опять Brontok и странные атаки

[pilot_bagira]

Буквально неделю назад обращалась к Вам за помощью.
Комп вроде успешно почистили от всякой пакости, но на следующий же день снова вылез Бронток. Каспер его успешно блокирует, но судя по его логу, Бронток все лезет и лезет.
С отключенными уведомлениями это не очень мешает, Каспер даже не считает его за разные вирусы, один раз посчитал и дальше просто блокирует. Но вообще напрягает, что он все-таки жив.
Проверка CureIt показала, что все чисто, проверка AVZ сигнализирует о каких-то атаках.

Помогите пожалуйста.
Лог прилагаю

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[drongo]

бронтока я не увидел, наверно засыпаю Однако вот эти файлы знаете от чего :
C:\subnet31.bat
C:\windows\system32\DRIVERS\dsnpfd.sys

P.S.Не знал, что AVZ атаки обнаруживает , мы об одном и том же AVZ говорим ? Возможно в будущем ...

[pilot_bagira]

И как переводить Ваш ответ?

бронтока я не увидел, наверно засыпаю

цитата из лога Каспера:
01.10.2007 0:06:23 Файл C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\Моя музыка\Моя музыка.exe, обнаружено: вирус 'Email-Worm.Win32.Brontok.q'. Пользователь: ***, компьютер:localhost.
01.10.2007 0:06:23 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
01.10.2007 0:06:23 Файл C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\Моя музыка\Моя музыка.exe удален.
01.10.2007 0:06:29 Файл C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\Моя музыка\Sync Playlists\4655F8\4655F8.exe, обнаружено: вирус 'Email-Worm.Win32.Brontok.q'. Пользователь: ***, компьютер:localhost.
01.10.2007 0:06:29 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
01.10.2007 0:06:29 Файл C:\DOCUMENTS AND SETTINGS\ALL USERS\ДОКУМЕНТЫ\Моя музыка\Sync Playlists\4655F8\4655F8.exe удален.


(Пользователя на всякий случай заменила звездочками)
Вот, что происходит. И так много раз. Правда за 2.10 и 3.10 ничего нет, но поскольку эти сообщения каспера многажды повторяются, наводит на мысль, что бронток где-то жив. Поправьте меня, если я не права

Однако вот эти файлы знаете от чего :
C:\subnet31.bat
C:\windows\system32\DRIVERS\dsnpfd.sys

Нет, не знаю. Я чайник. Надеюсь, Вы мне скажете.

P.S.Не знал, что AVZ атаки обнаруживает , мы об одном и том же AVZ говорим ? Возможно в будущем ...

Цитата из лога AVZ:
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (40 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->7C882FEC
Функция kernel32.dlloadLibraryA (57 перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C882F9C
Функция kernel32.dlloadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C882FB0

и дальше:
Функция NtCreateSection (32) перехвачена (80564B1B->F157B3E0), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSymbolicLinkObject (34) перехвачена (805A27B0->F157B030), перехватчик C:\WINDOWS\system32\drivers\klif.sys

это что значит? в прошлый раз он никого не перехватывал и не вопил.

Ну так что вы скажете?

[V_Bond]

Avz ни о каких атаках не сигнализирует ... (не умеет, пока) ...
что касается перехватов .... это перехваты от касперского ... который у вас и установлен ... так что не стоит беспокоится ...
что скажете о файлах C:\subnet31.bat
C:\windows\system32\DRIVERS\dsnpfd.sys ?

[Макcим]

что скажете о файлах C:\subnet31.bat
C:\windows\system32\DRIVERS\dsnpfd.sys ?

См. ответ выше.

Нет, не знаю. Я чайник. Надеюсь, Вы мне скажете.

[V_Bond]

выполните скрипт ....

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\subnet31.bat','');
 QuarantineFile('C:\windows\system32\DRIVERS\dsnpfd.sys','');     
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[PavelA]

Есть вариант проверки чистым Cure-it, записанным на другом компьютере, с загрузкой с CD. Выполнить полную, не экспресс-проверку, не трогая этих ехе-файлов руками во время проверки.
Лог Cure-it приложить сюда.

[drongo]

Что-то мне думается, что папки просто расшарены на запись всем кто хочет , таким образом червь туда себя копирует- каспер находит и удаляет.

[pilot_bagira]

Файл с карантином прислала, лог cureit пришлю либо позже сегодня, если смогу найти комп, либо завтра вечером.

Добавлено через 1 минуту

Что-то мне думается, что папки просто расшарены на запись всем кто хочет , таким образом червь туда себя копирует- каспер находит и удаляет.

комп домашний... подключен к фтпшной сети провайдера и все. на кого тут расшаривать папки?

[Muffler]

pilot_bagira у вас мобильний телефон, mp3-player, смартфон, флешка есть??? Если да, тогда просканируйте их своим антивирусом...

[V_Bond]

dsnpfd.sys - чистый по вирустотал ...
subnet31.bat - в карантин не попал ... попробуйте поискать его через AVZ -cepвмс - поиск файлов на диске ....
если найдется пришлите по правилам ...

[pilot_bagira]

2 Muffler сканировала. каспер утверждает, все чисто

2 V_Bond AVZ subnet31.bat не нашел

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения вредоносные программы в карантинах не обнаружены