И снова Dialer

Грузится в системный лоток программка idialer. Вижу файлы iddxx.tmp.exe и winxx.tmp.exe в папке WINDOWS/TEMP.
Антивирусник NOD не видит :'-(.
Сделала все согласно инструкции в безопасном режиме при отключенной опции восстановление системы ([URL="http://virusinfo.info/showthread.php?t=1235%29"]http://virusinfo.info/showthread.php?t=1235)[/URL]. Не помогло :'-(
Отправляю логи.
Помогите, пожалуйста.

Cure-It проверяли от Dr.Web.
Есле нет, то проверить.
Желательно в безопасном режиме.
Ссылка: [url]ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe[/url]

Качала, обновляла, в безопасном режиме запускала, всякую дрянь, связанную с этим вирусом находила, удаляла. Не помогло. Еще раз сделать?

AVZ -- Выполнить скрипт.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll','');
QuarantineFile('C:\WINDOWS\system32\winjks32.dll','');
DeleteFile('C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll');
DeleteFile('C:\WINDOWS\system32\winjks32.dll');
RebootWindows(true);
end.[/CODE]
После перезагрузки новые логи.

ps если успел, файлы попавшие в карантин прислать в соответствии с приложением 2 правил, с пятого пункта.

В дополнение: в программе Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] строчки (если останутся):[code]O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll
O20 - Winlogon Notify: winjks32 - C:\WINDOWS\SYSTEM32\winjks32.dll[/code]

Спасибо Вам огромное!!!! :rose-2: Без Вас не справилась бы. Какой замечательный сайт! Реально помогаете, и очень быстро. :P
Выполнила скрипт, в безопасном режиме еще раз drweb, AVZ..., пофиксила (правда в этих строчках уже было missing file). Теперь жду...:pray: Вирус надеюсь накрылся или еще раз логи прислать?

Ой, в дополнении, м.б., подскажите какой-ниб. firewall от этих ... :evil:

[quote=Lola13;92852] Вирус надеюсь накрылся или еще раз логи прислать?[/quote] Логи пришлите, пожалуйста, новые.

Тьфу, тьфу, тьфу... пока вроде не видать...
Проверила папку WINDOWS/TEMP правда подозрительный файл появился
exp60A.tmp, drweb вирус не обнаружил, надеюсь не он...

После последней проверки drweb нашлось
idd203.tmp.exe C:\WINDOWS\Temp Dialer.Questo Удален.
idd56.tmp.exe C:\WINDOWS\Temp Dialer.Questo Удален.
win200.tmp.exe C:\WINDOWS\Temp Dialer.Mella Удален.
win52.tmp.exe C:\WINDOWS\Temp Dialer.Mella Удален.
system.dll C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050Trojan.DownLoader.17799 Удален.
Update.exe C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050Trojan.DownLoader.17040 Удален.

размер у exp60A.tmp 0 Кб, также как у вирусных... drweb похожие вирусные нулевого размера тоже не обнаруживал...

drweb cure вирусы снова обнаружила в папках
system.dll C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050Trojan.DownLoader.17799 Удален.
Update.exe C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050Trojan.DownLoader.17040 Удален.
Почему снова там они объявились? Самой программы dialer пока не видать.

В папке C:\Program Files\Common Files\{3C787927-0BC6-1049-0825-050728050007}
остался UnInstall.exe Может он источник?

C:\Program Files\Common Files\{3C787927-0BC6-1049-0825-050728050007} удалить :)
Если есть ещё папки с цифрами вместо имён в C:\Program Files\Common Files\, удаляйте .Не забудьте перед этим нам прислать для анлиза и пополнения баз .

Пофиксить в Hijack This:

[code]
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll (file missing)
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll (file missing)
O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)
[/code]
Пришлите тот файл , который подозреваете как полагаеться в запароленном архиве . пароль : virus

Спасибо! Отправила.

O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll (file missing)
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll (file missing)
O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)
строчек этих уже нет - фиксить нечего.

drweb cure снова обнаружила вирус в папкe
C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050
system.dll и Update.exe
Trojan.DownLoader.177199 и
Trojan.DownLoader.17040, соответственно.
В интернет не выходила.
Откуда они могут появляться?

Беспокоит то, что перестала работать сеть между ПК, причем в состояние подключения происходит обмен пакетами, но непонятно с чем-выхода в интернет нет, связь с другим пк не работает, хотя все сетевые имена видны, пишет только, что сетевой ресурс недоступен. М.б., причиной вирусы?

