Показано с 1 по 17 из 17.

W32Ctrl.dll, wowfx.dll, etc... (заявка № 21113)

  1. #1
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    59

    Thumbs up W32Ctrl.dll, wowfx.dll, etc...

    Сего дня крайне модной стала тема W32Ctrl.dll и wowfx.dll, а так же аддитивы к ним как то BN2,3... .tmp Началось с того, что свойства mp3 файлов перестали показыватся. А портом уже все описанные гражданими симптомы. Чистил пол дня вчерашнего и сегодняшний (6.04), но в силу явного недостатка мозгов, суток с небольшим оказалось мало. Буду очень рад принять помощь интеллектуально развитых камрадов.
    Вложения Вложения
    Последний раз редактировалось Shu_b; 06.04.2008 в 19:54.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    virusinfo_cure.zip - это карантин. его отправляют по ссылке вверху страницы, уберите из темы. нам нужен virusinfo_syscure.zip в теме.

  4. #3
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    59
    virusinfo_syscure.zip создан не был, сейчас прогоню еще раз но помоему возникает bsod на конечном этапе

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выполните в АВЗ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('Bfi36', 4);
     StopService('Bfi36');
     QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
     QuarantineFile('C:\WINDOWS\system32\hdport.sys','');
     QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\qtprot.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Nru03.sys','');
     QuarantineFile('C:\DOCUME~1\Lena\LOCALS~1\Temp\DMSKSSRh.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Bfi36.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     QuarantineFile('C:\Documents and Settings\Alex\ie_updates3r.exe','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\Documents and Settings\Alex\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Bfi36.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Nru03.sys');
     DeleteFile('C:\WINDOWS\system32\qtprot.sys');
     DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
     DeleteFile('WLCtrl32.dll');
     DeleteFile('wowfx.dll');
     DeleteFile('C:\WINDOWS\system32\hdport.sys');
     DeleteFile('C:\WINDOWS\system32\taskmon.sys');
    BC_ImportAll;
    BC_DeleteSvc('Google Online Services');
    BC_DeleteSvc('Schedule');
    BC_DeleteSvc('hdport');
    BC_DeleteSvc('Bfi36');
    BC_DeleteSvc('Nru03');
    BC_DeleteSvc('qtprot');
    BC_DeleteSvc('taskmon.sys');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузите карантин согласно приложения 3 правил...
    Повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    59
    сейчас попробую. Кстати файл virusinfo_cure.zip не удаляется, пишет нет прав

  7. #6
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    59
    Таки значит скрипт выполнил, BNB.tmp в процессах есть, и такая особенность - не знаю связанно ли - сразу после загрузки в диспетчере не показываются имена учеток, от которых процесс запущен. Проявляются много позже.

    ЗЫ загрузил карантин как требуется
    Вложения Вложения
    Последний раз редактировалось godpapa; 06.04.2008 в 20:49.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Скачайте IceSword.

    Запустите его, внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Bfi36.sys и если есть - удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Alex\Application Data\ezpinst.exe','');
    QuarantineFile('C:\Program Files\Trident Software\Pragma\ptbar.dll','');
    QuarantineFile('xlibgfl254.dll','');
    QuarantineFile('C:\WINDOWS\system32\xlibgfl254.dll','');
    QuarantineFile('WLCtrl32.dll','');
    QuarantineFile('C:\WINDOWS\system32\spoolvs.exe','');
    QuarantineFile('C:\WINDOWS\Installer\{aa4470d1-f302-40f7-befe-1177d84e8120}\CDRam.dll','');
    QuarantineFile('C:\WINDOWS\Installer\{a65c86bc-ae70-4519-b745-74ae33207984}\PrxComponent.dll','');
    QuarantineFile('C:\DOCUME~1\Lena\LOCALS~1\Temp\DMSKSSRh.sys','');
    QuarantineFile('Cjun72.sys','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Cjun72.sys','');
    QuarantineFile('C:\WINDOWS\System32\Drivers\Bfi36.sys','');
    QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
    DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
    DeleteFile('C:\WINDOWS\system32\Drivers\Bfi36.sys');
    DeleteFile('C:\WINDOWS\system32\xlibgfl254.dll');
    DeleteFile('C:\DOCUME~1\Lena\LOCALS~1\Temp\DMSKSSRh.sys');
    DeleteFile('C:\WINDOWS\system32\spoolvs.exe');
    DeleteFile('WLCtrl32.dll');
    DeleteFile('xlibgfl254.dll');
    DelBHO('{47833539-D0C5-4125-9FA8-0819E2EAAC93}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_QrSvc('Cjun72');
    BC_DeleteSvc('Bfi36');
    BC_DeleteSvc('DMSKSSRh');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21113 ).

