Показано с 1 по 17 из 17.

W32Ctrl.dll, wowfx.dll, etc... (заявка № 21113)

  1. #1
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    32

    Thumbs up W32Ctrl.dll, wowfx.dll, etc...

    Сего дня крайне модной стала тема W32Ctrl.dll и wowfx.dll, а так же аддитивы к ним как то BN2,3... .tmp Началось с того, что свойства mp3 файлов перестали показыватся. А портом уже все описанные гражданими симптомы. Чистил пол дня вчерашнего и сегодняшний (6.04), но в силу явного недостатка мозгов, суток с небольшим оказалось мало. Буду очень рад принять помощь интеллектуально развитых камрадов.
    Вложения Вложения
    Последний раз редактировалось Shu_b; 06.04.2008 в 19:54.

  2. Реклама
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    virusinfo_cure.zip - это карантин. его отправляют по ссылке вверху страницы, уберите из темы. нам нужен virusinfo_syscure.zip в теме.

  4. #3
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    32
    virusinfo_syscure.zip создан не был, сейчас прогоню еще раз но помоему возникает bsod на конечном этапе

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выполните в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('Bfi36', 4);
     StopService('Bfi36');
     QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
     QuarantineFile('C:\WINDOWS\system32\hdport.sys','');
     QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\qtprot.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Nru03.sys','');
     QuarantineFile('C:\DOCUME~1\Lena\LOCALS~1\Temp\DMSKSSRh.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Bfi36.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\Documents and Settings\Alex\ie_updates3r.exe','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\Documents and Settings\Alex\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Bfi36.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Nru03.sys');
     DeleteFile('C:\WINDOWS\system32\qtprot.sys');
     DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('wowfx.dll');
     DeleteFile('C:\WINDOWS\system32\hdport.sys');
     DeleteFile('C:\WINDOWS\system32\taskmon.sys');
    BC_ImportAll;
    BC_DeleteSvc('Google Online Services');
    BC_DeleteSvc('Schedule');
    BC_DeleteSvc('hdport');
    BC_DeleteSvc('Bfi36');
    BC_DeleteSvc('Nru03');
    BC_DeleteSvc('qtprot');
    BC_DeleteSvc('taskmon.sys');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузите карантин согласно приложения 3 правил...
    Повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    32
    сейчас попробую. Кстати файл virusinfo_cure.zip не удаляется, пишет нет прав

  7. #6
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    32
    Таки значит скрипт выполнил, BNB.tmp в процессах есть, и такая особенность - не знаю связанно ли - сразу после загрузки в диспетчере не показываются имена учеток, от которых процесс запущен. Проявляются много позже.

    ЗЫ загрузил карантин как требуется
    Вложения Вложения
    Последний раз редактировалось godpapa; 06.04.2008 в 20:49.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Скачайте IceSword.

    Запустите его, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Bfi36.sys и если есть - удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Alex\Application Data\ezpinst.exe','');
    QuarantineFile('C:\Program Files\Trident Software\Pragma\ptbar.dll','');
    QuarantineFile('xlibgfl254.dll','');
    QuarantineFile('C:\WINDOWS\system32\xlibgfl254.dll','');
    QuarantineFile('WLCtrl32.dll','');
    QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
    QuarantineFile('C:\WINDOWS\Installer\{aa4470d1-f302-40f7-befe-1177d84e8120}\CDRam.dll','');
    QuarantineFile('C:\WINDOWS\Installer\{a65c86bc-ae70-4519-b745-74ae33207984}\PrxComponent.dll','');
    QuarantineFile('C:\DOCUME~1\Lena\LOCALS~1\Temp\DMSKSSRh.sys','');
    QuarantineFile('Cjun72.sys','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Cjun72.sys','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Bfi36.sys','');
    QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
    DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
    DeleteFile('C:\WINDOWS\system32\Drivers\Bfi36.sys');
    DeleteFile('C:\WINDOWS\system32\xlibgfl254.dll');
    DeleteFile('C:\DOCUME~1\Lena\LOCALS~1\Temp\DMSKSSRh.sys');
    DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
    DeleteFile('WLCtrl32.dll');
    DeleteFile('xlibgfl254.dll');
    DelBHO('{47833539-D0C5-4125-9FA8-0819E2EAAC93}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_QrSvc('Cjun72');
    BC_DeleteSvc('Bfi36');
    BC_DeleteSvc('DMSKSSRh');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21113 ).

    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    O4 - Global Startup: .protected
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  9. #8
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    32
    Всё сделал. Карантин только надо заслать, но больше раза вроде как этого делать не рекомендуется, согласно правилам )
    Вложения Вложения

  10. #9
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Карантин просто один и тот же не рекомендуют загружать дважды, а если это разные карантины, то конечно же загружайте.

    Добавлено через 1 минуту

    ezpinst.exe поищите при помощи АВЗ -сервис--поиск файлов на диске и пришлите согласно приложению 2 правил.
    Последний раз редактировалось wise-wistful; 06.04.2008 в 22:15. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    32
    выслал

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    ezpinst.exe

    Вредоносный код в файлах не обнаружен.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\Drivers\Cjun72.sys');
    DeleteFile('Cjun72.sys');
    DeleteFile('C:\WINDOWS\Installer\{aa4470d1-f302-40f7-befe-1177d84e8120}\CDRam.dll');
    DeleteFile('C:\WINDOWS\Installer\{a65c86bc-ae70-4519-b745-74ae33207984}\PrxComponent.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Cjun72');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Записи в файл Hosts Вы вносили? Если нет и они Вам не нужны, то выполните такой скрипт в AVZ:
    Код:
    begin
    ClearHostsFile;
    end.
    Сделайте новые логи.
    Последний раз редактировалось kps; 06.04.2008 в 23:11. Причина: Добавлено
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    32
    Много раз при проверке\лекчении и анализа (2 и 3 стандартные скрипты) выскакивал bsod, причем при послдеующей загрузке никакой мессаги не выказал, ну да ладно. ezpinst.exe я удалил айссвордом. После перезагрузки залез в службы, система оповещения оказалась выключена, а служба брандмауэра отсутствует как таковая. После некскольких бсодов логи таки создал.

    ЗЫ Ксатати, как тут респекты высказывать хэлперам? А то я бы уже без поддежки копировал бы через линух файлы, и форматил хард.
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Логи почти чистые. Почти - потому что у Вас есть C:\Program Files\Bonjour\ Почитайте по этому поводу: http://forum.rudtp.ru/showthread.php?t=29833
    Выполните на всякий случай пункт 2 правил.

    Зайдите в AVZ - Сервис - Системные утилиты - SFC проверка системных файлов.
    Понадобится установочный диск Windows.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    32
    Спасибо )) Всё супер

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 6
    • Обработано файлов: 154
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.dm (DrWEB: Trojan.DownLoader.54123)
      2. c:\\windows\\temp\\bnb.tmp - Trojan-Downloader.Win32.Agent.mkb (DrWEB: Trojan.DownLoader.56617)


  • Уважаемый(ая) godpapa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. wowfx.dll
      От Михаил Баринов в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:57
    2. wowfx.dll
      От Adamant в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 07:44
    3. Зачистка после fttdll.dll, wowfx.dll & Co
      От pavka в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:41
    4. medichi, medichi2 и wowfx не могу убрать...
      От ViVeda в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 03:11
    5. wowfx.dll-что это?
      От pomy в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.04.2008, 15:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00691 seconds with 23 queries