Доброго времени суток,
После запуска системы постоянно вылазят иконки со стрелочками в трее, в папке Temp плодятся файлы win***.tmp. Судя по симптомам - звонилка i-Dialer. Логи прикрепил.
Printable View
Доброго времени суток,
После запуска системы постоянно вылазят иконки со стрелочками в трее, в папке Temp плодятся файлы win***.tmp. Судя по симптомам - звонилка i-Dialer. Логи прикрепил.
Логи большие - читать трудно. Пожалуйста, закрывайте все программы кроме браузера перед созданием логов. AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\MSNChatHook.dll','');
QuarantineFile('C:\WINDOWS\system32\sysenv.dll','');
QuarantineFile('C:\WINDOWS\system32\winwea32.dll','');
QuarantineFile('C:\WINDOWS\system32\ipworks5.dll','');
QuarantineFile('c:\windows\system32\ftpserv.exe','');
QuarantineFile('c:\windows\system32\freespace.exe','');
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите карантин AVZ, как написано в прил.2 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
Высылаю логи после повторного сканирования с закрытием всех программ, как вы просили
Карантин выслал
Eщё несколько файлов вызывают подозрение .
Bыполните скрипт :
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\temp\win207.tmp.exe','');
QuarantineFile('c:\windows\temp\iddbd7.tmp.exe','');
QuarantineFile('C:\Program Files\ClickToConvert\Uninstall.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_7987_quarantine.zip');
RebootWindows(true);
end.
[/code]
Загрузите файл virusinfo_7987_quarantine.zip из каталога AVZ через форму [url]http://virusinfo.info/upload_virus.php[/url], указав ссылку на тему [url]http://virusinfo.info/showthread.php?t=7987[/url]
Архив virusinfo_7987_quarantine.zip выслал
Нечистая сила :) , вот эти в карантин так и не попали :
c:\windows\temp\win207.tmp.exe
c:\windows\temp\iddbd7.tmp.exe
Если будут другие подобные файлы с двойным расширением пришлите тоже .
Найти любым способом и прислать в запароленном архиве , пароль как всегда : virus .
вот тут есть рекомендуемые способы поиска : [url]http://virusinfo.info/showthread.php?t=4567[/url]
Отправил карантин с теми файлами, которые просили
C:\WINDOWS\system32\winwea32.dll - Trojan.Win32.Agent.qt (по Касперскому) В программе Hijackthis пофиксите строчку [code]O20 - Winlogon Notify: winwea32 - C:\WINDOWS\SYSTEM32\winwea32.dll[/code] Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\winwea32.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, почистите каталог c:\windows\temp вручную, и понаблюдайте, будут ли продолжать появлятся файлы с двойным расширением. И еще, раз Avast не справляется, имеет смысл поставить, хотя бы на время, другой антивирус.
Поддерживаю Numb ,Очистить папку темп !!!
. Можно попробовать оналйн сканером от каспера , но я так понимаю в России за трафик платят :(
Почти все кроме одного win209.tmp.exe уже детектируются касперским .
Там порно-звонилкa: [b]Porn-Dialer.Win32.IDialer.m[/b]
Загрузчик гадости : [b]Trojan-Dropper.Win32.Agent.bbp[/b]
Cама гадость :[b] Packed.Win32.Klone.g ;Packed.Win32.Klone.t[/b]
Все, вроде убил гада :-) . Почистил temp и пофиксил через Hijackthis. Иконки со стрелочками больше не появляются.
СПАСИБО ВАМ ОГРОМНОЕ. Хорошо, что на свете есть не только нечистая сила, но и Добро :-)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winwea32.dll - [B]Trojan.Win32.Dialer.qn[/B] (DrWEB: Trojan.Mezzia)[*] c:\\windows\\temp\\iddbd7.tmp.exe - [B]not-a-virus:Porn-Dialer.Win32.IDialer.m[/B] (DrWEB: Dialer.Questo)[*] c:\\windows\\temp\\win207.tmp.exe - [B]Packed.Win32.Klone.g[/B] (DrWEB: Dialer.Mella)[*] \\iddbad.tmp.exe - [B]not-a-virus:Porn-Dialer.Win32.IDialer.m[/B] (DrWEB: Dialer.Questo)[*] \\iddbd7.tmp.exe - [B]not-a-virus:Porn-Dialer.Win32.IDialer.m[/B] (DrWEB: Dialer.Questo)[*] \\iddbff.tmp.exe - [B]not-a-virus:Porn-Dialer.Win32.IDialer.m[/B] (DrWEB: Dialer.Questo)[*] \\iddb1c.tmp.exe - [B]not-a-virus:Porn-Dialer.Win32.IDialer.m[/B] (DrWEB: Dialer.Questo)[*] \\iddcbe.tmp.exe - [B]not-a-virus:Porn-Dialer.Win32.IDialer.m[/B] (DrWEB: Dialer.Questo)[*] \\iddc91.tmp.exe - [B]not-a-virus:Porn-Dialer.Win32.IDialer.m[/B] (DrWEB: Dialer.Questo)[*] \\idd1.tmp.exe - [B]not-a-virus:Porn-Dialer.Win32.IDialer.m[/B] (DrWEB: Dialer.Questo)[*] \\idd2.tmp.exe - [B]not-a-virus:Porn-Dialer.Win32.IDialer.m[/B] (DrWEB: Dialer.Questo)[*] \\win1eb.tmp.exe - [B]Trojan-Dropper.Win32.Agent.bbp[/B] (DrWEB: Adware.Macfa)[*] \\win1f6.tmp.exe - [B]Packed.Win32.Klone.g[/B] (DrWEB: Dialer.Mella)[*] \\win202.tmp.exe - [B]Packed.Win32.Klone.t[/B] (DrWEB: Trojan.Mezzia)[*] \\win22f.tmp.exe - [B]Packed.Win32.Klone.g[/B] (DrWEB: Dialer.Mella)[*] \\win236.tmp.exe - [B]Packed.Win32.Klone.g[/B] (DrWEB: Dialer.Mella)[/LIST][/LIST]