-
Вложений: 3
Похоже на i-Dialer
Доброго времени суток!
Будьте добры, помогите с моей проблемой. Где-то поймал сегодня i-Dialer. :( Появлялся в трее и пытался набрать номер. Сначала в Windows\Temp были парочка exe-шников (по описанной кем-то ранее симптоматике - точно i-Dialer) и клонируются файлы win***.tmp. Сейчас кружок с красным крестом уже не выскакивает, exe-шники в Temp не появляются, зато при загрузке системы в трее кружок с восклицательным знаком, при открытии которого выскакивает какое-то окно "Spyware Detection Alert". К сожалению, не получается прикрепить иллюстрации.
И в Windows\Temp продолжают безудержно клонироваться файлы win***.tmp.
Все логи прикрепил.
Спасибо заранее!
-
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
QuarantineFile('C:\Program Files\REWARD\CMS32_NT.DLL','');
QuarantineFile('C:\WINDOWS\system32\winyqq32.dll','');
QuarantineFile('C:\WINDOWS\system32\drvbah.dll','');
QuarantineFile('C:\WINDOWS\system32\svchosts.exe','')
QuarantineFile('C:\WINDOWS\system32\TosCommAPI.dll','')
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 2 правил , с пятого пункта.
-
Добрый день!
Вчера отправил карантин.
-
В присланном по Касперскому:
C:\WINDOWS\system32\rpcc.dll------- Trojan-Proxy.Win32.Dlerna.bi
C:\WINDOWS\system32\winyqq32.dll-- Trojan-Win32.Agent.qt
C:\WINDOWS\system32\drvbah.dll----- Trojan-Win32.Agent.qt
-
-
В программе Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] строки:[code]O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: winyqq32 - C:\WINDOWS\SYSTEM32\winyqq32.dll[/code] Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\rpcc.dll');
DeleteFile('C:\WINDOWS\system32\winyqq32.dll');
DeleteFile('C:\WINDOWS\system32\drvbah.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки сделайте новые логи ( п.п. 8-13 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] )
-
Вложений: 3
Строки профиксил, скрипт выполнил.
"Беда" с восклицательным знаком пропала. Больше не размножаются файлы в Temp-е.
СПАСИБО ОГРОМНОЕ ЧЕЛОВЕЧЕЧКОЕ!!!
Высылаю новые логи, как и просили.
-
В программе Hijackthis пофиксите строки [code]O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O20 - Winlogon Notify: winyqq32 - winyqq32.dll (file missing)[/code] Для вот этой службы - [code]O23 - Service: Reset 5[/code] - я знаю только одно применение: снятие 30-дневного ограничения на использование Windows XP SP1. У вас, судя по логам, SP2 - на нем эта штука не работает. Если захотите удалить - "Пуск" - "выполнить" - выполните последовательно команды: [code]sc stop "Reset 5"
sc config "Reset 5" start= disabled
sc delete "Reset 5"[/code] В Hijackthis проверьте, если останутся, - пофиксите строки [code]O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe[/code] А так, вроде-бы, чисто.
-
Все сделал!
Спасибо огромное! За оперативность и профессионализм!
Сайту - респект!
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drvbah.dll - [B]Trojan.Win32.Dialer.qn[/B] (DrWEB: Trojan.Fakealert.249)[*] c:\\windows\\system32\\rpcc.dll - [B]Trojan-Proxy.Win32.Dlena.bi[/B] (DrWEB: Trojan.Spambot)[*] c:\\windows\\system32\\winyqq32.dll - [B]Trojan.Win32.Dialer.qn[/B] (DrWEB: Trojan.Mezzia)[/LIST][/LIST]
Page generated in 0.00267 seconds with 10 queries