Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Найден BackDoor

Misterio

Автор Misterio
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Misterio

Misterio

Опубликовано
Опубликовано

Здравствуйте! Помогите мне пожалуйста. Дело в том, что сегодня, включив модем обнаружил,

что лампочка на нем непрерывно мигает, т.е. идет обмен информации с интернетом. Что меня поразило, так это то,

что модем-то включен, а на самом компьютере я соединение еще не включил. То бишь как бы он сам,

не спрашивая у меня разрешения,

в обход через основное подключение, соединяется с сетью. Что интересно, цвет значка соединения на рабочем столе показывает "неактивно".

Проверился свежей утилитой Др Веб Курейт - она нашла BackDoor.Eye.origin . Проверился Авастом - он нашел два Трояна.(Trojan Win32 gen<other>).

Тем не менее лампочка все равно мигает, что-то принимает, передает мой комп. Оутпост соединений активных не показывает, другие утилитки тоже(DU Metr,NetMonitor). Но в окне полученых\отправленных пакетов, у Оутпоста непрерывно появляется входящие пакеты с похожих iP: 192.168.1.1 и т.д.

Помогут ли логи, я их сделал..

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

post-6110-1226947528_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
C. Tantin

C. Tantin

Опубликовано
Опубликовано (изменено)

Androno12, если такое повторится, запусти командную строку и напиши "ping ya.ru" и запости результат. Чтоб иконка подключения была серой, а лампочки мигали. А перед этим глянь, в сетевых подключениях ничего левого не появилось? ничего не подключено?

 

В логах не вижу ничего вредоносного. Работать с дозвоном по логам может только Аваст.

Изменено пользователем C. Tantin
Ссылка на комментарий
Поделиться на другие сайты
Misterio

Misterio

Опубликовано
  • Автор
Опубликовано

Это не то что повторяется! Это происходит непрерывно! В оутпосте каждую секунду выходят заблокированные пакеты! Все входящие!(IN)!

Ссылка на комментарий
Поделиться на другие сайты
ТроПа

ТроПа

Опубликовано
Опубликовано

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
QuarantineFile('EhttpSrv.sys','');
QuarantineFile('StarWindServiceAE.sys','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\sfareca00001.dll','');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\sfareca00001.dll');
DeleteFile('StarWindServiceAE.sys');
DeleteFile('EhttpSrv.sys');
BC_ImportAll;
BC_DeleteSvc('EhttpSrv');
BC_DeleteSvc('StarWindServiceAE');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

Ссылка на комментарий
Поделиться на другие сайты
C. Tantin

C. Tantin

Опубликовано
Опубликовано

1)

глянь, в сетевых подключениях ничего левого не появилось? ничего не подключено?

 

2)

запусти командную строку и напиши "ping ya.ru" и запости результат
Ссылка на комментарий
Поделиться на другие сайты
Misterio

Misterio

Опубликовано
  • Автор
Опубликовано

В сетевых подключениях ничего нет, кроме двух стандартных. В командной строке забил эту комбинацию(Ping ya.ru): черный экран на пару секунд, а где отчет сохраняется то?

Скрипт выполнил, файл отправил.

Ради интереса выключил компьютер и включил модем - все равно мигает лампочка.

Outpost бесперерывно что-то блокирует с "IN". IP в основном одинаковый(192.168. .. ..), только окончания разные..

Ссылка на комментарий
Поделиться на другие сайты
C. Tantin

C. Tantin

Опубликовано
Опубликовано
В сетевых подключениях ничего нет, кроме двух стандартных. В командной строке забил эту комбинацию(Ping ya.ru): черный экран на пару секунд, а где отчет сохраняется то?
Это нужно писать в консоли - посмотреть, пингуется ли яндекс.

 

wise-wistful, EhttpSrv.sys это не кусок антивируса? А то у Androno12 их много...

