nod видит только производимые tmp' шки, касперский только дллку указанную в названии.
WLCtrl32.dll
nod видит только производимые tmp' шки, касперский только дллку указанную в названии.
Последний раз редактировалось HATTIFNATTOR; 18.03.2008 в 13:57.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
virusinfo_cure.zip - это карантин удалите и пришлите по ссылке
Добавлено через 5 минут
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('Rlt22', 4); QuarantineFile('C:\WINDOWS\system32\Drivers\Rlt22.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('c:\windows\temp\bn2.tmp',''); DeleteFile('c:\windows\temp\bn2.tmp'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Rlt22.sys'); BC_ImportALL; BC_DeleteSvc('Rlt22'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20030
Повторите логи
Последний раз редактировалось akoK; 18.03.2008 в 13:38. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
сделал
Выполните такой скрипт:
Сделайте новые логи, начиная с п.10 правил.Код:begin RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Rlt22\0000', 'CSConfigFlags', '1'); BC_QrFile('C:\WINDOWS\System32\drivers\Rlt22.sys'); BC_DeleteSvc('Rlt22'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Rlt22.sys'); BC_DeleteFile('C:\WINDOWS\System32\WLCtrl32.dll'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
done
Нда, без самурайского меча не обойтись
Качайте: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
Распаковать, запустить, слева внизу File, и для следующих файлов сделать Force Delete:
C:\WINDOWS\System32\drivers\Ycb66.sys
C:\WINDOWS\system32\WLCtrl32.dll
Далее выполните скрипт в AVZ:
После перезагрузки очистите полностью папкуКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\drivers\Ycb66.sys'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\TEMP\BN4.tmp'); BC_ImportDeletedList; BC_DeleteSvc('Ycb66'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
C:\WINDOWS\TEMP
и сделайте новые логи.
I am not young enough to know everything...
Все, походу сдох, спасибо.
Один вопрос - чем Вам Ycb66.sys не понравился? Или остальные модули стандартно известны?
Этот файлик прикрывал WLCtrl32.dll
Добавлено через 5 минут
Осталось немного
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('WLCtrl32.dll'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Повторите логи с п.10 Правил
Последний раз редактировалось akoK; 18.03.2008 в 15:44. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Это я понял, только не нашел в логах явного указания на него.Этот файлик прикрывал WLCtrl32.dll
В логе из вашего поста N 5 он есть под графой "Модули пространсва ядра" внизу. Это драйвер руткита.
Ваши новые логи чистые.
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
В логе Хиджака WLCtrl32.dll тоже виден и очень подозрительно место, где он записан.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Я имел в виду Ycb66.sys, с WLCtrl32.dll все понятно)Сообщение от PavelA
Если это модуль руткита, то опознали его по одному из возможных имен или по каким-то другим признакам?
Ycb66.sys - драйвер Булкнета. Частично имя (3 случайных буквы и 2 цифры) и некоторые другие признаки (например несистемный драйвер и др.) указывают на это. WLCtrl32.dll тоже с ним в комплекте идет.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Ясно, спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.kif (DrWEB: Trojan.DownLoader.49451)
- c:\\windows\\temp\\bn2.tmp - Trojan-Downloader.Win32.Agent.leu (DrWEB: Trojan.DownLoader.50217)
Уважаемый(ая) azz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
