Показано с 1 по 13 из 13.

Need help with Dialer.Questo, Diealer.* (заявка № 7554)

  1. #1
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    13
    Вес репутации
    63

    Question Need help with Dialer.Questo, Diealer.*

    Просьба помочь в борьбе с трояном.

    1. Начальные симптомы: а) в папке Windows\Temp все время стали появляться файлы tmp, которые Drweb SpiderNt определяет как
    Dialer.Questo:
    C:\WINDOWS\TEMP\idd818.tmp.exe - is a Dialer program Dialer.Questo
    C:\WINDOWS\TEMP\idd818.tmp.exe - deleted
    C:\WINDOWS\TEMP\idd81E.tmp.exe - is a Dialer program Dialer.Questo
    C:\WINDOWS\TEMP\idd81E.tmp.exe - deleted
    б) в сетевых соединениях (Network Connections) появился дополнительный
    пункт CoolWeb (иконка с шариком), хотя я ничего такого не ставил. В свойствах этого соединения использован модем ноута, но номер для звонков вроде значится 0.
    2. Самодеятельность в борьбе с вирусами: все сделал по инструкции
    приведенной на сайте http://virusinfo.info/showthread.php?t=1235
    С отключенным DrWeb запустил AVZ, и он отловил
    c:\windows\system32\winsgf32.dll
    Virus=Packed.Win32.Klone.g, после чего засунул его в свои внутренние
    папки.
    Далее следует моя ошибка - a) залез в реестр и удалил самостоятельно
    ключ HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsgf32, DLLName
    б) удалил пункт CoolWeb из сетевых соединений.
    3. Последствия: а) в каталоге Windows\Temp вышеуказанные файлы плодиться перестали
    б) при вызове default browser'a (у меня стоит FireFox, а не IExplorer),
    иногда возникает табличка с приглашением выбрать службу для дозвона по диалап-с какими-то из сайтов (конкретных имен не помню...)
    4. Просьба: помочь закончить лечение правильно. Логи до убития ключа и удаления CoolWeb прилагаю. Карантинные, вирусные и подозрительные папки, созданные AVZ не трогал.

    Надеюсь на помощь добрых людей.
    Пишите.
    Удачи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    External Specialist Репутация Репутация Аватар для sergey_gum
    Регистрация
    13.05.2005
    Адрес
    Россия, Московская область
    Сообщений
    482
    Вес репутации
    73
    Прислать эти файлы согласно правилам:
    C:\WINDOWS\System32\khooker.exe
    C:\PROGRA~1\MI3AA1~1\wcescomm.exe
    C:\WINDOWS\System32\sistray.EXE
    C:\WINDOWS\system32\bcmwltry.exe
    winsgf32.dll

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    См. Приложение 2. Ссылка на тему: http://virusinfo.info/showthread.php?t=7554

  5. #4
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    13
    Вес репутации
    63
    Цитата Сообщение от sergey_gum Посмотреть сообщение
    Прислать эти файлы согласно правилам:
    C:\WINDOWS\System32\khooker.exe
    C:\PROGRA~1\MI3AA1~1\wcescomm.exe
    C:\WINDOWS\System32\sistray.EXE
    C:\WINDOWS\system32\bcmwltry.exe
    winsgf32.dll
    ок, попробую.
    только небольшой вопрос - насколько я понимаю
    C:\WINDOWS\System32\khooker.exe
    C:\WINDOWS\System32\sistray.EXE
    это файлы от драйвера Sis-видеокарты моего ноутбука.
    Они прописаны в ключе
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    т.е. при запуске на startup они нужны машине.
    Если я их загоню в карантин AVZ, есть ли гарантия, что мой ноут
    запустится с работающей видеокартой после этого?
    По поводу остального -
    C:\PROGRA~1\MI3AA1~1\wcescomm.exe - программа от Microsoft Activesync - программы синхронизации с кпк (идет ли она в
    комплекте с ПО или подброшена зловредным трояном, - не знаю).
    запуск из
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
    C:\WINDOWS\system32\bcmwltry.exe - программа для запуска USB-bluetooth адаптера (вероятнее всего, но на 100% не уверен)
    тоже запускается из
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

    p.s. Данный комментарий не есть мой отказ от помощи, а всего лишь попытка осторожного юзера разобраться в последствиях своих действий.
    p.p.s. Занят выкладыванием файлов.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Всё запустится. В карантин файлы КОПИРУЮТСЯ, с оригиналами ничего не происходит.

