Здравствуйте. Утилитой CureIt в безопасном режиме удаляю подобные файлы, но после перезагрузки все повторяется. Svchost.exe соединен с кучей адресов и идет бешеный входящий трафик.
Printable View
Здравствуйте. Утилитой CureIt в безопасном режиме удаляю подобные файлы, но после перезагрузки все повторяется. Svchost.exe соединен с кучей адресов и идет бешеный входящий трафик.
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
BC_DeleteSvc('Sxd16');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd16.sys','');
BC_DeleteSvc('Hmr84');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hmr84.sys','');
BC_DeleteSvc('Lqv51');
QuarantineFile('C:\WINDOWS\system32\Drivers\Lqv51.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Lqv51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hmr84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sxd16.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Карантин прислал.
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Lqv51', 4);
QuarantineFile('C:\WINDOWS\system32\Drivers\Lqv51.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Lqv51.sys');
BC_ImportALL;
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteSvc('Lqv51');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19776[/url]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll[/CODE]
Повторите логи.
Карантин выслал, через пару минут будут логи.
Прикрепить к предыдущему почему-то не получилось.
Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Lqv51.sys.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
Выполните скрипт в посте №4
Повторите логи.
В Hijackthis пофиксенная О20 появляется после каждой перезагрузки.
в IceSword удалите ...
C:\WINDOWS\system32\Drivers\Cim83.sys
C:\WINDOWS\system32\WLCtrl32.dll
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Cim83');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cim83.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Cim83.sys');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
Рядом с файлом WLCtrl32.dll лежит WLCtrl32.dl_
С ним что-то делать ?
Логи.
[QUOTE=DonRumata;202024]Рядом с файлом WLCtrl32.dll лежит WLCtrl32.dl_
С ним что-то делать ?[/QUOTE]
В карантин через AVZ добавить и прислать на проверку. Скорее всего, копия зловреда.
Выслал.
Живучий гад попался, все его части на месте сидят.
WLCtrl32.dl_ - Симантек влет убил, сказал :Trojan.Pandex
Значит это еще одна его часть.
Убиваем в IceSword C:\WINDOWS\System32\Drivers\Hmr51.sys,WLCtrl32.dl_,
WLCtrl32.dll
Затем бьем скриптом:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Clearhostsfile;
StopService('Hmr51');
SetServiceStart('Hmr51', 4);
QuarantineFile('C:\WINDOWS\System32\Drivers\Hmr51.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Hmr51.sys');
DeleteFile('WLCtrl32.dl_');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После этого новые логи с п.10
З.Ы. "Трудно быть богом", а?
Порывшись в реестре нашел следующие ссылочки на WLCtrl32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32
ключ DLLName со значением WLCtrl32.dll
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
ключ PendingFileRenameOperations со значением \??\C:\WINDOWS\System32\WLCtrl32.dl_
!\??\C:\WINDOWS\System32\WLCtrl32.dll
Особенно интересным мне показался второй ключ с переименованием. Может тут собака порылась ? Может стоит попробовать убить ссылки в реестре на эту дрянь ?
P.S. Приветствую Вас, Благородный Дон Гуг ))))))
Логи.
Логи сообщением выше. А в реестре эти строки уже исчезли.
Сообщения исчезают что-то...
Лекарство сработало. Следов не видно.
Единственное что может перестать работать lineage. Надо будет его заново в файл hosts вписывать.
WLCtrl32.dl_ - Trojan-Downloader.Win32.Agent.ldb (по Касперскому) для справки.
Спасибо, Доны )
Посмотри в карантине нет ли 'C:\WINDOWS\System32\Drivers\Hmr51.sys'
Если найдется, пришли.