【問題】BugBear B Worm Backdoor Usage 攻擊 ??

[schumacher]

1月3日電腦一直連續顯示數則已攔截"BugBear B Worm Backdoor Usage"

內容如下:
---
系統已偵測並攔截到嘗試從您的電腦發出的「BugBear B Worm Backdoor Usage」的入侵行為（目標為 203.73.69.150）。
入侵者：localhost(3256)。(1601)。(3262)。(2661)。(4375)。
風險等級：高。
通訊協定：TCP。
遭到攻擊的 IP：203.73.69.150。
遭到攻擊的通訊埠：socks(1080)。
----
大家發現了吧!
狀似是從我電腦的5個localhost port 持續發出訊息給203.73.69.150這個位址,然後被攔截下來!(沒錯吧)
動作訊息看起來又好像是某人在利用我的電腦當跳板再攻擊203.73.69.150這個位址!
若真是這樣,那完蛋了,我的私人訊息不就已經被看光光嚕qq

於是我就下載了賽門鐵克在2003年就已經提供的BugBear B清除工具,但該工具沒偵測到任何BugBear B...(可能太舊了巴,新出的類似變種才掃不到)
於是我直接在防火牆中限制禁止203.73.69.150,才暫時表面上解決此問題!

但要如何根本解決阿,看似是我電腦已被植入後門利用,請問這後門是有何目的,我要如何完整清除掉它...??

===

另外至從開始聖誕假期後,大地震後,最近常被造訪lol
這是敝人電腦最近10天被其它方式造訪的紀錄:
----
系統已偵測並攔截到嘗試對您的電腦所發出的「Portscan」入侵行為。
入侵者：219.129.78.227(4463)。
遭到攻擊的通訊埠：17789
入侵者：61.59.19.59(3666)。
遭到攻擊的通訊埠：50000。
入侵者：59.121.106.240(4140)。
遭到攻擊的通訊埠：63503

系統已偵測並攔截到嘗試對您的電腦所發出的「NMap Xmas Scan」入侵行為。
入侵者：219.139.202.186(20000)。
遭到攻擊的通訊埠：2239
入侵者：219.138.161.186(63179)。
遭到攻擊的通訊埠：8889
入侵者：221.232.163.247(56058)。
遭到攻擊的通訊埠：8889

系統已偵測並攔截到嘗試對您的電腦所發出的「HTTP MS Shell File Download Ext. Misrep.」入侵行為。
入侵者：58.215.82.22(http(80))。
遭到攻擊的通訊埠：3374。
入侵者：61.155.43.187(http(80))。
遭到攻擊的通訊埠：3302
入侵者：210.201.31.246(http-proxy(8080))。
遭到攻擊的通訊埠：1801

以上攻擊者IP位址應該都是跳板吧lol

NMap Xmas Scan是聖誕節日左右才會有的產物嗎??

[rien]

建議利用SREng log去分析所有載入程式，找出問題部分加以刪除

[esjustin]

應該是中了Trojan或Backdoor,用Kaspersky掃描看看 .

[schumacher]

有想過用SREng/combofix/IceSword...可是不是很想下手一一"...
因為怕發生意外=.=...畢竟自己不是很行^^"
不過若是別人的電腦就很有興趣去搞這些lol

我昨天用過Kaspersky和Bitdefender線上掃過了,完全all pass...
而且自從我封了該ip後就沒再發生BugBear B Worm Backdoor Usage了...

今天scs防火牆規則數也從年底時的66x增加到708了(驚人...)
其實我在懷疑根本是scs誤判lol