  7. #6
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    13
    Вес репутации
    63
    Цитата Сообщение от sergey_gum Посмотреть сообщение
    Прислать эти файлы согласно правилам:
    C:\WINDOWS\System32\khooker.exe
    C:\PROGRA~1\MI3AA1~1\wcescomm.exe
    C:\WINDOWS\System32\sistray.EXE
    C:\WINDOWS\system32\bcmwltry.exe
    winsgf32.dll
    Запрошенные файлы запостил. С некоторыми изменениями.
    Файлы
    C:\PROGRA~1\MI3AA1~1\wcescomm.exe
    C:\WINDOWS\System32\sistray.EXE
    C:\WINDOWS\system32\bcmwltry.exe
    ушли в архиве virus.zip
    Файл
    winsgf32.dll
    ушел в архиве virus2.zip

    Файл C:\WINDOWS\System32\khooker.exe куда-то делся и не находится ни средствами avz, ни средствами поиска Windows/программ файл- менеджеров.
    Просмотрел закарантиненные файлы - там этот файл тоже отсутствует...
    Потерялся, в-общем...
    Как давно - не знаю...

  8. #7
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    13
    Вес репутации
    63
    Цитата Сообщение от pig Посмотреть сообщение
    См. Приложение 2. Ссылка на тему: http://virusinfo.info/showthread.php?t=7554

    Одно замечание по высланным файлам:

    ссылка https://virusinfo.info/upload_virus.php у меня не сработала,
    все заслал по адресу
    http://virusinfo.info/upload_virus.php

    Пишите.
    Удачи.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    А где там про HTTPS? В офлайновой версии, что ли?

  10. #9
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    13
    Вес репутации
    63
    нет, в онлайновой, в оффлайновой все в порядке.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    В онлайновой тоже http: аж с 27 декабря, если не раньше.

  12. #11
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    13
    Вес репутации
    63
    Цитата Сообщение от pig Посмотреть сообщение
    В онлайновой тоже http: аж с 27 декабря, если не раньше.
    Возможно, но все таки, по ссылке http://virusinfo.info/showthread.php?t=4567

    Пункт 6 гласит:
    6. Полученный файл отправьте через страницу
    https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
    (В самом крайнем случае, если отправка через страницу не работает, отправьте файл на адрес [email protected], указав в теле письма ссылку на тему, в которой просили прислать файлы.)

    Но это, все-таки немного не по сути нашего основного разговора...
    Есть ли каки-нибудь рекомендации в моем случае по поводу
    долечивания компьютера?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Цитата Сообщение от Dimin75 Посмотреть сообщение
    Возможно, но все таки, по ссылке http://virusinfo.info/showthread.php?t=4567

    Пункт 6 гласит:
    6. Полученный файл отправьте через страницу
    https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
    Спасибо за сообщение, исправлено

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\winsgf32.dll - Packed.Win32.Klone.g (DrWEB: Trojan.Mezzia)


  • Уважаемый(ая) Dimin75, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Dialer
      От lafur в разделе Вредоносные программы
      Ответов: 6
      Последнее сообщение: 10.08.2008, 10:07
    2. Dialer
      От lafur в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.01.2008, 17:27
    3. Trojan.Dialer
      От PianoInBush в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.04.2007, 17:54
    4. i-dialer - help!
      От UnknownPlayer в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.01.2007, 23:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00916 seconds with 20 queries