-
Junior Member
- Вес репутации
- 60
svchost.exe качает траффик
Имеем ноутбук, полный вирусов
От большинства из них удалось избавиться c помощью AVZ и Avira Antivir.
Остался один пакостный файл WlCtrl32.dll
Что с ним не делать, после перезагрузки он появляется заново.
Даже при восстановлении системы перед этапом "установка драйверов", появляется сообщение о том, что у пользователя недостаточно прав, обратитесь к системному администратору. При нажатии "Далее" восстановление идет без проблем, но проблема не исчезает.
В HiJackThis даже после Fix все равно остается следующая строчка
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
появляется она каждый раз после перезагрузки
Смотрел ProcessExplorer - у svchost.exe дикое количество соединений, при включенном интернете.
Вот логи. AVZ не обращает никакого внимания на файл WLCtrl32.dll
Обновлял ее сегодня.
Последний раз редактировалось Dunkelheit; 06.06.2008 в 07:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('wowfx.dll','');
QuarantineFile('appmgmts.dll','');
SetServiceStart('CcEvtSvc', 4);
StopService('CcEvtSvc');
QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Bjq32.sys','');
QuarantineFile('C:\WINDOWS\altvxvm.dll','');
QuarantineFile('C:\WINDOWS\system32\alderlcm.dll','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\altvxvm.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Bjq32.sys');
DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
DeleteFile('WLCtrl32.dll');
BC_ImportAll;
BC_DeleteSvc('Bjq32');
BC_DeleteSvc('CcEvtSvc');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20230
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O21 - SSODL: altvxvm - {26D94018-4B28-4601-AFA4-82E618B823B9} - C:\WINDOWS\altvxvm.dll
Повторите логи.
-
Junior Member
- Вес репутации
- 60
строчка
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
после ребута не пофиксилась
карантин залил
новые логи прилагаю
Последний раз редактировалось Dunkelheit; 06.06.2008 в 07:29.
-
Значит будем использовать меч самурая.
Для удаления C:\WINDOWS\system32\Drivers\Bjq32.sys и C:\WINDOWS\system32\WLCtrl32.dll
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем указанные файлы.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Bjq32.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportAll;
BC_DeleteSvc('Bjq32');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи.
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось Dunkelheit; 06.06.2008 в 07:29.
-
Практически всё. Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('wowfx.dll','');
QuarantineFile('C:\!!!Antivirus\jeefogui.com','');
DeleteFile('wowfx.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Карантин загрузите согласно приложению 3 правил.
Профиксите
Код:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Поторите логи.
-
Junior Member
- Вес репутации
- 60
карантин закачал - virus2.zip
новые логи вложил
интернет проверил - больше ничего не качает, огромное спасибо
Последний раз редактировалось Dunkelheit; 06.06.2008 в 07:29.
-
Да похоже всё чисто.
Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".