svchost.exe качает траффик

[Dunkelheit]

Имеем ноутбук, полный вирусов
От большинства из них удалось избавиться c помощью AVZ и Avira Antivir.
Остался один пакостный файл WlCtrl32.dll
Что с ним не делать, после перезагрузки он появляется заново.
Даже при восстановлении системы перед этапом "установка драйверов", появляется сообщение о том, что у пользователя недостаточно прав, обратитесь к системному администратору. При нажатии "Далее" восстановление идет без проблем, но проблема не исчезает.
В HiJackThis даже после Fix все равно остается следующая строчка
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
появляется она каждый раз после перезагрузки
Смотрел ProcessExplorer - у svchost.exe дикое количество соединений, при включенном интернете.
Вот логи. AVZ не обращает никакого внимания на файл WLCtrl32.dll
Обновлял ее сегодня.

[wise-wistful]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('wowfx.dll','');
 QuarantineFile('appmgmts.dll','');
 SetServiceStart('CcEvtSvc', 4);
 StopService('CcEvtSvc');
 QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Bjq32.sys','');
 QuarantineFile('C:\WINDOWS\altvxvm.dll','');
 QuarantineFile('C:\WINDOWS\system32\alderlcm.dll','');
 QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\altvxvm.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Bjq32.sys');
 DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
 DeleteFile('WLCtrl32.dll');
BC_ImportAll;
BC_DeleteSvc('Bjq32');
BC_DeleteSvc('CcEvtSvc');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20230

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O21 - SSODL: altvxvm - {26D94018-4B28-4601-AFA4-82E618B823B9} - C:\WINDOWS\altvxvm.dll

Повторите логи.

[Dunkelheit]

строчка
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
после ребута не пофиксилась

карантин залил
новые логи прилагаю

[wise-wistful]

Значит будем использовать меч самурая.
Для удаления C:\WINDOWS\system32\Drivers\Bjq32.sys и C:\WINDOWS\system32\WLCtrl32.dll
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем указанные файлы.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
Выполните в АВЗ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Bjq32.sys');
 DeleteFile('WLCtrl32.dll');
BC_ImportAll;
BC_DeleteSvc('Bjq32');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите логи.

[Dunkelheit]

новые логи

[wise-wistful]

Практически всё. Выполните в АВЗ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('wowfx.dll','');
 QuarantineFile('C:\!!!Antivirus\jeefogui.com','');
 DeleteFile('wowfx.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Карантин загрузите согласно приложению 3 правил.
Профиксите

Код:

O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\

Поторите логи.

[Dunkelheit]

карантин закачал - virus2.zip
новые логи вложил
интернет проверил - больше ничего не качает, огромное спасибо

[wise-wistful]

Да похоже всё чисто.

Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".