Здравствуйте. Помогить удалить вирус, который накачал огромный трафик. Я почистил все, что смог, а WLCtrl32.dll никак не удалятся.
Здравствуйте. Помогить удалить вирус, который накачал огромный трафик. Я почистил все, что смог, а WLCtrl32.dll никак не удалятся.
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Cистема должна быть перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=21379 , как написано в прил.3 правил, и сделайте новые логи, начиная с п. 10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\Fxdrv.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Wfl53.sys',''); QuarantineFile('C:\Auth\WPOSS.DLL',''); QuarantineFile('c:\auth\wpos.exe',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\L EGACY_Wfl53\0000', 'CSConfigFlags', '1'); BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\system32\Drivers\Wfl53.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Eta50.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Gea52.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Lfm76.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Lmc26.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Sty22.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Tst36.sys'); BC_DeleteSVC('Wfl53'); BC_ImportquarantineList; BC_Activate; RebootWindows(true); end.
Карантин выслал
Нужны новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Логи высылаю
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Wfl53.sys и если есть - удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Wfl53.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Eta50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Gea52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Lfm76.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Lmc26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Sty22.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Tst36.sys'); DeleteFile('WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GRYUY5OB\loader[1].exe'); DeleteFile('C:\WINDOWS\Temp\loader.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Tst36'); BC_DeleteSvc('Sty22'); BC_DeleteSvc('Lmc26'); BC_DeleteSvc('Lfm76'); BC_DeleteSvc('Gea52'); BC_DeleteSvc('Eta50'); BC_DeleteSvc('Wfl53'); BC_Activate; RebootWindows(true); end.
Сделайте новые логи.
Последний раз редактировалось kps; 11.04.2008 в 15:27. Причина: Карантин не нужен после скрипта
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Высылаю
Руткит удален.
Вот это Вам знакомо?:
C:\Auth\wpos.bat
Если незнакомо - пришлите нам http://virusinfo.info/upload_virus.php?tid=21379
Пофиксите в HijackThis:
И еще вот это Вам знакомо?Код:O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
O17 - HKLM\System\CCS\Services\Tcpip\..\{93345935-3CE7-4877-AD07-68F07D41EA32}: NameServer = 195.54.3.2,195.54.2.1
Сделайте новый лог HijackThis
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Да, это все знакомо. Спасибо большое!
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Для статистики, в карантине:
C:\WINDOWS\system32\Drivers\Wfl53.sys - Trojan-Downloader.Win32.Agent.lxa
C:\WINDOWS\system32\WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.hx
(по классификации лаборатории Касперского)
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\wfl53.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.DownLoader.50037)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.hx (DrWEB: Trojan.DownLoader.56882)
Уважаемый(ая) Damir, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.