И снова звонилка i-Dialer.

Printable View

15.01.2007, 21:51
Pavel Taranenko

Вложений: 3

И снова звонилка i-Dialer.

Здравствуйте!

1. В системном каталоге Temp Плодятся со страшной силой с именами win***.tmp (чаще всего размером 0 байт)
Эти файлы появляются по 6 штук раз в две минуты

2. Иногда там же появляются файлы типа idd4.tmp.exe и win3tmp.exe
Эти же файлы становятся видны в диспетчере задач по Ctrl-Alt-Del

3. В трее рядом с часами самопроизвольно возникает иконка земного
шара с крестиком. По правой кнопке доступно меню Connect и Exit

4. В сетевом окружении появляется новое соединение с именем i-Dialer

Эта тема уже поднималась выше.
см. "Не могу избавится от Dialer.iDialer"
и "Помогите!!! i-Dialer и прочие..."

Судя по сообщениям в этих темах, и из анализа результатов
проверки, в моем случае скорее всего вирус содержится в файле d:\windows\system32\winghy32.dll

Написать и выполнить скрипт удаления этого файла я смогу сам.
Что-то еще нужно делать?

С уважением, Павел Тараненко
15.01.2007, 22:21
anton_dr

Выполните в АВЗ скрипт[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\winghy32.dll','');
QuarantineFile('d:\windows\system32\ufdsvc.exe','');
DeleteFile('D:\WINDOWS\system32\winghy32.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Карантин пришлите согласно приложению 2 правил.

Пофиксите строки
[CODE]O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/7139590636ec2cf4d0e86a6f561519b6_2065.exe
O20 - Winlogon Notify: winghy32 - D:\WINDOWS\SYSTEM32\winghy32.dll[/CODE]
16.01.2007, 20:22
Pavel Taranenko

Файлы пофиксил, скрипт выполнил, архив выслал.

Здравствуйте!
Во-первых, огромное спасибо за внимание и за помощь.

1. Файлы пофиксил.

2. Скрипт выполнен успешно.

3. Компьютер стал перезагружаться, все программы закрылись
и на экране остался только рабочий стол без панели задач
и ярлыков.
Я подождал немного (2-3 минуты), попробовал Ctrl-Alt-Del - он не реагировал.
Перезагрузил компьютер Reset'ом.
После перезагрузки Windows нашла "неизвестное устройство"
и спросила о драйверах.
Я ответил отменой, после этого в диспетчере устройств появилось
неизвестное устройство с желтым вопросом. Я его удалил.

3. Архив с файлами выслал согласно инструкциям.

С уважением, Павел Тараненко
16.01.2007, 20:41
drongo

Так рабочий стол есть или его нет ? Если нет , то авз ->восстановление настроек системы .
сначала я бы выбрал 6 и 9 ,нажать на выполнение , перегрузить windows а после перезагрузки 5 и 8 и перегрузка .
Да , если рабочего стола нет , чтобы запустить авз , надо нажать Ctrl Alt Del вместе . Выбрать новую задачу (New task) и оттуда выбрать avz .
16.01.2007, 21:17
Pavel Taranenko

Рабочий стол есть. Все в порядке

Все, до меня дошло.

После выполнения скрипта в авз программа выдала
"скрипт выполнен успешно" и отправила виндовс на перезагрузку.

Но самостоятельно комп не перегрузился.
На экране я увидел только обои. Без ярлыков и без панели задач.

Компьютер не завис, т.к. клавиатура работала
(я всегда это проверяю клавишей Num Lock)

но на Ctrl-Alt-Del никакой реакции не было.
Пришлось помочь Reset'ом

После перзагрузки рабочий стол есть. Все в порядке.

С уважением, Павел Тараненко

После перзагрузки рабочий стол есть. Все в порядке.
16.01.2007, 21:21
drongo

"Но самостоятельно комп не перегрузился."
Это плохо , должен сам . Я бы ещё прошёлся tuneup utilities , подчистить немного систему . Там есть автоматическое сохранение всего удаляемого . За пару лет , ещё ничего лишнего не удалила .
21.01.2007, 19:20
Pavel Taranenko

О следах после лечения от I-Dialer

Здравствуйте!

1.
16.01.2007 я высылал архив
Файл сохранён как 070116_110745_virus_45ad0661b6e60.zip
Размер файла 44734
MD5 06481ed1a4d063bb4d06a2ac4e1cb420
Архив содержал 2 файла.
winghy32.dll
ufdsvc.exe
По первому файлу у меня вопросов нет.
Второй файл оказался чистым? или нет?

2.
После чистки у меня в системе остались следы вируса
а) Internet Explorer -> Сервис -> Свойства обозревателя
-> Подключения
На этой вкладке в окошке "Настройка удаленного подключения
и виртуальных частных сетей" нужно удалить вручную соединение
с именем I-Dialer (как вариант, CoolWeb)
б) Проверить: Сетевое окружение -> Отобразить сетевые подключения
Если есть соединение с именем I-Dialer, то удалить его

3.
Я решил почистить реестр. Для его чистки я использовал программу RegDoctor. Вот что она нашла:

MainKey=-2147483647
KeyName=d:\TEMP\idd4.tmp.exe
KeyValue=d:\TEMP\idd4.tmp.exe
Section=Application Paths
FullKeyPath=Software\Microsoft\Windows\ShellNoRoam\MUICache
MainKeyName=HKEY_CURRENT_USER

С уважением, Павел Тараненко.
22.02.2009, 01:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\winghy32.dll - [B]Packed.Win32.Klone.g[/B] (DrWEB: Trojan.Mezzia)[/LIST][/LIST]