Dialer.iDialer

Printable View

25.01.2007, 19:51
spyder

Вложений: 3

Dialer.iDialer

Достал уже этот i-dialer. никак от него не избавиться, висит в трее и клонируется в temp'е. Антивирус NOD32 ничего не видит, Ad-Aware тоже.
25.01.2007, 20:41
Ego1st

выполните скрипт AVZ - файл - выполнить скрипт, копьютер перезагрузиться

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\vbsys2.dll','');
QuarantineFile('vidstub.sys','');
QuarantineFile('C:\WINDOWS\system32\winwly32.dll','');
QuarantineFile('c:\windows\system32\svchosts.exe','');
QuarantineFile('c:\windows\runservice.exe','');
DeleteFile('c:\windows\runservice.exe');
DeleteFile('c:\windows\system32\svchosts.exe');
DeleteFile('C:\WINDOWS\system32\winwly32.dll');
DeleteFile('C:\WINDOWS\System32\vbsys2.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

после перезагрузке файлы из папки AVZ - Quarantine - сегодняшнее число залейте по правилам приложения 2

пофиксите в HijackThis

[CODE]O3 - Toolbar: Starware316 - {9FB3908C-6565-4CB0-95F8-E9F85258723C} - C:\Program Files\Starware316\bin\Starware316.dll (file missing)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: winwly32 - C:\WINDOWS\SYSTEM32\winwly32.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000272 (file missing)
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe[/CODE]
25.01.2007, 20:46
PavelA

Хороший зоопарк АВЗ почистил, но дерьмецо еще осталось;)

1. AVZ Выполнить скрипт.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\CCCP_S~1\LOCALS~1\Temp\avz_3800_1.tmp','');
QuarantineFile('C:\PROGRA~1\SMSEXP~1\smsexpress.exe','');
QuarantineFile('C:\WINDOWS\System32\vbsys2.dll','');
QuarantineFile('C:\WINDOWS\system32\winwly32.dll','');
QuarantineFile('c:\windows\runservice.exe','');
DeleteFile('C:\WINDOWS\system32\winwly32.dll');
DeleteFile('winwly32.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После перезагрузки прислать карантин. Если будет пустой, то проделать это же в SafeMode ( F8 ) без AVZGuard
Если файлы найдутся, то сделать новые логи.

2. Слишком много всяких антивирусов установлено.:? Надо определяться с кем жить будете.
3. Пора уже SP2 ставить.>:(

@Ego1st Я еще чуток файлов добавил.
25.01.2007, 20:52
drongo

Хочу напомнить , что несколько антивирусов может привсети к неприятностям . Нод и битдефендор активны и ещё драйвер от касперского составляет им компанию ;)
C:\WINDOWS\System32\drivers\klif.sys ;D
25.01.2007, 21:13
spyder

у меня один антивирус. после удаления битдефендера куча мусора от него осталась, удалить надо. касперский стоял давным-давно, сейчас только Анти-Хакер стоит и все.
25.01.2007, 21:35
spyder

An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O16 - DPF: [QUOTE]{64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab)
Error #75 - Path/File access error

Please email me at [email][email protected][/email], reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan.
[/QUOTE]

вот хотел пофиксить в HijackThis... у меня проблема с этим файлом была еще когда проверял NOD'ом на вирусы систему, он не удалялся.
25.01.2007, 22:40
spyder

выслал, жду ответа
25.01.2007, 23:10
Shu_b

c:\windows\system32\svchosts.exe[CODE]AntiVir Found TR/Dldr.Agent.36864.5
ArcaVir Found nothing
Avast Found Win32:Agent-DXT
AVG Antivirus Found nothing
BitDefender Found Trojan.Downloader.Agent.ATO
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found Sandbox: W32/Softomate.II.dropper; [ General information ]

* File length: 36864 bytes.

[ Changes to filesystem ]
* Deletes file C:\WINDOWS\{837F873E-0000-1044--popo0000}.
* Creates directory C:\WINDOWS\{837F873E-0000-1044--popo0000}.
* Creates file C:\WINDOWS\{837F873E-0000-1044--popo0000}\directorexe.lzma.
* Creates file C:\WINDOWS\{837F873E-0000-1044--popo0000}\Update.exe.
* Deletes file C:\WINDOWS\{837F873E-0000-1044--popo0000}\directorexe.lzma.
* Deletes file C:\WINDOWS\{837F873E-0000-1044--popo0000}\directordll.lzma.

[ Changes to registry ]
* Creates key "HKLM\Software\HARDWARE\DESCRIPTION\System\CentralProcessor\0".
* Creates key "HKLM\Software\HARDWARE\DESCRIPTION\System".
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Run".
* Sets value "{837F873E-0000-1044--popo0000}"=""C:\WINDOWS\{837F873E-0000-1044--popo0000}\Update.exe" " in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Run".

[ Signature Scanning ]
* C:\WINDOWS\{837F873E-0000-1044--popo0000}\Update.exe (7168 bytes) : W32/Softomate.II.
VirusBuster Found nothing
VBA32 Found nothing[/CODE]
26.01.2007, 20:53
spyder

так, и что мне делать осталось? или все уже решено? вроде этот диалер больше не появляется
26.01.2007, 21:07
Ego1st

уже нечего делать ненадо=)) если сомневаетесь можете логи авз можете ещё раз кинуть...
22.02.2009, 01:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\svchosts.exe - [B]not-a-virus:AdWare.Win32.Mostofate.af[/B] (DrWEB: Trojan.MulDrop.5451)[*] c:\\windows\\system32\\winwly32.dll - [B]Trojan.Win32.Dialer.qn[/B] (DrWEB: Trojan.Mezzia)[/LIST][/LIST]