Need help with Dialer.Questo, Diealer.*

Просьба помочь в борьбе с трояном.

1. Начальные симптомы: а) в папке Windows\Temp все время стали появляться файлы tmp, которые Drweb SpiderNt определяет как
Dialer.Questo:
C:\WINDOWS\TEMP\idd818.tmp.exe - is a Dialer program Dialer.Questo
C:\WINDOWS\TEMP\idd818.tmp.exe - deleted
C:\WINDOWS\TEMP\idd81E.tmp.exe - is a Dialer program Dialer.Questo
C:\WINDOWS\TEMP\idd81E.tmp.exe - deleted
б) в сетевых соединениях (Network Connections) появился дополнительный
пункт CoolWeb (иконка с шариком), хотя я ничего такого не ставил. В свойствах этого соединения использован модем ноута, но номер для звонков вроде значится 0. :)
2. Самодеятельность в борьбе с вирусами: все сделал по инструкции
приведенной на сайте [URL]http://virusinfo.info/showthread.php?t=1235[/URL]
С отключенным DrWeb запустил AVZ, и он отловил
c:\windows\system32\winsgf32.dll
Virus=Packed.Win32.Klone.g, после чего засунул его в свои внутренние
папки.
Далее следует моя ошибка - a) залез в реестр и удалил самостоятельно
ключ HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsgf32, DLLName
б) удалил пункт CoolWeb из сетевых соединений.
3. Последствия: а) в каталоге Windows\Temp вышеуказанные файлы плодиться перестали
б) при вызове default browser'a (у меня стоит FireFox, а не IExplorer),
иногда возникает табличка с приглашением выбрать службу для дозвона по диалап-с какими-то из сайтов (конкретных имен не помню...:))
4. Просьба: помочь закончить лечение правильно. Логи до убития ключа и удаления CoolWeb прилагаю. Карантинные, вирусные и подозрительные папки, созданные AVZ не трогал.

Надеюсь на помощь добрых людей.
Пишите.
Удачи.

Прислать эти файлы согласно правилам:
C:\WINDOWS\System32\khooker.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\system32\bcmwltry.exe
winsgf32.dll

См. Приложение 2. Ссылка на тему: [url]http://virusinfo.info/showthread.php?t=7554[/url]

[quote=sergey_gum;91591]Прислать эти файлы согласно правилам:
C:\WINDOWS\System32\khooker.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\system32\bcmwltry.exe
winsgf32.dll[/quote]

ок, попробую.
только небольшой вопрос - насколько я понимаю
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\System32\sistray.EXE
это файлы от драйвера Sis-видеокарты моего ноутбука.
Они прописаны в ключе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
т.е. при запуске на startup они нужны машине.
Если я их загоню в карантин AVZ, есть ли гарантия, что мой ноут
запустится с работающей видеокартой после этого?:?
По поводу остального -
C:\PROGRA~1\MI3AA1~1\wcescomm.exe - программа от Microsoft Activesync - программы синхронизации с кпк (идет ли она в
комплекте с ПО или подброшена зловредным трояном, - не знаю:)).
запуск из
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
C:\WINDOWS\system32\bcmwltry.exe - программа для запуска USB-bluetooth адаптера (вероятнее всего, но на 100% не уверен)
тоже запускается из
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

p.s. Данный комментарий не есть мой отказ от помощи, а всего лишь попытка осторожного юзера разобраться в последствиях своих действий.
p.p.s. Занят выкладыванием файлов.:)

Всё запустится. В карантин файлы КОПИРУЮТСЯ, с оригиналами ничего не происходит.

[quote=sergey_gum;91591]Прислать эти файлы согласно правилам:
C:\WINDOWS\System32\khooker.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\system32\bcmwltry.exe
winsgf32.dll[/quote]

Запрошенные файлы запостил. С некоторыми изменениями.
Файлы
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\system32\bcmwltry.exe
ушли в архиве virus.zip
Файл
winsgf32.dll
ушел в архиве virus2.zip

Файл C:\WINDOWS\System32\khooker.exe куда-то делся и не находится ни средствами avz, ни средствами поиска Windows/программ файл- менеджеров.
Просмотрел закарантиненные файлы - там этот файл тоже отсутствует...
Потерялся, в-общем...:)
Как давно - не знаю...

[quote=pig;91617]См. Приложение 2. Ссылка на тему: [URL]http://virusinfo.info/showthread.php?t=7554[/URL][/quote]


Одно замечание по высланным файлам:

ссылка [URL]https://virusinfo.info/upload_virus.php[/URL] у меня не сработала,
все заслал по адресу
[URL]http://virusinfo.info/upload_virus.php[/URL]

Пишите.
Удачи.

А где там про HTTPS? В офлайновой версии, что ли?

нет, в онлайновой, в оффлайновой все в порядке.

В онлайновой тоже http: аж с 27 декабря, если не раньше.

[quote=pig;91705]В онлайновой тоже http: аж с 27 декабря, если не раньше.[/quote]
Возможно, но все таки, по ссылке [URL]http://virusinfo.info/showthread.php?t=4567[/URL]

Пункт 6 гласит:
6. Полученный файл отправьте через страницу
[URL]https://virusinfo.info/upload_virus.php[/URL] , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
(В самом крайнем случае, если отправка через страницу не работает, отправьте файл на адрес [EMAIL="[email protected]"][email protected][/EMAIL], указав в теле письма ссылку на тему, в которой просили прислать файлы.)

Но это, все-таки немного не по сути нашего основного разговора...;)
Есть ли каки-нибудь рекомендации в моем случае по поводу
долечивания компьютера?:)

[quote=Dimin75;91783]Возможно, но все таки, по ссылке [URL]http://virusinfo.info/showthread.php?t=4567[/URL]

Пункт 6 гласит:
6. Полученный файл отправьте через страницу
[URL]https://virusinfo.info/upload_virus.php[/URL] , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).[/quote]
Спасибо за сообщение, исправлено :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winsgf32.dll - [B]Packed.Win32.Klone.g[/B] (DrWEB: Trojan.Mezzia)[/LIST][/LIST]