Показано с 1 по 12 из 12.

Опять iDialer (заявка № 7987)

  1. #1
    Junior Member Репутация
    Регистрация
    16.02.2007
    Сообщений
    6
    Вес репутации
    63

    Thumbs up Опять iDialer

    Доброго времени суток,

    После запуска системы постоянно вылазят иконки со стрелочками в трее, в папке Temp плодятся файлы win***.tmp. Судя по симптомам - звонилка i-Dialer. Логи прикрепил.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Логи большие - читать трудно. Пожалуйста, закрывайте все программы кроме браузера перед созданием логов. AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\MSNChatHook.dll','');
     QuarantineFile('C:\WINDOWS\system32\sysenv.dll','');
     QuarantineFile('C:\WINDOWS\system32\winwea32.dll','');
     QuarantineFile('C:\WINDOWS\system32\ipworks5.dll','');
     QuarantineFile('c:\windows\system32\ftpserv.exe','');
     QuarantineFile('c:\windows\system32\freespace.exe','');
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, пришлите карантин AVZ, как написано в прил.2 правил

  4. #3
    Junior Member Репутация
    Регистрация
    16.02.2007
    Сообщений
    6
    Вес репутации
    63
    Высылаю логи после повторного сканирования с закрытием всех программ, как вы просили
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    16.02.2007
    Сообщений
    6
    Вес репутации
    63
    Карантин выслал

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Eщё несколько файлов вызывают подозрение .
    Bыполните скрипт :
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\temp\win207.tmp.exe','');
     QuarantineFile('c:\windows\temp\iddbd7.tmp.exe','');
     QuarantineFile('C:\Program Files\ClickToConvert\Uninstall.exe','');
    CreateQurantineArchive(GetAVZDirectory+'virusinfo_7987_quarantine.zip');
    RebootWindows(true);
    end.
    Загрузите файл virusinfo_7987_quarantine.zip из каталога AVZ через форму http://virusinfo.info/upload_virus.php, указав ссылку на тему http://virusinfo.info/showthread.php?t=7987

  7. #6
    Junior Member Репутация
    Регистрация
    16.02.2007
    Сообщений
    6
    Вес репутации
    63
    Архив virusinfo_7987_quarantine.zip выслал

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Нечистая сила , вот эти в карантин так и не попали :
    c:\windows\temp\win207.tmp.exe
    c:\windows\temp\iddbd7.tmp.exe
    Если будут другие подобные файлы с двойным расширением пришлите тоже .
    Найти любым способом и прислать в запароленном архиве , пароль как всегда : virus .
    вот тут есть рекомендуемые способы поиска : http://virusinfo.info/showthread.php?t=4567

  9. #8
    Junior Member Репутация
    Регистрация
    16.02.2007
    Сообщений
    6
    Вес репутации
    63
    Отправил карантин с теми файлами, которые просили

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    C:\WINDOWS\system32\winwea32.dll - Trojan.Win32.Agent.qt (по Касперскому) В программе Hijackthis пофиксите строчку
    Код:
    O20 - Winlogon Notify: winwea32 - C:\WINDOWS\SYSTEM32\winwea32.dll
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\winwea32.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, почистите каталог c:\windows\temp вручную, и понаблюдайте, будут ли продолжать появлятся файлы с двойным расширением. И еще, раз Avast не справляется, имеет смысл поставить, хотя бы на время, другой антивирус.
    Последний раз редактировалось Numb; 18.02.2007 в 15:48.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Поддерживаю Numb ,Очистить папку темп !!!
    . Можно попробовать оналйн сканером от каспера , но я так понимаю в России за трафик платят
    Почти все кроме одного win209.tmp.exe уже детектируются касперским .
    Там порно-звонилкa: Porn-Dialer.Win32.IDialer.m
    Загрузчик гадости : Trojan-Dropper.Win32.Agent.bbp
    Cама гадость : Packed.Win32.Klone.g ;Packed.Win32.Klone.t

  12. #11
    Junior Member Репутация
    Регистрация
    16.02.2007
    Сообщений
    6
    Вес репутации
    63
    Все, вроде убил гада :-) . Почистил temp и пофиксил через Hijackthis. Иконки со стрелочками больше не появляются.

    СПАСИБО ВАМ ОГРОМНОЕ. Хорошо, что на свете есть не только нечистая сила, но и Добро :-)

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 33
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\winwea32.dll - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Mezzia)
      2. c:\\windows\\temp\\iddbd7.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
      3. c:\\windows\\temp\\win207.tmp.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)
      4. \\iddbad.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
      5. \\iddbd7.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
      6. \\iddbff.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
      7. \\iddb1c.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
      8. \\iddcbe.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
      9. \\iddc91.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
      10. \\idd1.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
      11. \\idd2.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
      12. \\win1eb.tmp.exe - Trojan-Dropper.Win32.Agent.bbp (DrWEB: Adware.Macfa)
      13. \\win1f6.tmp.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)
      14. \\win202.tmp.exe - Packed.Win32.Klone.t (DrWEB: Trojan.Mezzia)
      15. \\win22f.tmp.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)
      16. \\win236.tmp.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)


  • Уважаемый(ая) Dok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. опять смс
      От wiper666 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.01.2010, 13:31
    2. Dialer.iDialer
      От spyder в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 01:35
    3. опять ЦП загружен на 100%. Опять вирус?
      От cosack в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.10.2008, 22:51
    4. Не могу избавится от Dialer.iDialer
      От SAV в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.01.2007, 20:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00318 seconds with 20 queries