Ссылка на комментарий
Поделиться на другие сайты
Misterio

Misterio

Опубликовано
  • Автор
Опубликовано (изменено)

Выходит надпись теперь Windows - системная ошибка "Конфликт IP адреса с другой системой в сети"

Outpost поддакивает "атака конфликт IP адреса шлюза". Это не есть хорошо.

Отсоединяю "Ethernet" кабель - все равно мигает лампочка (она всегда мерцает при отправке\закачке)

Мой комп наверно стал прокси-сервером для рассылки спама. Проверялся и КАВ8 и Cureitom и Авастом и АВЗ и AD-AWARE больше ничего нету говорят. А вчера был Бэкдур(Cureit нашел) 2трояна(Аваст).

Это что-то с ними наверно связано, свое дело сделали.. Пароль менять бесполезно, так понимаю, Винду переустанавливать - нету ее у меня(которые есть, не работают)

Хелперы! Дайте скрипт на самоуничтожение :) ;)

Изменено пользователем Androno12
Ссылка на комментарий
Поделиться на другие сайты
Kapral

Kapral

Опубликовано
Опубликовано
Выходит надпись теперь Windows - системная ошибка "Конфликт IP адреса с другой системой в сети"

Есть возможность сменить IP на другой

или провайдер выдал жесткий адрес? или IP выдается динамически?

Ссылка на комментарий
Поделиться на другие сайты
Fasawe

Fasawe

Опубликовано
Опубликовано
Выходит надпись теперь Windows - системная ошибка "Конфликт IP адреса с другой системой в сети"

Звоним провайдеру и узнаем. Обычно такая ошибка, когда кто-то уже использует этот адрес в данной подсети.

Ссылка на комментарий
Поделиться на другие сайты
C. Tantin

C. Tantin

Опубликовано
Опубликовано
Да нет. гадость какая-то.
Ясно, значит чего-то я напутал - эсетовские файлы не помню...

 

Отсоединяю "Ethernet" кабель - все равно мигает лампочка (она всегда мерцает при отправке\закачке)
о_О модем сошёл с ума?

 

1) Настройки модема от провайдера есть?

2) Подключается инет как? через парольное подключение поверх ethernet (т.е. в сетевых подключениях есть локалка и соединение наподобие dialup?)?

3) Настройки в модеме и сетевого подключения соответствуют таковым от провайдера?

 

З.Ы. Винду можно спасти :) Жду ответов.

Ссылка на комментарий
Поделиться на другие сайты
Misterio

Misterio

Опубликовано
  • Автор
Опубликовано
Подключается инет как? через парольное подключение поверх ethernet (т.е. в сетевых подключениях есть локалка и соединение наподобие dialup?)?

Подключение модема через "Ethernet" кабель. Настраивал модем мастер(от провайдера). Месяца два назад скачал Throttle, оно настройки оптимизирует.

Настройки модема от провайдера есть?

нету, мастер сам все делал

Есть возможность сменить IP на другой

или провайдер выдал жесткий адрес? или IP выдается динамически?

IP я так понимаю, динамический. Каждый раз, при переподключении, последние 6 цифр разные

З.Ы. Винду можно спасти wink.gif Жду ответов.

Это все-таки какой-то Бэкдур или неполадки у провайда?

Ссылка на комментарий
Поделиться на другие сайты
Kapral

Kapral

Опубликовано
Опубликовано
IP я так понимаю, динамический. Каждый раз, при переподключении, последние 6 цифр разные

тогда только в саппорт провайдера

Ссылка на комментарий
Поделиться на другие сайты
C. Tantin

C. Tantin

Опубликовано
Опубликовано
Месяца два назад скачал Throttle, оно настройки оптимизирует
Понятно. Маленький совет на будущее: делать только то, что понятно и необходимо. Варианты "скачаю, установлю, посмотрю" чреваты багами, глюками и зловредами, в плане самообразования это полезно, но тогда надо быть готовым к переустановке системы.

 

Выходит надпись теперь Windows - системная ошибка "Конфликт IP адреса с другой системой в сети"
Настраивал модем мастер(от провайдера).

 

тогда только в саппорт провайдера
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...