Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

И снова Dialer (заявка № 7667)

  1. #1
    Junior Member Репутация
    Регистрация
    26.01.2007
    Сообщений
    19
    Вес репутации
    63

    Thumbs up И снова Dialer

    Грузится в системный лоток программка idialer. Вижу файлы iddxx.tmp.exe и winxx.tmp.exe в папке WINDOWS/TEMP.
    Антивирусник NOD не видит .
    Сделала все согласно инструкции в безопасном режиме при отключенной опции восстановление системы (http://virusinfo.info/showthread.php?t=1235). Не помогло
    Отправляю логи.
    Помогите, пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Cure-It проверяли от Dr.Web.
    Есле нет, то проверить.
    Желательно в безопасном режиме.
    Ссылка: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    26.01.2007
    Сообщений
    19
    Вес репутации
    63
    Качала, обновляла, в безопасном режиме запускала, всякую дрянь, связанную с этим вирусом находила, удаляла. Не помогло. Еще раз сделать?

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    AVZ -- Выполнить скрипт.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll','');
     QuarantineFile('C:\WINDOWS\system32\winjks32.dll','');
     DeleteFile('C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll');
     DeleteFile('C:\WINDOWS\system32\winjks32.dll');
    RebootWindows(true);
    end.
    После перезагрузки новые логи.

    ps если успел, файлы попавшие в карантин прислать в соответствии с приложением 2 правил, с пятого пункта.
    Последний раз редактировалось Shu_b; 26.01.2007 в 16:24.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    В дополнение: в программе Hijackthis пофиксите строчки (если останутся):
    Код:
    O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll
    O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll
    O20 - Winlogon Notify: winjks32 - C:\WINDOWS\SYSTEM32\winjks32.dll

  7. #6
    Junior Member Репутация
    Регистрация
    26.01.2007
    Сообщений
    19
    Вес репутации
    63
    Спасибо Вам огромное!!!! Без Вас не справилась бы. Какой замечательный сайт! Реально помогаете, и очень быстро.
    Выполнила скрипт, в безопасном режиме еще раз drweb, AVZ..., пофиксила (правда в этих строчках уже было missing file). Теперь жду... Вирус надеюсь накрылся или еще раз логи прислать?

  8. #7
    Junior Member Репутация
    Регистрация
    26.01.2007
    Сообщений
    19
    Вес репутации
    63
    Ой, в дополнении, м.б., подскажите какой-ниб. firewall от этих ...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Цитата Сообщение от Lola13 Посмотреть сообщение
    Вирус надеюсь накрылся или еще раз логи прислать?
    Логи пришлите, пожалуйста, новые.

  10. #9
    Junior Member Репутация
    Регистрация
    26.01.2007
    Сообщений
    19
    Вес репутации
    63
    Тьфу, тьфу, тьфу... пока вроде не видать...
    Проверила папку WINDOWS/TEMP правда подозрительный файл появился
    exp60A.tmp, drweb вирус не обнаружил, надеюсь не он...
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    26.01.2007
    Сообщений
    19
    Вес репутации
    63
    После последней проверки drweb нашлось
    idd203.tmp.exe C:\WINDOWS\Temp Dialer.Questo Удален.
    idd56.tmp.exe C:\WINDOWS\Temp Dialer.Questo Удален.
    win200.tmp.exe C:\WINDOWS\Temp Dialer.Mella Удален.
    win52.tmp.exe C:\WINDOWS\Temp Dialer.Mella Удален.
    system.dll C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050Trojan.DownLoader.17799 Удален.
    Update.exe C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050Trojan.DownLoader.17040 Удален.

    размер у exp60A.tmp 0 Кб, также как у вирусных... drweb похожие вирусные нулевого размера тоже не обнаруживал...

    drweb cure вирусы снова обнаружила в папках
    system.dll C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050Trojan.DownLoader.17799 Удален.
    Update.exe C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050Trojan.DownLoader.17040 Удален.
    Почему снова там они объявились? Самой программы dialer пока не видать.

    В папке C:\Program Files\Common Files\{3C787927-0BC6-1049-0825-050728050007}
    остался UnInstall.exe Может он источник?
    Последний раз редактировалось anton_dr; 27.01.2007 в 19:04.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    C:\Program Files\Common Files\{3C787927-0BC6-1049-0825-050728050007} удалить
    Если есть ещё папки с цифрами вместо имён в C:\Program Files\Common Files\, удаляйте .Не забудьте перед этим нам прислать для анлиза и пополнения баз .

    Пофиксить в Hijack This:

    Код:
    O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll (file missing)
    O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll (file missing)
    O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)
    Пришлите тот файл , который подозреваете как полагаеться в запароленном архиве . пароль : virus
    Последний раз редактировалось drongo; 26.01.2007 в 20:41.

  13. #12
    Junior Member Репутация
    Регистрация
    26.01.2007
    Сообщений
    19
    Вес репутации
    63
    Спасибо! Отправила.

