Здраствуте. У меня совсем не новая для вас проблема. Не могу удалить wlctrl32.dll. Постоянно восстанавливается и создает каждый раз новые сисы в папке c:\windows\system32\driverrs\.
Прилогаю все логи. Помогите скриптиком.
WlCTRL32.dll Ненавижу
Здраствуте. У меня совсем не новая для вас проблема. Не могу удалить wlctrl32.dll. Постоянно восстанавливается и создает каждый раз новые сисы в папке c:\windows\system32\driverrs\.
Прилогаю все логи. Помогите скриптиком.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Куда логи прилогаете?
Ни как не могу сделать логи. Комп постоянно перегружается. Буд дальше с ним воеватью
Сделал логи, помогите, пожалуйста
Последний раз редактировалось Oleg_step; 28.05.2009 в 16:28.
Скачать,меню,File,появится аналог проводника,найти:Kqv38.sys,Fmr16,WLCtrl32.dll,Saf2 8.sys,правая кнопка мыши Force Delete.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('crypts.dll',''); QuarantineFile('sysfldr.dll',''); QuarantineFile('c:\TEMP\load.exe/r',''); QuarantineFile('WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\Help\oqtxde.chm',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Fmr16.sys',''); QuarantineFile('c:\Temp\catchme.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\lemsgt.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Kqv38.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\sysfldr.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Saf28.sys',''); DeleteService('symavc32'); DeleteService('Saf28'); DeleteService('oqtxde'); DeleteService('Fmr16'); DeleteService('Kqv38'); DeleteFile('C:\WINDOWS\system32\sysfldr.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Kqv38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Fmr16.sys'); DeleteFile('C:\WINDOWS\Help\oqtxde.chm'); DeleteFile('C:\WINDOWS\System32\Drivers\Saf28.sys'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('WLCtrl32.dll'); DeleteFile('c:\TEMP\load.exe/r'); DeleteFile('sysfldr.dll'); DeleteFile('crypts.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Saf28 '); BC_DeleteSvc('Fmr16 '); BC_DeleteSvc('Kqv38 '); BC_DeleteSvc('oqtxde '); BC_DeleteSvc('symavc32 '); BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=20949
Повторите логи.
Файл отослал. Логи на очереди.
Добавлено через 1 минуту
Почему он у меня постоянно перезагружается при создании логов?
Последний раз редактировалось Oleg_step; 03.04.2008 в 17:37. Причина: Добавлено
Вот два лога, которые успел сделать. Спасибо за скрипт. Хочется уже со всем этим покончить. Пробую доделать третий.
Последний раз редактировалось Oleg_step; 28.05.2009 в 16:28.
Третий готов.
Последний раз редактировалось Oleg_step; 28.05.2009 в 16:28.
Запустите IceSword, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\System32\Drivers\Kqv38.sys и если есть удалите с помощью force delete (на запрос подтверждения ответьте "да").
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: sysfldr - C:\WINDOWS\ O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\MyPlayCityRU\tbMyPl.dll',''); QuarantineFile('C:\Program Files\IE Extensions\cj.v2.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\riode32.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Kqv38.sys',''); QuarantineFile('C:\WINDOWS\System32\DRIVERS\hwpsgt.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Kqv38.sys'); DeleteFile('C:\Program Files\IE Extensions\cj.v2.dll'); DeleteFile('C:\WINDOWS\system32\drivers\riode32.sys'); DelBHO('{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('riode32'); BC_DeleteSvc('Kqv38'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20949 ).
Сделайте новые логи.
Вот это Вам знакомо? :
C:\Program Files\Sable\WINNT\startnt.bat
Последний раз редактировалось kps; 03.04.2008 в 18:37. Причина: Добавлено
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 72
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sysfldr.dll - Trojan.Win32.Pakes.clw (DrWEB: Trojan.Proxy.3057)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.ci (DrWEB: Trojan.DownLoader.54123)
Уважаемый(ая) Oleg_step, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
