Здравствуйте!
поселился I-Dialer. Симптомы схожи и описывались уже.
NOD32 бессилен бороться.
время от времени удаляю из трея с пом. Диспетчера задач или Process Killer'a.
Вот логи.
Помогите прибить сволоту.
Здравствуйте!
поселился I-Dialer. Симптомы схожи и описывались уже.
NOD32 бессилен бороться.
время от времени удаляю из трея с пом. Диспетчера задач или Process Killer'a.
Вот логи.
Помогите прибить сволоту.
avz - файл - выполнить скриптприслать карантин в соответствии с приложением 2 правил, с пятого пункта.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\SYSTEM32\winrkp32.dll',''); QuarantineFile('C:\\dvt.exe',''); QuarantineFile('c:\temp\win35.tmp.exe',''); QuarantineFile('d:\utils\s2kctl.exe',''); QuarantineFile('c:\temp\idd5e.tmp.exe',''); QuarantineFile('c:\temp\idd3.tmp.exe',''); DeleteFile('c:\temp\idd3.tmp.exe'); DeleteFile('c:\temp\idd5e.tmp.exe'); DeleteFile('c:\temp\win35.tmp.exe'); ExecuteSysClean; RebootWindows(true); end.
Каюсь, случайно очистил папку "Temp", но за некоторое время,покуда был на работе, диалер наклонировал там с десяток приложений и я скрипт переписал по аналогии в соответствии с находившимися там приложениями. Архивы высланы.
Кроме того, в "темпе" находятся еще 2 приложения:
c:\temp\srvami.exe и
c:\temp\srvhfb.exe
Я их тоже закарантинил. ИХ присылать нужно?
Да ,и новые логи, чтобы посмотреть что осталось .
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Ну вот логи.
Dialer все еще тут. Вот, только что, выскочил в трее.
В АВЗ выполнить след. скрипт (avz - файл - выполнить скрипт)
После перезагрузки прислать карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\winrkp32.dll',''); DeleteFile('C:\WINDOWS\system32\winrkp32.dll'); ExecuteSysClean; RebootWindows(true); end.
Профиксить в HijackThis
Код:O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file) O20 - Winlogon Notify: winrkp32 - C:\WINDOWS\SYSTEM32\winrkp32.dll
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скрипты выполнил, карантин выслан.
После перезагрузки пофиксил.
Ну и логи, вот.
Вроде как не видно дьялера
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 36
- В ходе лечения обнаружены вредоносные программы:
- c:\\temp\\idd1.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd2a4.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd2d4.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd274.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd276.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd3c0.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd3ed.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd3.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd304.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd337.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd366.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd393.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd4a3.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd4d0.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd4fd.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd41a.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd449.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd476.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd52a.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd559.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd56c.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd56d.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd56e.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd56f.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\idd574.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\temp\\srvami.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)
- c:\\temp\\srvhfb.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)
- c:\\temp\\win2a1.tmp.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)
- c:\\temp\\win2d1.tmp.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)
- c:\\temp\\win272.tmp.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)
- c:\\temp\\win275.tmp.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)
- c:\\temp\\win301.tmp.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)
- c:\\windows\\system32\\winrkp32.dll - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Mezzia)
Уважаемый(ая) ucyreng, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.