    O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll (file missing)
    O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\COMMON~1\{3C787~1\Bar888.dll (file missing)
    O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)
    строчек этих уже нет - фиксить нечего.

    drweb cure снова обнаружила вирус в папкe
    C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050
    system.dll и Update.exe
    Trojan.DownLoader.177199 и
    Trojan.DownLoader.17040, соответственно.
    В интернет не выходила.
    Откуда они могут появляться?

    Беспокоит то, что перестала работать сеть между ПК, причем в состояние подключения происходит обмен пакетами, но непонятно с чем-выхода в интернет нет, связь с другим пк не работает, хотя все сетевые имена видны, пишет только, что сетевой ресурс недоступен. М.б., причиной вирусы?
    Вложения Вложения
    Последний раз редактировалось anton_dr; 27.01.2007 в 19:05.

  14. #13
    Junior Member Репутация
    Регистрация
    26.01.2007
    Сообщений
    19
    Вес репутации
    63
    Инет по сети заработал, видимо файрвол блокировал.
    Но, при перезагрузке снова появляется папка
    C:\Program Files\Common Files\{4C787927-0BC6-1049-0825-050728050007}
    в которой 2 файла:
    system.dll с Trojan.DownLoader.17799 и
    Update.exe с Trojan.DownLoader.17040
    Восстановление системы отключаю, перегружаю в безоп. режим, сканирую cure, он благополучно их находит и удаляет, папку удаляю, далее AVZ по инструкции, но при загрузке в обычный режим эта папка с этими файлами снова появляется, удалить файлы можно, саму папку невозможно.
    Сами эти 2 файла отправляю согласно инстр.
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    26.01.2007
    Сообщений
    19
    Вес репутации
    63
    virus.zip - это найденное AVZ еще вчера; virus2.zip - 2 файла Update.exe и setup.dll с Trojan.DownLoader

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    Lola13, выполните пожалуйста вот такой скрипт в AVZ(Файл->Выполнить скрипт):

    Код:
    begin
    SetAVZGuardStatus(True);
    ClearQuarantine;
    SearchRootkit(true, false);   
    QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe','Скорее всего в базу безопасных.');
    QuarantineFile('CD_Load.exe','');
    CreateQurantineArchive(GetAVZDirectory+'virusinfo_quarantine.zip');
    SetAVZGuardStatus(False);
    end.
    После выполнения скрипта, в папке AVZ найдите файл virusinfo_quarantine.zip и пришлите его нам по правилам.

  17. #16
    Junior Member Репутация
    Регистрация
    26.01.2007
    Сообщений
    19
    Вес репутации
    63
    Спасибо!!! Отправила.

  18. #17
    Junior Member Репутация
    Регистрация
    26.01.2007
    Сообщений
    19
    Вес репутации
    63
    fpdisp4.exe - видимо нет, это программка fineprint для печати, если только не заразилась...

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    Цитата Сообщение от Lola13 Посмотреть сообщение
    fpdisp4.exe - видимо нет, это программка fineprint для печати, если только не заразилась...
    Да, это для базы безопасных...

    Пофиксите в HijackThis строку:

    Код:
    O4 - HKCU\..\Run: [Cydoor] CD_Load.exe
    После этого перегрузите комп. и зделайте новые логи.

  20. #19
    Junior Member Репутация
    Регистрация
    26.01.2007
    Сообщений
    19
    Вес репутации
    63
    Пофиксила. Перегрузила в безопасный режим, сделала логи, папка с вирусами не появилась. Загрузилась в обычный режим и папка оказалась на месте .
    Вложения Вложения

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    850
    Цитата Сообщение от Lola13 Посмотреть сообщение
    Пофиксила. Перегрузила в безопасный режим, сделала логи, папка с вирусами не появилась. Загрузилась в обычный режим и папка оказалась на месте .
    Хм...
    В логах больше ничего подозрительного я не вижу.

    Попробуйте зделать вот что:
    - Откройте одно окно браузера Internet Explorer.
    - Запустите AVZ
    - Файл->Стандартные скрипты
    - Поставте птичку напротив скрипта №2 и нажмите "Выполнить"
    - Также зделайте лог HijackThis
    - После этого выложыте этих два лога сюда.

    PS. Плюс ещё есть вариант, что этого зверя вам подкидывает какая-то зараженая машына в вашей сети.

  • Уважаемый(ая) Lola13, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. И снова звонилка i-Dialer.
      От Pavel Taranenko в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 01:34
    2. Dialer
      От lafur в разделе Вредоносные программы
      Ответов: 6
      Последнее сообщение: 10.08.2008, 10:07
    3. Dialer
      От lafur в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.01.2008, 17:27
    4. Снова Dialer.Micro.origin
      От tutank в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 28.12.2007, 19:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01560 seconds with 20 queries