    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    O4 - Global Startup: .protected
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  9. #8
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    59
    Всё сделал. Карантин только надо заслать, но больше раза вроде как этого делать не рекомендуется, согласно правилам )
    Вложения Вложения

  10. #9
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Карантин просто один и тот же не рекомендуют загружать дважды, а если это разные карантины, то конечно же загружайте.

    Добавлено через 1 минуту

    ezpinst.exe поищите при помощи АВЗ -сервис--поиск файлов на диске и пришлите согласно приложению 2 правил.
    Последний раз редактировалось wise-wistful; 06.04.2008 в 22:15. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    59
    выслал

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    ezpinst.exe

    Вредоносный код в файлах не обнаружен.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\Drivers\Cjun72.sys');
    DeleteFile('Cjun72.sys');
    DeleteFile('C:\WINDOWS\Installer\{aa4470d1-f302-40f7-befe-1177d84e8120}\CDRam.dll');
    DeleteFile('C:\WINDOWS\Installer\{a65c86bc-ae70-4519-b745-74ae33207984}\PrxComponent.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('Cjun72');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Записи в файл Hosts Вы вносили? Если нет и они Вам не нужны, то выполните такой скрипт в AVZ:
    Код:
    begin
    ClearHostsFile;
    end.
    Сделайте новые логи.
    Последний раз редактировалось kps; 06.04.2008 в 23:11. Причина: Добавлено
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  14. #13
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    59
    Много раз при проверке\лекчении и анализа (2 и 3 стандартные скрипты) выскакивал bsod, причем при послдеующей загрузке никакой мессаги не выказал, ну да ладно. ezpinst.exe я удалил айссвордом. После перезагрузки залез в службы, система оповещения оказалась выключена, а служба брандмауэра отсутствует как таковая. После некскольких бсодов логи таки создал.

    ЗЫ Ксатати, как тут респекты высказывать хэлперам? А то я бы уже без поддежки копировал бы через линух файлы, и форматил хард.
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Логи почти чистые. Почти - потому что у Вас есть C:\Program Files\Bonjour\ Почитайте по этому поводу: http://forum.rudtp.ru/showthread.php?t=29833
    Выполните на всякий случай пункт 2 правил.

    Зайдите в AVZ - Сервис - Системные утилиты - SFC проверка системных файлов.
    Понадобится установочный диск Windows.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Junior Member Репутация
    Регистрация
    06.04.2008
    Сообщений
    14
    Вес репутации
    59
    Спасибо )) Всё супер

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 6
    • Обработано файлов: 154
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.dm (DrWEB: Trojan.DownLoader.54123)
      2. c:\\windows\\temp\\bnb.tmp - Trojan-Downloader.Win32.Agent.mkb (DrWEB: Trojan.DownLoader.56617)


  • Уважаемый(ая) godpapa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. wowfx.dll
      От Михаил Баринов в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:57
    2. wowfx.dll
      От Adamant в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 07:44
    3. Зачистка после fttdll.dll, wowfx.dll & Co
      От pavka в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 04:41
    4. medichi, medichi2 и wowfx не могу убрать...
      От ViVeda в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 03:11
    5. wowfx.dll-что это?
      От pomy в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.04.2008, 15:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01654 seconds with 20 queries