Кроме этого, при каждом запуске компьютера NOD сообщает о наличии вируса, исправно его удаляет, но при новом старте вновь его находит.
Printable View
Кроме этого, при каждом запуске компьютера NOD сообщает о наличии вируса, исправно его удаляет, но при новом старте вновь его находит.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\bn9.tmp');
QuarantineFile('C:\WINDOWS\System32\Drivers\Blb17.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('c:\windows\temp\bn9.tmp','');
DeleteFile('c:\windows\temp\bn9.tmp');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Blb17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ejt37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fad16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ixi74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kxd26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mfa35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mwm03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nii33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pjt84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qol16.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportAll;
BC_DeleteSvc('Qol16');
BC_DeleteSvc('Pjt84');
BC_DeleteSvc('Nii33');
BC_DeleteSvc('Mwm03');
BC_DeleteSvc('Mfa35');
BC_DeleteSvc('Kxd26');
BC_DeleteSvc('Ixi74');
BC_DeleteSvc('Fad16');
BC_DeleteSvc('Ejt37');
BC_DeleteSvc('Blb17');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=21129[/url]
Повторите логи
Запрошенные логи
Для удаления C:\WINDOWS\system32\WLCtrl32.dll и C:\WINDOWS\System32\Drivers\Yoe61.sys, C:\WINDOWS\System32\Drivers\Kda66.sys
Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем указанные файлы.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
Выполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\bn9.tmp');
DeleteFile('c:\windows\temp\bn9.tmp');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Kda66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yoe61.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
BC_DeleteSvc('Kda66');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
[quote]>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
[/quote]
Решите при помощи АВЗ файл--Мастер поиска и устранения проблем.
Повторите логи.
Не смотря на все манипуляции, в списке процессов вижу BN9.tmp:?
Отключите антивирус.
Зайдите в IceSword - меню File - найдите файл C:\WINDOWS\System32\Drivers\Yoe61.sys и если есть - удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\ISUSPM.cpl','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe','');
QuarantineFile('Yoe61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Yoe61.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('c:\windows\temp\bn9.tmp','');
DeleteFile('c:\windows\temp\bn9.tmp');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('Yoe61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Yoe61.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=21129[/url] ).
[url=http://virusinfo.info/showthread.php?t=4491]Пофиксите в HijackThis[/url]:
[code]O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
[/code]
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Сделайте новые логи.
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Вот это надо обновить, иначе будем часто встречаться в разделе "Помогите!".
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.da[/B] (DrWEB: Trojan.DownLoader.54123)[*] c:\\windows\\temp\\bn9.tmp - [B]Trojan-Downloader.Win32.Agent.mkb[/B] (DrWEB: Trojan.DownLoader.56617)[/LIST][/LIST]