-
Junior Member
- Вес репутации
- 59
Помогите справиться с заразой!
Буквально сегодня подхватил вот эту штуку - WLCtrl32.dll и WLCtrl32. Проверял их и Авастом! и Касперским - безрезультатно! Пробовал удалить вручную - то же самое! Почитат тут похожие темы, но решения для своей проблемы не нашел. Может быть вы поможете персональным советом) Заранее благодарю)
Последний раз редактировалось RevolteD; 31.07.2008 в 13:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Jqw52', 4);
StopService('Jqw52');
TerminateProcessByName('c:\windows\temp\bn166.tmp');
QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
QuarantineFile('C:\DOCUME~1\Sasha\LOCALS~1\Temp\1\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('c:\windows\temp\bn166.tmp','');
DeleteFile('c:\windows\temp\bn166.tmp');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\DOCUME~1\Sasha\LOCALS~1\Temp\1\svchost.exe');
DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Jqw52.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
DeleteFile('c:\windows\system32\..\svchost.exe');
BC_ImportAll;
BC_DeleteSvc('IDriverT');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('grande48');
BC_DeleteSvc('ZZZsvc_lich');
BC_DeleteSvc('Adobe LM Service');
BC_DeleteSvc('CcEvtSvc');
BC_DeleteSvc('Jqw52');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20908
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Повторите логи.
-
Junior Member
- Вес репутации
- 59
Карантин выслал. Вот логи:
Последний раз редактировалось RevolteD; 31.07.2008 в 13:33.
-
Скачать,меню,File,появится аналог проводника,найти:WLCtrl32.dll,Jqw52.sys,правая кнопка мыши Force Delete.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Jqw52\0000', 'CSConfigFlags', '1');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile(' C:\lich.exe ',' ');
QuarantineFile('C:\WINDOWS\system32\Drivers\Jqw52.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteService('Jqw52');
DeleteFile('C:\WINDOWS\system32\Drivers\Jqw52.sys');
DeleteFile('Jqw52.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('C:\lich.exe ');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Jqw52 ');
BC_DeleteSvc('ZZZsvc_lich ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=20908
-
-
Junior Member
- Вес репутации
- 59
В первый раз после выполнения скрипта вышло сообщение Аваста, что в папке C:\WINDOWS\system32\drivers обнаружен троян (в списке карантина его нет). Нажал на "Удалить" и перезагрузка не пошла. Перезагрузил самостоятельно, повторил скрипт, опять вышло это сообщение, но в этот раз перезагрузка автоматически осуществилась)
Карантин выслал
-
Перед выполнением скрипта антивирус надо отключать, что написано в правилах.
-
-
Junior Member
- Вес репутации
- 59
WLCtrl32.dll вроде исчез, по крайней мере, после перезагрузки системы он не появляется) все? я вылечен?)
-
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось RevolteD; 31.07.2008 в 13:33.
-
пофиксите ...
Код:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
больше ничего подозрительного ....
-
-
Как система?
Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
Junior Member
- Вес репутации
- 59
Огромное спасибо, ребята! Вы мне очень помогли! Куча благодарностей в ваш адрес!)