ЛисонькаЛеди и джентльмены!
Извините, что обращаюсь именно сюда. Ни на каком другом форуме больше не зарегистрирована, а здесь бываю постоянно, может, некоторые меня помнят. Поэтому прошу помощи у вас.
Эта ерунда появилась вчера. Никаких новых программ не устанавливала. В инет выходила только сюда и на Fox Club, почту просматривала. А потом началось.
Каждые полчаса в трее появляется значок - синий круг, перечеркнутый красными стрелками. Если не предпринимать никаких действий, то через некоторое время эта прога пытается с кем-то законнектиться, при этом кружок меняет цвет на зеленый. В контекстном меню только 3 пункта: Connect, Disconect, Exit. Если кликнуть Connect, то появляется окно (см. рисунок). Сечас в Combo выбран модем, но в списке прописан и мой Bluetooth.
В диспетчере задач процесс называется iidialer.tmp.exe.
Я могу быстро восстановить систему из образа, но сначала хочу спросить совета у вас: может можно избавиться от этой гадости по-другому? И вообще что это такое?
Благодарю.

Попробуй для начала загрузиться в Safe-моде и посмотри есть ли этот процесс, если нет то поищи с помощью поиска все файлы с именем iidialer*.*

Что нашла?

Добавлю

Есть у меня прога, которую не надо устанавливать, да и бесплатная, можно ей в обычном режиме и в Safe-моде проверить комп, avz называется. Мыло в профиле верное lison@email.ru ?

Все, что найдешь подозрительное, можно послать, по указанному адресу для разработчика этой проги.

ЛисонькаЛеди и джентльмены, я прошу прощения. Процесс называется iddCBE.tmp.exe.
А е-адрес у меня другой, это я на форуме нинкак не поменяю сведения.

Алгоритм дейсвий тот же ...

Посмотри секцию автозапуска в реестре на предмет подозрительного.

Хотя этот вопрос надо лучше на http://www.sql.ru/forum/actualtopics.aspx?bid=27 http://www.sql.ru/forum/actualtopics.aspx?bid=27 задать. Если ты зарегистрирована, то и там тоже. :)

ЛисонькаА в каком разделе реестра искать файлы для автозапуска?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

ЛисонькаТак. Вот что обнаружила:
1. Он меняет имя. Теперь запускались процессы: iddC9C.tmp.exe и iddCE4.tmp.exe.
2. В защищенном режиме запускается.
3. Все эти exe-фалы остаются в Winows\Temp. Я их оттуда удалила.
4. Я рискнула, не стала выключать модем. Соединение пошло, но потом сорвалось. Еще раз - то же самое.

Ясно что это уже клоны, а сам где-то прячется

Давай мыло, пошлю avz, проверишь им ... перепишешь и запускай, никакой установки не надо.

Антивирусника нет што ли?

Лисонька qwertyqwertyДавай мыло, пошлю avz, проверишь им ... перепишешь и запускай, никакой установки не надо.
Антивирусника нет што ли?
Да есть: Norton2003 c обновлением от 20 декабря, и нортоновсеий Firewall стоит - никто из них даже и не пикнул вчера.
Мыло: lison77@yandex.ru

Ну и что что Norton.
Во-первых настройки какие ...
Во-вторых от 20 декабря - надо по хорошему каждый день обновлять!!!

Сейчас пошлю.

Sergey ChНебольшое дополнение. На мой взгляд - это очень похоже на вирус типа NATAS. Передается дискетами, закаченными файлами из Интеренета. Иногда удается вычистить. Проблема в нем та, что он портит exe и com файлы, добавляя себя в конец. Просматривая форумы его "подцепить" скорее всего нельзя.

Так что если qwertyqwerty даст Вам антивирус, то в принципе его можно вычистить на начальной стадии.

Есть on-line ресурсы с бесплатной проверкой на вирусы Вашей машины (им можно доверять), например: AVG Free for Windows

P.S. Будьте осторожны, когда устанавливаете программы, полученные от незнакомцев

Может конечно, но похоже на порнушный диалер ...

avz получила?

ЛисонькаЗабыла приаттачить ;-))

Лечить!

ЛисонькаПролечила. 2 файла из найденных при первом сканировании удалены. Перезагрузила комп, проработала 40 минут, попыток законнектиться самостоятельно система не предпринимала. Теперь вот включила вечером, все вроде нормально. Боюсь сглазить, но ваша программка помогла
Благодарю всех-всех-всех!

Елизавета Скрунскайте

Не забывай регулярно обновлять антивирусники!!!

Да еще совет. Для полной гарантии (я смотрел лог, при таком раскладе возможно не все вычищенно) удаления гадости надо снять винчестер и унести на проверку на заведомо не зараженный комп. Или найти загрузочную систему с CD, например Live CD XP, загрузиться с него и запустить, например бесплатный текущий DRWEB - можно скачать с сайта DRWEB файл cureit.exe.

Да, прога не моя :), разработчик указан в "о программе" :)