WLCtrl32.dll

Printable View

18.03.2008, 13:30
azz

Вложений: 2

WLCtrl32.dll

nod видит только производимые tmp' шки, касперский только дллку указанную в названии.
18.03.2008, 13:38
akok

virusinfo_cure.zip - это карантин удалите и пришлите по ссылке

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Rlt22', 4);
QuarantineFile('C:\WINDOWS\system32\Drivers\Rlt22.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('c:\windows\temp\bn2.tmp','');
DeleteFile('c:\windows\temp\bn2.tmp');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Rlt22.sys');
BC_ImportALL;
BC_DeleteSvc('Rlt22');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=20030[/url]

Повторите логи
18.03.2008, 14:10
azz

Вложений: 3

сделал
18.03.2008, 14:16
Bratez

Выполните такой скрипт:
[code]
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Rlt22\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Rlt22.sys');
BC_DeleteSvc('Rlt22');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Rlt22.sys');
BC_DeleteFile('C:\WINDOWS\System32\WLCtrl32.dll');
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новые логи, начиная с п.10 правил.
18.03.2008, 14:26
azz

Вложений: 2

done
18.03.2008, 14:36
Bratez

Нда, без самурайского меча не обойтись ;)
Качайте: [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url]
Распаковать, запустить, слева внизу [b]File[/b], и для следующих файлов сделать Force Delete:
C:\WINDOWS\System32\drivers\Ycb66.sys
C:\WINDOWS\system32\WLCtrl32.dll

Далее выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\drivers\Ycb66.sys');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\TEMP\BN4.tmp');
BC_ImportDeletedList;
BC_DeleteSvc('Ycb66');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки очистите полностью папку
C:\WINDOWS\TEMP
и сделайте новые логи.
18.03.2008, 15:26
azz

Вложений: 3

Все, походу сдох, спасибо.
Один вопрос - чем Вам Ycb66.sys не понравился? Или остальные модули стандартно известны?
18.03.2008, 15:44
akok

Этот файлик прикрывал WLCtrl32.dll :)

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Осталось немного
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing) [/CODE]

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Повторите логи с п.10 Правил
18.03.2008, 16:02
azz

Вложений: 2

[QUOTE]Этот файлик прикрывал WLCtrl32.dll :)[/QUOTE]
Это я понял, только не нашел в логах явного указания на него.
18.03.2008, 16:25
kps

В логе из вашего поста N 5 он есть под графой "Модули пространсва ядра" внизу. Это драйвер руткита.

Ваши новые логи чистые.
Нам интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
18.03.2008, 17:50
PavelA

В логе Хиджака WLCtrl32.dll тоже виден и очень подозрительно место, где он записан.
18.03.2008, 18:28
azz

[quote=PavelA;203716]В логе Хиджака WLCtrl32.dll тоже виден и очень подозрительно место, где он записан.[/quote]
Я имел в виду Ycb66.sys, с WLCtrl32.dll все понятно)
Если это модуль руткита, то опознали его по одному из возможных имен или по каким-то другим признакам?
18.03.2008, 18:35
kps

Ycb66.sys - драйвер Булкнета. Частично имя (3 случайных буквы и 2 цифры) и некоторые другие признаки (например несистемный драйвер и др.) указывают на это. WLCtrl32.dll тоже с ним в комплекте идет.
18.03.2008, 19:01
azz

Ясно, спасибо.
22.02.2009, 04:28
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Agent.kif[/B] (DrWEB: Trojan.DownLoader.49451)[*] c:\\windows\\temp\\bn2.tmp - [B]Trojan-Downloader.Win32.Agent.leu[/B] (DrWEB: Trojan.DownLoader.50217)[/LIST][/LIST]