Здравствуйте. Помогить удалить вирус, который накачал огромный трафик. Я почистил все, что смог, а WLCtrl32.dll никак не удалятся.
Printable View
Здравствуйте. Помогить удалить вирус, который накачал огромный трафик. Я почистил все, что смог, а WLCtrl32.dll никак не удалятся.
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Fxdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Wfl53.sys','');
QuarantineFile('C:\Auth\WPOSS.DLL','');
QuarantineFile('c:\auth\wpos.exe','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\L EGACY_Wfl53\0000', 'CSConfigFlags', '1');
BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Wfl53.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Eta50.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Gea52.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Lfm76.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Lmc26.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Sty22.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Tst36.sys');
BC_DeleteSVC('Wfl53');
BC_ImportquarantineList;
BC_Activate;
RebootWindows(true);
end.[/code] Cистема должна быть перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=21379[/url] , как написано в прил.3 правил, и сделайте новые логи, начиная с п. 10 правил.
Карантин выслал
Нужны новые логи.
Логи высылаю
Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Wfl53.sys и если есть - удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Wfl53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Eta50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gea52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lfm76.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lmc26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sty22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tst36.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GRYUY5OB\loader[1].exe');
DeleteFile('C:\WINDOWS\Temp\loader.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Tst36');
BC_DeleteSvc('Sty22');
BC_DeleteSvc('Lmc26');
BC_DeleteSvc('Lfm76');
BC_DeleteSvc('Gea52');
BC_DeleteSvc('Eta50');
BC_DeleteSvc('Wfl53');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.
Высылаю
Руткит удален.
Вот это Вам знакомо?:
C:\Auth\wpos.bat
Если незнакомо - пришлите нам [url]http://virusinfo.info/upload_virus.php?tid=21379[/url]
[url=http://virusinfo.info/showthread.php?t=4491]Пофиксите в HijackThis[/url]:
[code]O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\[/code]
И еще вот это Вам знакомо?
O17 - HKLM\System\CCS\Services\Tcpip\..\{93345935-3CE7-4877-AD07-68F07D41EA32}: NameServer = 195.54.3.2,195.54.2.1
Сделайте новый лог HijackThis
Да, это все знакомо. Спасибо большое!
Нам интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Для статистики, в карантине:
C:\WINDOWS\system32\Drivers\Wfl53.sys - [b]Trojan-Downloader.Win32.Agent.lxa[/b]
C:\WINDOWS\system32\WLCtrl32.dll - [b]Trojan-Downloader.Win32.Mutant.hx[/b]
(по классификации лаборатории Касперского)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\wfl53.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.DownLoader.50037)[*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.hx[/B] (DrWEB: Trojan.DownLoader.56882)[/LIST][/LIST]