Доброго времени суток,
После запуска системы постоянно вылазят иконки со стрелочками в трее, в папке Temp плодятся файлы win***.tmp. Судя по симптомам - звонилка i-Dialer. Логи прикрепил.
Доброго времени суток,
После запуска системы постоянно вылазят иконки со стрелочками в трее, в папке Temp плодятся файлы win***.tmp. Судя по симптомам - звонилка i-Dialer. Логи прикрепил.
Логи большие - читать трудно. Пожалуйста, закрывайте все программы кроме браузера перед созданием логов. AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, пришлите карантин AVZ, как написано в прил.2 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\MSNChatHook.dll',''); QuarantineFile('C:\WINDOWS\system32\sysenv.dll',''); QuarantineFile('C:\WINDOWS\system32\winwea32.dll',''); QuarantineFile('C:\WINDOWS\system32\ipworks5.dll',''); QuarantineFile('c:\windows\system32\ftpserv.exe',''); QuarantineFile('c:\windows\system32\freespace.exe',''); RebootWindows(true); end.
Высылаю логи после повторного сканирования с закрытием всех программ, как вы просили
Карантин выслал
Eщё несколько файлов вызывают подозрение .
Bыполните скрипт :
Загрузите файл virusinfo_7987_quarantine.zip из каталога AVZ через форму http://virusinfo.info/upload_virus.php, указав ссылку на тему http://virusinfo.info/showthread.php?t=7987Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\temp\win207.tmp.exe',''); QuarantineFile('c:\windows\temp\iddbd7.tmp.exe',''); QuarantineFile('C:\Program Files\ClickToConvert\Uninstall.exe',''); CreateQurantineArchive(GetAVZDirectory+'virusinfo_7987_quarantine.zip'); RebootWindows(true); end.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Архив virusinfo_7987_quarantine.zip выслал
Нечистая сила , вот эти в карантин так и не попали :
c:\windows\temp\win207.tmp.exe
c:\windows\temp\iddbd7.tmp.exe
Если будут другие подобные файлы с двойным расширением пришлите тоже .
Найти любым способом и прислать в запароленном архиве , пароль как всегда : virus .
вот тут есть рекомендуемые способы поиска : http://virusinfo.info/showthread.php?t=4567
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Отправил карантин с теми файлами, которые просили
C:\WINDOWS\system32\winwea32.dll - Trojan.Win32.Agent.qt (по Касперскому) В программе Hijackthis пофиксите строчкуПрограмма AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O20 - Winlogon Notify: winwea32 - C:\WINDOWS\SYSTEM32\winwea32.dllСистема будет перезагружена. После перезагрузки, почистите каталог c:\windows\temp вручную, и понаблюдайте, будут ли продолжать появлятся файлы с двойным расширением. И еще, раз Avast не справляется, имеет смысл поставить, хотя бы на время, другой антивирус.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\winwea32.dll'); ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось Numb; 18.02.2007 в 15:48.
Поддерживаю Numb ,Очистить папку темп !!!
. Можно попробовать оналйн сканером от каспера , но я так понимаю в России за трафик платят
Почти все кроме одного win209.tmp.exe уже детектируются касперским .
Там порно-звонилкa: Porn-Dialer.Win32.IDialer.m
Загрузчик гадости : Trojan-Dropper.Win32.Agent.bbp
Cама гадость : Packed.Win32.Klone.g ;Packed.Win32.Klone.t
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Все, вроде убил гада :-) . Почистил temp и пофиксил через Hijackthis. Иконки со стрелочками больше не появляются.
СПАСИБО ВАМ ОГРОМНОЕ. Хорошо, что на свете есть не только нечистая сила, но и Добро :-)
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 33
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winwea32.dll - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Mezzia)
- c:\\windows\\temp\\iddbd7.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- c:\\windows\\temp\\win207.tmp.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)
- \\iddbad.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- \\iddbd7.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- \\iddbff.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- \\iddb1c.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- \\iddcbe.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- \\iddc91.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- \\idd1.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- \\idd2.tmp.exe - not-a-virusorn-Dialer.Win32.IDialer.m (DrWEB: Dialer.Questo)
- \\win1eb.tmp.exe - Trojan-Dropper.Win32.Agent.bbp (DrWEB: Adware.Macfa)
- \\win1f6.tmp.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)
- \\win202.tmp.exe - Packed.Win32.Klone.t (DrWEB: Trojan.Mezzia)
- \\win22f.tmp.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)
- \\win236.tmp.exe - Packed.Win32.Klone.g (DrWEB: Dialer.Mella)
Уважаемый(ая) Dok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.