Показано с 1 по 13 из 13.

опять Brontok и странные атаки (заявка № 12887)

  1. #1
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    12
    Вес репутации
    38

    Question опять Brontok и странные атаки

    Буквально неделю назад обращалась к Вам за помощью.
    Комп вроде успешно почистили от всякой пакости, но на следующий же день снова вылез Бронток. Каспер его успешно блокирует, но судя по его логу, Бронток все лезет и лезет.
    С отключенными уведомлениями это не очень мешает, Каспер даже не считает его за разные вирусы, один раз посчитал и дальше просто блокирует. Но вообще напрягает, что он все-таки жив.
    Проверка CureIt показала, что все чисто, проверка AVZ сигнализирует о каких-то атаках.

    Помогите пожалуйста.
    Лог прилагаю

    virusinfo_syscheck.zip

    virusinfo_syscure.zip

    hijackthis.log

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    бронтока я не увидел, наверно засыпаю Однако вот эти файлы знаете от чего :
    C:\subnet31.bat
    C:\windows\system32\DRIVERS\dsnpfd.sys

    P.S.Не знал, что AVZ атаки обнаруживает , мы об одном и том же AVZ говорим ? Возможно в будущем ...
    Последний раз редактировалось drongo; 03.10.2007 в 00:47.

  4. #3
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    12
    Вес репутации
    38
    И как переводить Ваш ответ?

    Цитата Сообщение от drongo Посмотреть сообщение
    бронтока я не увидел, наверно засыпаю
    цитата из лога Каспера:
    01.10.2007 0:06:23 Файл C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\Моя музыка\Моя музыка.exe, обнаружено: вирус 'Email-Worm.Win32.Brontok.q'. Пользователь: ***, компьютер:localhost.
    01.10.2007 0:06:23 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
    01.10.2007 0:06:23 Файл C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\Моя музыка\Моя музыка.exe удален.
    01.10.2007 0:06:29 Файл C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\Моя музыка\Sync Playlists\4655F8\4655F8.exe, обнаружено: вирус 'Email-Worm.Win32.Brontok.q'. Пользователь: ***, компьютер:localhost.
    01.10.2007 0:06:29 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
    01.10.2007 0:06:29 Файл C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\Моя музыка\Sync Playlists\4655F8\4655F8.exe удален.


    (Пользователя на всякий случай заменила звездочками)
    Вот, что происходит. И так много раз. Правда за 2.10 и 3.10 ничего нет, но поскольку эти сообщения каспера многажды повторяются, наводит на мысль, что бронток где-то жив. Поправьте меня, если я не права

    Цитата Сообщение от drongo Посмотреть сообщение
    Однако вот эти файлы знаете от чего :
    C:\subnet31.bat
    C:\windows\system32\DRIVERS\dsnpfd.sys
    Нет, не знаю. Я чайник. Надеюсь, Вы мне скажете.

    Цитата Сообщение от drongo Посмотреть сообщение
    P.S.Не знал, что AVZ атаки обнаруживает , мы об одном и том же AVZ говорим ? Возможно в будущем ...
    Цитата из лога AVZ:
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:GetProcAddress (40 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->7C882FEC
    Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C882F9C
    Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C882FB0

    и дальше:
    Функция NtCreateSection (32) перехвачена (80564B1B->F157B3E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
    Функция NtCreateSymbolicLinkObject (34) перехвачена (805A27B0->F157B030), перехватчик C:\WINDOWS\system32\drivers\klif.sys

    это что значит? в прошлый раз он никого не перехватывал и не вопил.

    Ну так что вы скажете?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Avz ни о каких атаках не сигнализирует ... (не умеет, пока) ...
    что касается перехватов .... это перехваты от касперского ... который у вас и установлен ... так что не стоит беспокоится ...
    что скажете о файлах C:\subnet31.bat
    C:\windows\system32\DRIVERS\dsnpfd.sys ?

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    что скажете о файлах C:\subnet31.bat
    C:\windows\system32\DRIVERS\dsnpfd.sys ?
    См. ответ выше.

    Нет, не знаю. Я чайник. Надеюсь, Вы мне скажете.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\subnet31.bat','');
     QuarantineFile('C:\windows\system32\DRIVERS\dsnpfd.sys','');     
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Есть вариант проверки чистым Cure-it, записанным на другом компьютере, с загрузкой с CD. Выполнить полную, не экспресс-проверку, не трогая этих ехе-файлов руками во время проверки.
    Лог Cure-it приложить сюда.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Что-то мне думается, что папки просто расшарены на запись всем кто хочет , таким образом червь туда себя копирует- каспер находит и удаляет.

  10. #9
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    12
    Вес репутации
    38
    Файл с карантином прислала, лог cureit пришлю либо позже сегодня, если смогу найти комп, либо завтра вечером.

    Добавлено через 1 минуту

    Цитата Сообщение от drongo Посмотреть сообщение
    Что-то мне думается, что папки просто расшарены на запись всем кто хочет , таким образом червь туда себя копирует- каспер находит и удаляет.
    комп домашний... подключен к фтпшной сети провайдера и все. на кого тут расшаривать папки?
    Последний раз редактировалось pilot_bagira; 03.10.2007 в 22:37. Причина: Добавлено

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    827
    pilot_bagira у вас мобильний телефон, mp3-player, смартфон, флешка есть??? Если да, тогда просканируйте их своим антивирусом...
    Последний раз редактировалось Muffler; 03.10.2007 в 22:52.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    dsnpfd.sys - чистый по вирустотал ...
    subnet31.bat - в карантин не попал ... попробуйте поискать его через AVZ -cepвмс - поиск файлов на диске ....
    если найдется пришлите по правилам ...

  13. #12
    Junior Member Репутация
    Регистрация
    25.09.2007
    Сообщений
    12
    Вес репутации
    38
    2 Muffler сканировала. каспер утверждает, все чисто

    2 V_Bond AVZ subnet31.bat не нашел

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) pilot_bagira, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Brontok.q отчет
      От Олег Жуков в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 19.10.2010, 07:07
    2. опять-таки атаки i-connect и z-connect
      От Sopromat в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.06.2009, 18:10
    3. Опять беспрерывные атаки трояна Win32/Agent.NVL!
      От antonina-club в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 07.03.2009, 10:04
    4. опять ЦП загружен на 100%. Опять вирус?
      От cosack в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.10.2008, 21:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01099 seconds with 17 queries