Инет по сети заработал, видимо файрвол блокировал. :)
Но, при перезагрузке снова появляется папка
C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050007}
в которой 2 файла:
system.dll с Trojan.DownLoader.17799 и
Update.exe с Trojan.DownLoader.17040
Восстановление системы отключаю, перегружаю в безоп. режим, сканирую cure, он благополучно их находит и удаляет, папку удаляю, далее AVZ по инструкции, но при загрузке в обычный режим эта папка с этими файлами снова появляется, удалить файлы можно, саму папку невозможно.
Сами эти 2 файла отправляю согласно инстр.

virus.zip - это найденное AVZ еще вчера; virus2.zip - 2 файла Update.exe и setup.dll с Trojan.DownLoader

[B]Lola13[/B], выполните пожалуйста вот такой скрипт в AVZ(Файл->Выполнить скрипт):

[CODE]begin
SetAVZGuardStatus(True);
ClearQuarantine;
SearchRootkit(true, false);
QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe','Скорее всего в базу безопасных.');
QuarantineFile('CD_Load.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_quarantine.zip');
SetAVZGuardStatus(False);
end.[/CODE]

После выполнения скрипта, в папке AVZ найдите файл [B]virusinfo_quarantine.zip[/B] и пришлите его нам по правилам.

Спасибо!!! Отправила.

fpdisp4.exe - видимо нет, это программка fineprint для печати, если только не заразилась...

[QUOTE=Lola13;92991]fpdisp4.exe - видимо нет, это программка fineprint для печати, если только не заразилась...[/QUOTE]

Да, это для базы безопасных...

Пофиксите в HijackThis строку:

[CODE]O4 - HKCU\..\Run: [Cydoor] CD_Load.exe[/CODE]

После этого перегрузите комп. и зделайте новые логи.

Пофиксила. Перегрузила в безопасный режим, сделала логи, папка с вирусами не появилась. Загрузилась в обычный режим и папка оказалась на месте :(.

[QUOTE=Lola13;92999]Пофиксила. Перегрузила в безопасный режим, сделала логи, папка с вирусами не появилась. Загрузилась в обычный режим и папка оказалась на месте :(.[/QUOTE]

Хм...
В логах больше ничего подозрительного я не вижу.

Попробуйте зделать вот что:
- Откройте одно окно браузера Internet Explorer.
- Запустите AVZ
- Файл->Стандартные скрипты
- Поставте птичку напротив скрипта №2 и нажмите "Выполнить"
- Также зделайте лог HijackThis
- После этого выложыте этих два лога сюда.

PS. Плюс ещё есть вариант, что этого зверя вам подкидывает какая-то зараженая машына в вашей сети.

Большое Вам спасибо за отзывчивость :flovers: . Сеть дома - 2 PC, 2-й PC выключен, но при загрузке папка с вирусами на месте :(. Выход в интернет через ADSL модем.

Проверьте, пожалуйста, отправила программу svchosts.exe, у нее лишняя буква 's'. М.б., это источник?

[QUOTE=Lola13;93096]Проверьте, пожалуйста, отправила программу svchosts.exe, у нее лишняя буква 's'. М.б., это источник?[/QUOTE]
Проверели - по DrWeb это [B]Trojan.MulDrop.5451[/B].

Выполните вот такой скрипт для удаления этой заразы:

[CODE]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('c:\windows\system32\svchosts.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/CODE]

Спасибо большое! Странно, что drweb cure его не обнаруживал. А svchosts.exe вручную удалила, убедилась, что оно :), но скрипт на всякий случай тоже выполнила. :) Уффф, надеюсь избавилась... Nod32 меня расстроил, попробую поставить Nortonовский антивирус, вроде хвалят...
Еще раз большое спасибо всем!!!!!!! Вы мне очень помогли. :rose-2:

Nort'оновский ни в коем случае НЕ СТАВЬ!!!

Это почему это? :) А что ж ставить тогда?

Потому, что по опыту лечения компов на нашем форуме больше всего пострадавших имеют на своём компьютере именно NortonAntivirus.
Symantec тоже никуда не годится.
Ставь KAV/KIS, Dr.WEB, BitDefender, McAfee
NOD32 тоже хороший антивирус. Не знаю, что ты с ним не подружилась.
Вот тут всё написано -- [url]http://www.virusinfo.info/showthread.php?t=1431[/url]

Спасибо Вам за ликбез и помощь. Расстроило, что Nod32 пропустил вирус :(, а запущен всегда и обновляется постоянно.
Поставила теперь ZoneAlarm и Ad-aware попробую скачать.
А троянов какая из антивирусников лучше отлавливает?

Они их все ловят хорошо. Касперский точно хорошо ловит.
А вот Ad-Aware и не нужен. Любой из вышеперечисленных антивирусов ловит нечисть гораздо лучше Ad-Aware.
Если уж тебе нужен альтернативный сканер, используй CureIt -- это будет гораздо эффективнее.

Спасибо за отзывчивость!!!!!!!!!!! Какие вы тут все молодцы! Так помогаете. Теперь в мой ПК ни один вирус :evil: не проползет.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]0[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]