Здравствуйте. Утилитой CureIt в безопасном режиме удаляю подобные файлы, но после перезагрузки все повторяется. Svchost.exe соединен с кучей адресов и идет бешеный входящий трафик.
Здравствуйте. Утилитой CureIt в безопасном режиме удаляю подобные файлы, но после перезагрузки все повторяется. Svchost.exe соединен с кучей адресов и идет бешеный входящий трафик.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); BC_DeleteSvc('Sxd16'); QuarantineFile('C:\WINDOWS\System32\Drivers\Sxd16.sys',''); BC_DeleteSvc('Hmr84'); QuarantineFile('C:\WINDOWS\System32\Drivers\Hmr84.sys',''); BC_DeleteSvc('Lqv51'); QuarantineFile('C:\WINDOWS\system32\Drivers\Lqv51.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Lqv51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Hmr84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Sxd16.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Карантин прислал.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('Lqv51', 4); QuarantineFile('C:\WINDOWS\system32\Drivers\Lqv51.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Lqv51.sys'); BC_ImportALL; BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); BC_DeleteSvc('Lqv51'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19776
Добавлено через 1 минуту
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Повторите логи.Код:O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Последний раз редактировалось akoK; 14.03.2008 в 16:01. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Карантин выслал, через пару минут будут логи.
Прикрепить к предыдущему почему-то не получилось.
Скачайте IceSword.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Lqv51.sys.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
Выполните скрипт в посте №4
Повторите логи.
Microsoft Most Valuable Professional in Consumer Security
В Hijackthis пофиксенная О20 появляется после каждой перезагрузки.
в IceSword удалите ...
C:\WINDOWS\system32\Drivers\Cim83.sys
C:\WINDOWS\system32\WLCtrl32.dll
выполните скрипт ...
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Cim83'); QuarantineFile('C:\WINDOWS\System32\Drivers\Cim83.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Cim83.sys'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('WLCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Рядом с файлом WLCtrl32.dll лежит WLCtrl32.dl_
С ним что-то делать ?
Логи.
Выслал.
Живучий гад попался, все его части на месте сидят.
WLCtrl32.dl_ - Симантек влет убил, сказал :Trojan.Pandex
Значит это еще одна его часть.
Убиваем в IceSword C:\WINDOWS\System32\Drivers\Hmr51.sys,WLCtrl32.dl_ ,
WLCtrl32.dll
Затем бьем скриптом:
После этого новые логи с п.10Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); Clearhostsfile; StopService('Hmr51'); SetServiceStart('Hmr51', 4); QuarantineFile('C:\WINDOWS\System32\Drivers\Hmr51.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Hmr51.sys'); DeleteFile('WLCtrl32.dl_'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
З.Ы. "Трудно быть богом", а?
Последний раз редактировалось PavelA; 14.03.2008 в 18:38.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Порывшись в реестре нашел следующие ссылочки на WLCtrl32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32
ключ DLLName со значением WLCtrl32.dll
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Se ssion Manager
ключ PendingFileRenameOperations со значением \??\C:\WINDOWS\System32\WLCtrl32.dl_
!\??\C:\WINDOWS\System32\WLCtrl32.dll
Особенно интересным мне показался второй ключ с переименованием. Может тут собака порылась ? Может стоит попробовать убить ссылки в реестре на эту дрянь ?
P.S. Приветствую Вас, Благородный Дон Гуг ))))))
Логи.
Логи сообщением выше. А в реестре эти строки уже исчезли.
Сообщения исчезают что-то...
Лекарство сработало. Следов не видно.
Единственное что может перестать работать lineage. Надо будет его заново в файл hosts вписывать.
WLCtrl32.dl_ - Trojan-Downloader.Win32.Agent.ldb (по Касперскому) для справки.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо, Доны )
Посмотри в карантине нет ли 'C:\WINDOWS\System32\Drivers\Hmr51.sys'
Если найдется, пришли.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) DonRumata, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.