Junior Member
Вес репутации
58
Неудаляющийся вирус WLCtrl32.dll в папке Windows\system32
Помогите пожалуйста, Symantec не может удалить вирус WLCtrl32.dll, вручную тоже не удаётся ничего сделать. Кроме того при каждом запуске системы Symantec вылавливает .tmp файлы, которые удаляет и снова находит при новом запуске.
Логи avz и HiJackThis в аттачменте.
Спасибо!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Spybot - деинсталировать ....
скачайте C:\WINDOWS\system32\WLCtrl32.dll, C:\WINDOWS\System32\Drivers\Dhl25.sys - force delete
выполните скрит ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\BN36.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN34.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN33.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BNE.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN12.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BNF.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BNC.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BND.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BNA.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN9.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN8.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN7.tmp','');
QuarantineFile('c:\windows\system32\wlctrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
BC_DeleteSvc('Vcg04');
BC_DeleteSvc('Uyc05');
BC_DeleteSvc('Ucg15');
BC_DeleteSvc('Uae14');
BC_DeleteSvc('Uad61');
BC_DeleteSvc('Tae25');
BC_DeleteSvc('Sxc83');
BC_DeleteSvc('Rva82');
BC_DeleteSvc('Rva60');
BC_DeleteSvc('Pua04');
BC_DeleteSvc('Nrv16');
BC_DeleteSvc('Lru61');
BC_DeleteSvc('Lru60');
BC_DeleteSvc('Jnq60');
BC_DeleteSvc('Ins04');
BC_DeleteSvc('Hnr04');
BC_DeleteSvc('Hlo04');
BC_DeleteSvc('Chl03');
BC_DeleteSvc('Bgk47');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Dhl25');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dhl25.sys','');
QuarantineFile('C:\WINDOWS\system32\oplpom32.dll','');
DeleteFile('C:\WINDOWS\system32\oplpom32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Dhl25.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bgk47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Chl03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hlo04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hnr04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ins04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jnq60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lru60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lru61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nrv16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pua04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rva60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rva82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sxc83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tae25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uad61.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uae14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ucg15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uyc05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vcg04.sys');
DeleteFile('C:\WINDOWS\System32\ntos.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('c:\windows\system32\wlctrl32.dll');
DeleteFile('C:\WINDOWS\Temp\BN6.tmp');
DeleteFile('C:\WINDOWS\Temp\BN8.tmp');
DeleteFile('C:\WINDOWS\Temp\BN9.tmp');
DeleteFile('C:\WINDOWS\Temp\BNA.tmp');
DeleteFile('C:\WINDOWS\Temp\BND.tmp');
DeleteFile('C:\WINDOWS\Temp\BNC.tmp');
DeleteFile('C:\WINDOWS\Temp\BNF.tmp');
DeleteFile('C:\WINDOWS\Temp\BN12.tmp');
DeleteFile('C:\WINDOWS\Temp\BNE.tmp');
DeleteFile('C:\WINDOWS\Temp\BN33.tmp');
DeleteFile('C:\WINDOWS\Temp\BN34.tmp');
DeleteFile('C:\WINDOWS\Temp\BN36.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
Platform: Windows
XP (WinNT 5.01.2600)
MSIE: Internet Explorer
v6.00 (6.00.2600.0000)
Понимаю: Последние 5 лет Вы провели на Марсе и о 3 Service Packs от Микрософта ничего не слышали
Junior Member
Вес репутации
58
Карантин загрузила. Что значит повторить логи?
сделать заново три лога как в первом сообщении ...
Junior Member
Вес репутации
58
Sorry
Вложения
пофиксите ...
Код:
R3 - URLSearchHook: (no name) - {D73F49B6-B51B-4d32-A3B7-BD04B8342F53} - (no file)
O2 - BHO: (no name) - {3F3714A1-89A4-46be-8AF3-D0C9D1FB03F9} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D73F49B1-B51B-4d32-A3B7-BD04B8342F53} - (no file)
O3 - Toolbar: (no name) - {3F3714A9-89A4-46be-8AF3-D0C9D1FB03F9} - (no file)
20 - Winlogon Notify: oplpom - oplpom32.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\BNB.tmp','');
QuarantineFile('C:\WINDOWS\Temp\BN7.tmp','');
DeleteFile('C:\WINDOWS\Temp\BN7.tmp');
DeleteFile('C:\WINDOWS\Temp\BNB.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи начиная с пункта 10 правил ...
Junior Member
Вес репутации
58
Вложения
в логах ничего зловредного ....
теперь , как только вернетесь с Марса , установите обновления ....
Junior Member
Вес репутации
58
огромное спасибо!