Хакеры атакуют!

monte-kristo · 17.12.2008, 18:16

Значит стоит у меня докрор веб последней версии (с сайта карбины) далее у меня стало часто появляться сообщение такого рода [img][/img]http://s46.radikal.ru/i112/0812/a9/fd775a229e6e.jpg[img][/img] Сначала я его проигнорировал но затем извлек из этого что моим компьютером пользуются! Далее скачал APS и включил ее. Минут через десять компьютер запищал и выдал сигнал о тревоге (проникновения) И выдалось примерно 40 атак! Начал закрывать доступ к портам TCP и UDP обнаружилось что у меня сидет три хакера! Попробовал закрыть доступ и им! Незнаю закрылся им доступ или нет но после повторного входа в APS о них ничего не упоминалось! Насколько я знаю чтобы управлять компьютером нужно взломать его и после чего установить на него троян! Как доктор веб смог пропустить столько троянов я незнаю! Может установить другой антивирус? Провер компьютер AVZ вот собственно и информация опроверки :

Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 17.12.2008 16:18:26
Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 70476
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0751C0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8054C1C0
KiST = 80500FD8 (284)
Функция NtClose (19) перехвачена (805A14AE->F73DE818), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8060149C->F73DE7D0), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtCreatePagingFile (2D) перехвачена (805905CC->F73D2A20), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80601CB8->F73D32A8), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (80601F18->F73DE910), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80602750->F73DE794), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80602A66->F73D32C8), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (805FF860->F73DE866), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtSetSystemPowerState (F1) перехвачена (80631348->F73DE0B0), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (805FFE24->F742E19A), перехватчик spjk.sys
Проверено функций: 284, перехвачено: 10, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86F6C1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86F6C1F8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 27
Количество загруженных модулей: 233
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\komputer\Local Settings\Temp\~DFD840.tmp
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 146867, извлечено из архивов: 113459, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 17.12.2008 17:05:23
Сканирование длилось 00:46:58
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

Да но вроде бы все утихло! Но потом вдруг опять появилось это сообщение http://s46.radikal.ru/i112/0812/a9/fd775a229e6e.jpg посмотрел через APS вроде ничего не наблюдается! Что делать! Видимо я закрыл доступ к портам но трояны остались! Что посоветуете очень надеюсь на вашу помощь!

BIG · 17.12.2008, 23:30

1 Ставь другой антивирус - например ESET-NOD32-Smart-Security
2 Ставь фаэрвол - http://firewallforum.ru/
3 Почитай - http://virusinfo.info/showthread.php?t=1431
4 Напеши сюда http://virusinfo.info/forumdisplay.php?f=46, главное соблюдай правила - http://virusinfo.info/showthread.php?t=1235
Здесь проверят твой комп на вирусы и на вредоносные программы и помогут удалить (здесь крутые спецы по защите)

monte-kristo · 17.12.2008, 23:52

Спасибо огромное! Прошу извинить меня за столь "корявый" следующий текст!
Но у меня такой вопрос: мне мастера приходившие подключать карбину сказали что бы я снес свой аваст и установил доктор веба мол они будут конфликтовать! Мне показалось это... го все же установил! Мне можно теперь то снести этот доктор веб и поставить что нибудь другое!
Насчет спецов это бесплатно и у меня стоит виндувс левый

Denesis · 18.12.2008, 00:53

Установи себе NOD32 и Outpost Firewall PRO 4. Я бы рекомендовал такую конфигурацию обороны:). Файерволл не пропустит к тебе никого, да и еще выдаст его IP и заблокирует доступ от это адреса навсегда. Ставь.

Цитата:

Насчет спецов это бесплатно и у меня стоит виндувс левый

Здесь все нормально. Только Вальдемар правильно сказал - правила строго соблюдай.

monte-kristo · 18.12.2008, 23:15

Простите но я не совсем понял "бесплатно ли спецы"
И если я снесу веба не чего не случится!

BIG · 18.12.2008, 23:18

Цитата:

Сообщение от monte-kristo

Простите но я не совсем понял "бесплатно ли спецы"
И если я снесу веба не чего не случится!

Спецы бесплатные.
Нечего не случится.

monte-kristo · 18.12.2008, 23:21

Вот спасибо + 1 естественно!

