Показано с 1 по 14 из 14.

Проблема с интернетом (заявка № 25462)

  1. #1
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    55
    Вес репутации
    58

    Question Проблема с интернетом

    При загрузке системы антивирус (NOD32) молчит, а вот при подключении к интернету выдает окно, что обнаружен вирус:
    Файл: C:\WINDOWS\System32\drivers\Winwa46.sys
    Вирус: Win32/Wigon.CK троян
    Комментарий: Событие в новом файле, созданном приложением C:\WINDOWS\Temp\BN31.tmp. Файл был перемещен в карантин...
    Подобное сообщение выскакивает каждый раз при соединении с интернетом (после загразки системы), но периодически меняются имена файла (Winye58.sys, Winqi00.sys и др.).
    P.S. При этом через определённое время начинает сильно расходоваться трафик.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winye58');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winye58.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winye58.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки и кэш проводников.
    -Закачайте карантин по красной ссылке вверху темы
    -Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    55
    Вес репутации
    58
    При выполнении скрипта появляется ошибка Failed to set data for 'DisplayName'.
    Ошибка в работе антируткита.
    И ещё антивирус сегодня изолировал (удалил) файлы Winhw17.sys, Windb20.sys, Winwa46.sys из C:\WINDOWS\System32\drivers\. Они обновляются после перезагрузки и подключения к интеренту.
    Последний раз редактировалось QU1ET; 28.06.2008 в 13:23.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Где повторные логи?

  6. #5
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    55
    Вес репутации
    58
    Пофиксил то, что отметили. Скрипт, к сожалению, не выполнился. Логи прилагаю.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте отсюда: http://virusinfo.info/showthread.php?t=17228, найдите и через опцию force delete удалите файлы
    Код:
    C:\WINDOWS\System32\Drivers\Winye58.sys
    C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
    O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winye58');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winye58.sys','');
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winye58.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки и кэш проводников.
    -Закачайте карантин по красной ссылке вверху темы
    -Повторите логи.

  8. #7
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    55
    Вес репутации
    58
    Пификсил то, что отметили. Попытался удалить файлы:
    C:\WINDOWS\System32\Drivers\Winye58.sys - этого уже нет,
    C:\WINDOWS\SYSTEM32\WinCtrl32.dll - не удалился (как я наблюдаю).
    Скрипт не выполнился (ошибка руткита).
    Карантин отправил. Логи прилагаю.
    P.S. Антивирус продолжает ругаться.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Системное восстановление и Антивирус у Вас выключены?
    Скачайте последнюю версию Хайджека
    Повторите действия с IceSword отсюда:
    http://virusinfo.info/showpost.php?p=248049&postcount=6
    Скрипт новый прогоните
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('Winye58', 4);
     DeleteService('Winye58');
     StopService('Winye58');
     BC_DeleteSvc('Winye58'); 
     BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winye58.sys');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После ребута повторите логи
    Последний раз редактировалось Rene-gad; 28.06.2008 в 19:24. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    55
    Вес репутации
    58
    Обновление и антивирус отключены. Когда делаю действия с IceSword, то вижу там ещё один файл WinCtrl32.dl_ (его не трогаю). WinCtrl32.dll появляется после перезагрузки. Скрипты не выполняются (ошибка антируткита).

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от QU1ET Посмотреть сообщение
    то вижу там ещё один файл WinCtrl32.dl_ (его не трогаю).
    Напрасно - он все и восстанавливает после удаления. Повторите все действия - теперь уже с удалением этого файла. Можете также удалить подобные зтому: Winye58 - начинается с W, 5 букв+ 2 цифры.

  12. #11
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    55
    Вес репутации
    58
    WinCtrl32.dl_ удалил, WinCtrl32.dll после перезагрузки не появился. При подключении к интернету антивирус не жаловался. За трафиком буду следить.
    Проблема была (надеюсь она устранилась) в этом WinCtrl32.dll??? Логи нужно отправлять?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от QU1ET Посмотреть сообщение
    Проблема была (надеюсь она устранилась) в этом WinCtrl32.dll??? Логи нужно отправлять?
    Угу

  14. #13
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    55
    Вес репутации
    58
    Вот логи. Хотелось бы узнать, что это за зараза WinCtrl32.dll и где я её мог подцепить?

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aij (DrWEB: Trojan.DownLoader.63553)


  • Уважаемый(ая) QU1ET, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблема с интернетом.
      От Bena2 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.04.2012, 02:38
    2. Проблема с интернетом
      От BlackMarket в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 10.02.2012, 00:40
    3. проблема с интернетом...
      От DistriX в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 26.11.2010, 15:48
    4. проблема с интернетом
      От е2е4 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 26.10.2010, 00:11
    5. Проблема с интернетом
      От Anderson в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 18.12.2007, 14:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01160 seconds with 17 queries