте скрипт на самоуничтожение

Изменено 18 ноября, 2008 пользователем Androno12

[Kapral]

Выходит надпись теперь Windows - системная ошибка "Конфликт IP адреса с другой системой в сети"

Есть возможность сменить IP на другой

или провайдер выдал жесткий адрес? или IP выдается динамически?

[ТроПа]

wise-wistful, EhttpSrv.sys это не кусок антивируса? А то у Androno12 их много...

 

Да нет. гадость какая-то.

[Fasawe]

Выходит надпись теперь Windows - системная ошибка "Конфликт IP адреса с другой системой в сети"

Звоним провайдеру и узнаем. Обычно такая ошибка, когда кто-то уже использует этот адрес в данной подсети.

[C. Tantin]

Да нет. гадость какая-то.

Ясно, значит чего-то я напутал - эсетовские файлы не помню...

 

Отсоединяю "Ethernet" кабель - все равно мигает лампочка (она всегда мерцает при отправке\закачке)

о_О модем сошёл с ума?

 

1) Настройки модема от провайдера есть?

2) Подключается инет как? через парольное подключение поверх ethernet (т.е. в сетевых подключениях есть локалка и соединение наподобие dialup?)?

3) Настройки в модеме и сетевого подключения соответствуют таковым от провайдера?

 

З.Ы. Винду можно спасти Жду ответов.

[Misterio]

Подключается инет как? через парольное подключение поверх ethernet (т.е. в сетевых подключениях есть локалка и соединение наподобие dialup?)?

Подключение модема через "Ethernet" кабель. Настраивал модем мастер(от провайдера). Месяца два назад скачал Throttle, оно настройки оптимизирует.

Настройки модема от провайдера есть?

нету, мастер сам все делал

Есть возможность сменить IP на другой

или провайдер выдал жесткий адрес? или IP выдается динамически?

IP я так понимаю, динамический. Каждый раз, при переподключении, последние 6 цифр разные

З.Ы. Винду можно спасти wink.gif Жду ответов.

Это все-таки какой-то Бэкдур или неполадки у провайда?

[Kapral]

IP я так понимаю, динамический. Каждый раз, при переподключении, последние 6 цифр разные

тогда только в саппорт провайдера

[C. Tantin]

Месяца два назад скачал Throttle, оно настройки оптимизирует

Понятно. Маленький совет на будущее: делать только то, что понятно и необходимо. Варианты "скачаю, установлю, посмотрю" чреваты багами, глюками и зловредами, в плане самообразования это полезно, но тогда надо быть готовым к переустановке системы.

 

Выходит надпись теперь Windows - системная ошибка "Конфликт IP адреса с другой системой в сети"

Настраивал модем мастер(от провайдера).

 

тогда только в саппорт провайдера