-
Junior Member
- Вес репутации
- 61
опять Brontok и странные атаки
Буквально неделю назад обращалась к Вам за помощью.
Комп вроде успешно почистили от всякой пакости, но на следующий же день снова вылез Бронток. Каспер его успешно блокирует, но судя по его логу, Бронток все лезет и лезет.
С отключенными уведомлениями это не очень мешает, Каспер даже не считает его за разные вирусы, один раз посчитал и дальше просто блокирует. Но вообще напрягает, что он все-таки жив.
Проверка CureIt показала, что все чисто, проверка AVZ сигнализирует о каких-то атаках.
Помогите пожалуйста.
Лог прилагаю
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
бронтока я не увидел, наверно засыпаю Однако вот эти файлы знаете от чего :
C:\subnet31.bat
C:\windows\system32\DRIVERS\dsnpfd.sys
P.S.Не знал, что AVZ атаки обнаруживает , мы об одном и том же AVZ говорим ? Возможно в будущем ...
Последний раз редактировалось drongo; 03.10.2007 в 01:47.
-
-
Junior Member
- Вес репутации
- 61
И как переводить Ваш ответ?
Сообщение от
drongo
бронтока я не увидел, наверно засыпаю
цитата из лога Каспера:
01.10.2007 0:06:23 Файл C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\Моя музыка\Моя музыка.exe, обнаружено: вирус 'Email-Worm.Win32.Brontok.q'. Пользователь: ***, компьютер:localhost.
01.10.2007 0:06:23 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
01.10.2007 0:06:23 Файл C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\Моя музыка\Моя музыка.exe удален.
01.10.2007 0:06:29 Файл C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\Моя музыка\Sync Playlists\4655F8\4655F8.exe, обнаружено: вирус 'Email-Worm.Win32.Brontok.q'. Пользователь: ***, компьютер:localhost.
01.10.2007 0:06:29 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
01.10.2007 0:06:29 Файл C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\Моя музыка\Sync Playlists\4655F8\4655F8.exe удален.
(Пользователя на всякий случай заменила звездочками)
Вот, что происходит. И так много раз. Правда за 2.10 и 3.10 ничего нет, но поскольку эти сообщения каспера многажды повторяются, наводит на мысль, что бронток где-то жив. Поправьте меня, если я не права
Сообщение от
drongo
Однако вот эти файлы знаете от чего :
C:\subnet31.bat
C:\windows\system32\DRIVERS\dsnpfd.sys
Нет, не знаю. Я чайник. Надеюсь, Вы мне скажете.
Сообщение от
drongo
P.S.Не знал, что AVZ атаки обнаруживает , мы об одном и том же AVZ говорим ? Возможно в будущем ...
Цитата из лога AVZ:
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (40 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->7C882FEC
Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C882F9C
Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C882FB0
и дальше:
Функция NtCreateSection (32) перехвачена (80564B1B->F157B3E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSymbolicLinkObject (34) перехвачена (805A27B0->F157B030), перехватчик C:\WINDOWS\system32\drivers\klif.sys
это что значит? в прошлый раз он никого не перехватывал и не вопил.
Ну так что вы скажете?
-
Avz ни о каких атаках не сигнализирует ... (не умеет, пока) ...
что касается перехватов .... это перехваты от касперского ... который у вас и установлен ... так что не стоит беспокоится ...
что скажете о файлах C:\subnet31.bat
C:\windows\system32\DRIVERS\dsnpfd.sys ?
-
-
что скажете о файлах C:\subnet31.bat
C:\windows\system32\DRIVERS\dsnpfd.sys ?
См. ответ выше.
Нет, не знаю. Я чайник. Надеюсь, Вы мне скажете.
-
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\subnet31.bat','');
QuarantineFile('C:\windows\system32\DRIVERS\dsnpfd.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Есть вариант проверки чистым Cure-it, записанным на другом компьютере, с загрузкой с CD. Выполнить полную, не экспресс-проверку, не трогая этих ехе-файлов руками во время проверки.
Лог Cure-it приложить сюда.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Что-то мне думается, что папки просто расшарены на запись всем кто хочет , таким образом червь туда себя копирует- каспер находит и удаляет.
-
-
Junior Member
- Вес репутации
- 61
Файл с карантином прислала, лог cureit пришлю либо позже сегодня, если смогу найти комп, либо завтра вечером.
Добавлено через 1 минуту
Сообщение от
drongo
Что-то мне думается, что папки просто расшарены на запись всем кто хочет , таким образом червь туда себя копирует- каспер находит и удаляет.
комп домашний... подключен к фтпшной сети провайдера и все. на кого тут расшаривать папки?
Последний раз редактировалось pilot_bagira; 03.10.2007 в 23:37.
Причина: Добавлено
-
pilot_bagira у вас мобильний телефон, mp3-player, смартфон, флешка есть??? Если да, тогда просканируйте их своим антивирусом...
Последний раз редактировалось Muffler; 03.10.2007 в 23:52.
-
-
dsnpfd.sys - чистый по вирустотал ...
subnet31.bat - в карантин не попал ... попробуйте поискать его через AVZ -cepвмс - поиск файлов на диске ....
если найдется пришлите по правилам ...
-
-
Junior Member
- Вес репутации
- 61
2 Muffler сканировала. каспер утверждает, все чисто
2 V_Bond AVZ subnet31.bat не нашел
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-