-
Junior Member
- Вес репутации
- 59
Проблема с Wlctrl32.dll и c процессами в системе
Загружаю компьютер , через пару минут в диспечере задач появляються процессы типа лишних svchost.exe , iexplorer.exe ( хотя его еще никто не открывал ) и BN3.tmp ( вместо 3 еще может быть цифры от 4 до 9 ) . Система грузиться на 300-600 мегабайт больше , чем обычно . Заранее благодарен за помощь .
PS : Прошу прощения за безграмотность .
Последний раз редактировалось rikinaru; 20.10.2008 в 19:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы, там сидят все враги.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Wib52', 4);
StopService('Wib52');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vcn87.sys','');
QuarantineFile('D:\NTACCESS.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nsc27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lxr75.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hjs38.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Wib52.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll','');
QuarantineFile('c:\windows\temp\bn3.tmp','');
DeleteFile('c:\windows\temp\bn3.tmp');
DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Wib52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hjs38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lxr75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nsc27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vcn87.sys');
BC_ImportAll;
BC_DeleteSvc('Wib52');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19849
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Повторите логи.
-
Junior Member
- Вес репутации
- 59
Прогресс не заметен по моему
Последний раз редактировалось rikinaru; 20.10.2008 в 19:57.
Человек, как сказано, имеет свободу воли. Значит, он имеет право и на дурость. Чем, понятно, пользуется ого-го как часто.
-
Ну почему прогрес не заметен. Маленький прогрес всё таки есть.
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Wib52.sys.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
Затем выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\bn3.tmp');
SetServiceStart('Wib52', 4);
StopService('Wib52');
DeleteFile('c:\windows\temp\bn3.tmp');
DeleteFile('C:\WINDOWS\System32\Drivers\Wib52.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\WLCtrl32.dll');
BC_ImportAll;
BC_DeleteSvc('Wib52');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи.
Добавлено через 14 минут
WLCtrl32.dll - Trojan-Downloader.Win32.Agent.kif, bn3.tmp - Тrojan-Downloader.Win32.Agent.leu
Последний раз редактировалось wise-wistful; 15.03.2008 в 01:51.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 59
Вроде все действительно пришло в норму
Последний раз редактировалось rikinaru; 20.10.2008 в 19:57.
Человек, как сказано, имеет свободу воли. Значит, он имеет право и на дурость. Чем, понятно, пользуется ого-го как часто.
-
Да врагов не видать.
Скажите Wib52.sys - сносили IceSword?
-
Junior Member
- Вес репутации
- 59
Человек, как сказано, имеет свободу воли. Значит, он имеет право и на дурость. Чем, понятно, пользуется ого-го как часто.