17.12.2008, 18:16	#1 (ссылка)
monte-kristo Новичок Регистрация: 15.11.2008 Сообщений: 1,040 Репутация: 40	Хакеры атакуют! Значит стоит у меня докрор веб последней версии (с сайта карбины) далее у меня стало часто появляться сообщение такого рода [img][/img]http://s46.radikal.ru/i112/0812/a9/fd775a229e6e.jpg[img][/img] Сначала я его проигнорировал но затем извлек из этого что моим компьютером пользуются! Далее скачал APS и включил ее. Минут через десять компьютер запищал и выдал сигнал о тревоге (проникновения) И выдалось примерно 40 атак! Начал закрывать доступ к портам TCP и UDP обнаружилось что у меня сидет три хакера! Попробовал закрыть доступ и им! Незнаю закрылся им доступ или нет но после повторного входа в APS о них ничего не упоминалось! Насколько я знаю чтобы управлять компьютером нужно взломать его и после чего установить на него троян! Как доктор веб смог пропустить столько троянов я незнаю! Может установить другой антивирус? Провер компьютер AVZ вот собственно и информация опроверки : Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Протокол антивирусной утилиты AVZ версии 4.30 Сканирование запущено в 17.12.2008 16:18:26 Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09 Загружены микропрограммы эвристики: 370 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 70476 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено Версия Windows: 5.1.2600, Service Pack 1 ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Драйвер успешно загружен SDT найдена (RVA=0751C0) Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 SDT = 8054C1C0 KiST = 80500FD8 (284) Функция NtClose (19) перехвачена (805A14AE->F73DE818), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный Функция NtCreateKey (29) перехвачена (8060149C->F73DE7D0), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный Функция NtCreatePagingFile (2D) перехвачена (805905CC->F73D2A20), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный Функция NtEnumerateKey (47) перехвачена (80601CB8->F73D32A8), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный Функция NtEnumerateValueKey (49) перехвачена (80601F18->F73DE910), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный Функция NtOpenKey (77) перехвачена (80602750->F73DE794), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный Функция NtQueryKey (A0) перехвачена (80602A66->F73D32C8), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный Функция NtQueryValueKey (B1) перехвачена (805FF860->F73DE866), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный Функция NtSetSystemPowerState (F1) перехвачена (80631348->F73DE0B0), перехватчик C:\WINDOWS\System32\Drivers\d347bus.sys, драйвер опознан как безопасный Функция NtSetValueKey (F7) перехвачена (805FFE24->F742E19A), перехватчик spjk.sys Проверено функций: 284, перехвачено: 10, восстановлено: 0 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 Проверка IDT и SYSENTER завершена 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM Драйвер успешно загружен 1.5 Проверка обработчиков IRP \FileSystem\ntfs[IRP_MJ_CREATE] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_WRITE] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_EA] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86F6C1F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_PNP] = 86F6C1F8 -> перехватчик не определен Проверка завершена 2. Проверка памяти Количество найденных процессов: 27 Количество загруженных модулей: 233 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Documents and Settings\komputer\Local Settings\Temp\~DFD840.tmp Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX Проверка завершена 9. Мастер поиска и устранения проблем >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 146867, извлечено из архивов: 113459, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 17.12.2008 17:05:23 Сканирование длилось 00:46:58 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info Да но вроде бы все утихло! Но потом вдруг опять появилось это сообщение http://s46.radikal.ru/i112/0812/a9/fd775a229e6e.jpg посмотрел через APS вроде ничего не наблюдается! Что делать! Видимо я закрыл доступ к портам но трояны остались! Что посоветуете очень надеюсь на вашу помощь!

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Атакуют exe. файлики О_о	Andersen13	Безопасность	1	24.12.2010 21:47
Сайт Касперского взломали хакеры	Pavlucha	Компьютерные новости	4	28.10.2010 14:33
Вирусы атакуют!	Molli	Безопасность	24	14.10.2010 15:58
В Москве задержаны хакеры-вымогатели	piton331	Компьютерные новости	19	11.09.2010 18:55
Хелп, вирусы атакуют((((	Billowed	Безопасность	3	27.04.2010 18:15
Вирусы атакуют!	Zloy	Безопасность	15	31.10.2009 01:03
Декабрь 2007: хакеры в маске Санты атакуют	shinna	Компьютерные новости	0	12.01.2008 17:07

17.12.2008, 23:30	#2 (ссылка)
BIG Новичок Регистрация: 10.10.2008 Сообщений: 940 Репутация: 8	1 Ставь другой антивирус - например ESET-NOD32-Smart-Security 2 Ставь фаэрвол - http://firewallforum.ru/ 3 Почитай - http://virusinfo.info/showthread.php?t=1431 4 Напеши сюда http://virusinfo.info/forumdisplay.php?f=46, главное соблюдай правила - http://virusinfo.info/showthread.php?t=1235 Здесь проверят твой комп на вирусы и на вредоносные программы и помогут удалить (здесь крутые спецы по защите)

17.12.2008, 23:52	#3 (ссылка)
monte-kristo Новичок Регистрация: 15.11.2008 Сообщений: 1,040 Репутация: 40	Спасибо огромное! Прошу извинить меня за столь "корявый" следующий текст! Но у меня такой вопрос: мне мастера приходившие подключать карбину сказали что бы я снес свой аваст и установил доктор веба мол они будут конфликтовать! Мне показалось это... го все же установил! Мне можно теперь то снести этот доктор веб и поставить что нибудь другое! Насчет спецов это бесплатно и у меня стоит виндувс левый

18.12.2008, 23:15	#5 (ссылка)
monte-kristo Новичок Регистрация: 15.11.2008 Сообщений: 1,040 Репутация: 40	Простите но я не совсем понял "бесплатно ли спецы" И если я снесу веба не чего не случится!

18.12.2008, 23:21	#7 (ссылка)
monte-kristo Новичок Регистрация: 15.11.2008 Сообщений: 1,040 Репутация: 40	Вот спасибо + 1 естественно!

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads