1. Начальные симптомы: а) в папке Windows\Temp все время стали появляться файлы tmp, которые Drweb SpiderNt определяет как
Dialer.Questo:
C:\WINDOWS\TEMP\idd818.tmp.exe - is a Dialer program Dialer.Questo
C:\WINDOWS\TEMP\idd818.tmp.exe - deleted
C:\WINDOWS\TEMP\idd81E.tmp.exe - is a Dialer program Dialer.Questo
C:\WINDOWS\TEMP\idd81E.tmp.exe - deleted
б) в сетевых соединениях (Network Connections) появился дополнительный
пункт CoolWeb (иконка с шариком), хотя я ничего такого не ставил. В свойствах этого соединения использован модем ноута, но номер для звонков вроде значится 0.
2. Самодеятельность в борьбе с вирусами: все сделал по инструкции
приведенной на сайте http://virusinfo.info/showthread.php?t=1235
С отключенным DrWeb запустил AVZ, и он отловил
c:\windows\system32\winsgf32.dll
Virus=Packed.Win32.Klone.g, после чего засунул его в свои внутренние
папки.
Далее следует моя ошибка - a) залез в реестр и удалил самостоятельно
ключ HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsgf32, DLLName
б) удалил пункт CoolWeb из сетевых соединений.
3. Последствия: а) в каталоге Windows\Temp вышеуказанные файлы плодиться перестали
б) при вызове default browser'a (у меня стоит FireFox, а не IExplorer),
иногда возникает табличка с приглашением выбрать службу для дозвона по диалап-с какими-то из сайтов (конкретных имен не помню...)
4. Просьба: помочь закончить лечение правильно. Логи до убития ключа и удаления CoolWeb прилагаю. Карантинные, вирусные и подозрительные папки, созданные AVZ не трогал.
Надеюсь на помощь добрых людей.
Пишите.
Удачи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Прислать эти файлы согласно правилам:
C:\WINDOWS\System32\khooker.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\system32\bcmwltry.exe
winsgf32.dll
Прислать эти файлы согласно правилам:
C:\WINDOWS\System32\khooker.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\system32\bcmwltry.exe
winsgf32.dll
ок, попробую.
только небольшой вопрос - насколько я понимаю
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\System32\sistray.EXE
это файлы от драйвера Sis-видеокарты моего ноутбука.
Они прописаны в ключе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
т.е. при запуске на startup они нужны машине.
Если я их загоню в карантин AVZ, есть ли гарантия, что мой ноут
запустится с работающей видеокартой после этого?
По поводу остального -
C:\PROGRA~1\MI3AA1~1\wcescomm.exe - программа от Microsoft Activesync - программы синхронизации с кпк (идет ли она в
комплекте с ПО или подброшена зловредным трояном, - не знаю).
запуск из
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
C:\WINDOWS\system32\bcmwltry.exe - программа для запуска USB-bluetooth адаптера (вероятнее всего, но на 100% не уверен)
тоже запускается из
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
p.s. Данный комментарий не есть мой отказ от помощи, а всего лишь попытка осторожного юзера разобраться в последствиях своих действий.
p.p.s. Занят выкладыванием файлов.
Прислать эти файлы согласно правилам:
C:\WINDOWS\System32\khooker.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\system32\bcmwltry.exe
winsgf32.dll
Запрошенные файлы запостил. С некоторыми изменениями.
Файлы
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\system32\bcmwltry.exe
ушли в архиве virus.zip
Файл
winsgf32.dll
ушел в архиве virus2.zip
Файл C:\WINDOWS\System32\khooker.exe куда-то делся и не находится ни средствами avz, ни средствами поиска Windows/программ файл- менеджеров.
Просмотрел закарантиненные файлы - там этот файл тоже отсутствует...
Потерялся, в-общем...
Как давно - не знаю...
Пункт 6 гласит:
6. Полученный файл отправьте через страницу https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
(В самом крайнем случае, если отправка через страницу не работает, отправьте файл на адрес [email protected], указав в теле письма ссылку на тему, в которой просили прислать файлы.)
Но это, все-таки немного не по сути нашего основного разговора...
Есть ли каки-нибудь рекомендации в моем случае по поводу
долечивания компьютера?
Пункт 6 гласит:
6. Полученный файл отправьте через страницу https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: