Показано с 1 по 10 из 10.

Похоже на i-Dialer (заявка № 7881)

  1. #1
    Junior Member Репутация
    Регистрация
    11.02.2007
    Сообщений
    12
    Вес репутации
    41

    Thumbs up Похоже на i-Dialer

    Доброго времени суток!

    Будьте добры, помогите с моей проблемой. Где-то поймал сегодня i-Dialer. Появлялся в трее и пытался набрать номер. Сначала в Windows\Temp были парочка exe-шников (по описанной кем-то ранее симптоматике - точно i-Dialer) и клонируются файлы win***.tmp. Сейчас кружок с красным крестом уже не выскакивает, exe-шники в Temp не появляются, зато при загрузке системы в трее кружок с восклицательным знаком, при открытии которого выскакивает какое-то окно "Spyware Detection Alert". К сожалению, не получается прикрепить иллюстрации.

    И в Windows\Temp продолжают безудержно клонироваться файлы win***.tmp.

    Все логи прикрепил.

    Спасибо заранее!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
     QuarantineFile('C:\Program Files\REWARD\CMS32_NT.DLL','');
     QuarantineFile('C:\WINDOWS\system32\winyqq32.dll','');
     QuarantineFile('C:\WINDOWS\system32\drvbah.dll','');
     QuarantineFile('C:\WINDOWS\system32\svchosts.exe','')
     QuarantineFile('C:\WINDOWS\system32\TosCommAPI.dll','')
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 2 правил , с пятого пункта.
    Последний раз редактировалось drongo; 11.02.2007 в 01:17.

  4. #3
    Junior Member Репутация
    Регистрация
    11.02.2007
    Сообщений
    12
    Вес репутации
    41
    Добрый день!

    Вчера отправил карантин.

  5. #4
    Visiting Helper Репутация Репутация Аватар для Кто?
    Регистрация
    07.04.2006
    Адрес
    Владивосток
    Сообщений
    104
    Вес репутации
    45
    В присланном по Касперскому:
    C:\WINDOWS\system32\rpcc.dll------- Trojan-Proxy.Win32.Dlerna.bi
    C:\WINDOWS\system32\winyqq32.dll-- Trojan-Win32.Agent.qt
    C:\WINDOWS\system32\drvbah.dll----- Trojan-Win32.Agent.qt

  6. #5
    Junior Member Репутация
    Регистрация
    11.02.2007
    Сообщений
    12
    Вес репутации
    41
    Так что делать-то?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    В программе Hijackthis пофиксите строки:
    Код:
    O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
    O20 - Winlogon Notify: winyqq32 - C:\WINDOWS\SYSTEM32\winyqq32.dll
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\rpcc.dll');
    DeleteFile('C:\WINDOWS\system32\winyqq32.dll');
    DeleteFile('C:\WINDOWS\system32\drvbah.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки сделайте новые логи ( п.п. 8-13 правил )
    Последний раз редактировалось Numb; 12.02.2007 в 17:49. Причина: Скрипт для AVZ исправлен

  8. #7
    Junior Member Репутация
    Регистрация
    11.02.2007
    Сообщений
    12
    Вес репутации
    41
    Строки профиксил, скрипт выполнил.

    "Беда" с восклицательным знаком пропала. Больше не размножаются файлы в Temp-е.

    СПАСИБО ОГРОМНОЕ ЧЕЛОВЕЧЕЧКОЕ!!!

    Высылаю новые логи, как и просили.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    848
    В программе Hijackthis пофиксите строки
    Код:
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\
    O20 - Winlogon Notify: winyqq32 - winyqq32.dll (file missing)
    Для вот этой службы -
    Код:
    O23 - Service: Reset 5
    - я знаю только одно применение: снятие 30-дневного ограничения на использование Windows XP SP1. У вас, судя по логам, SP2 - на нем эта штука не работает. Если захотите удалить - "Пуск" - "выполнить" - выполните последовательно команды:
    Код:
    sc stop "Reset 5"
    sc config "Reset 5" start= disabled
    sc delete "Reset 5"
    В Hijackthis проверьте, если останутся, - пофиксите строки
    Код:
    O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
    O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
    А так, вроде-бы, чисто.

  10. #9
    Junior Member Репутация
    Регистрация
    11.02.2007
    Сообщений
    12
    Вес репутации
    41
    Все сделал!

    Спасибо огромное! За оперативность и профессионализм!

    Сайту - респект!

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drvbah.dll - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Fakealert.249)
      2. c:\\windows\\system32\\rpcc.dll - Trojan-Proxy.Win32.Dlena.bi (DrWEB: Trojan.Spambot)
      3. c:\\windows\\system32\\winyqq32.dll - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Mezzia)


  • Уважаемый(ая) robertmag, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Борьба с Dialer
      От ucyreng в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 01:35
    2. Dialer
      От lafur в разделе Вредоносные программы
      Ответов: 6
      Последнее сообщение: 10.08.2008, 09:07
    3. Dialer
      От lafur в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.01.2008, 17:27
    4. i-dialer - help!
      От UnknownPlayer в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.01.2007, 23:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01323 seconds with 17 queries