Кроме этого, при каждом запуске компьютера NOD сообщает о наличии вируса, исправно его удаляет, но при новом старте вновь его находит.
Кроме этого, при каждом запуске компьютера NOD сообщает о наличии вируса, исправно его удаляет, но при новом старте вновь его находит.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\temp\bn9.tmp'); QuarantineFile('C:\WINDOWS\System32\Drivers\Blb17.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('c:\windows\temp\bn9.tmp',''); DeleteFile('c:\windows\temp\bn9.tmp'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Blb17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ejt37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Fad16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ixi74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Kxd26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Mfa35.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Mwm03.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nii33.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pjt84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Qol16.sys'); DeleteFile('WLCtrl32.dll'); BC_ImportAll; BC_DeleteSvc('Qol16'); BC_DeleteSvc('Pjt84'); BC_DeleteSvc('Nii33'); BC_DeleteSvc('Mwm03'); BC_DeleteSvc('Mfa35'); BC_DeleteSvc('Kxd26'); BC_DeleteSvc('Ixi74'); BC_DeleteSvc('Fad16'); BC_DeleteSvc('Ejt37'); BC_DeleteSvc('Blb17'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21129
Повторите логи
Запрошенные логи
Для удаления C:\WINDOWS\system32\WLCtrl32.dll и C:\WINDOWS\System32\Drivers\Yoe61.sys, C:\WINDOWS\System32\Drivers\Kda66.sys
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем указанные файлы.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
Выполните в АВЗ
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\temp\bn9.tmp'); DeleteFile('c:\windows\temp\bn9.tmp'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Kda66.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Yoe61.sys'); DeleteFile('WLCtrl32.dll'); BC_ImportDeletedList; BC_DeleteSvc('Kda66'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.Решите при помощи АВЗ файл--Мастер поиска и устранения проблем.>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
Повторите логи.
Не смотря на все манипуляции, в списке процессов вижу BN9.tmp
Отключите антивирус.
Зайдите в IceSword - меню File - найдите файл C:\WINDOWS\System32\Drivers\Yoe61.sys и если есть - удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\ISUSPM.cpl',''); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe',''); QuarantineFile('Yoe61.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Yoe61.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('c:\windows\temp\bn9.tmp',''); DeleteFile('c:\windows\temp\bn9.tmp'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('Yoe61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Yoe61.sys'); DeleteFile('WLCtrl32.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21129 ).
Пофиксите в HijackThis:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".Код:O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Сделайте новые логи.
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Вот это надо обновить, иначе будем часто встречаться в разделе "Помогите!".
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.da (DrWEB: Trojan.DownLoader.54123)
- c:\\windows\\temp\\bn9.tmp - Trojan-Downloader.Win32.Agent.mkb (DrWEB: Trojan.DownLoader.56617)
Уважаемый(ая) Ramzero, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.