-
Junior Member
- Вес репутации
- 58
Проблема с интернетом
При загрузке системы антивирус (NOD32) молчит, а вот при подключении к интернету выдает окно, что обнаружен вирус:
Файл: C:\WINDOWS\System32\drivers\Winwa46.sys
Вирус: Win32/Wigon.CK троян
Комментарий: Событие в новом файле, созданном приложением C:\WINDOWS\Temp\BN31.tmp. Файл был перемещен в карантин...
Подобное сообщение выскакивает каждый раз при соединении с интернетом (после загразки системы), но периодически меняются имена файла (Winye58.sys, Winqi00.sys и др.).
P.S. При этом через определённое время начинает сильно расходоваться трафик.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Код:
F2 - REG:system.ini: UserInit=userinit.exe,
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winye58');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winye58.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye58.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки и кэш проводников.
-Закачайте карантин по красной ссылке вверху темы
-Повторите логи.
-
-
Junior Member
- Вес репутации
- 58
При выполнении скрипта появляется ошибка Failed to set data for 'DisplayName'.
Ошибка в работе антируткита.
И ещё антивирус сегодня изолировал (удалил) файлы Winhw17.sys, Windb20.sys, Winwa46.sys из C:\WINDOWS\System32\drivers\. Они обновляются после перезагрузки и подключения к интеренту.
Последний раз редактировалось QU1ET; 28.06.2008 в 13:23.
-
-
-
Junior Member
- Вес репутации
- 58
Пофиксил то, что отметили. Скрипт, к сожалению, не выполнился. Логи прилагаю.
-
Скачайте отсюда: http://virusinfo.info/showthread.php?t=17228, найдите и через опцию force delete удалите файлы
Код:
C:\WINDOWS\System32\Drivers\Winye58.sys
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Код:
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winye58');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winye58.sys','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye58.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки и кэш проводников.
-Закачайте карантин по красной ссылке вверху темы
-Повторите логи.
-
-
Junior Member
- Вес репутации
- 58
Пификсил то, что отметили. Попытался удалить файлы:
C:\WINDOWS\System32\Drivers\Winye58.sys - этого уже нет,
C:\WINDOWS\SYSTEM32\WinCtrl32.dll - не удалился (как я наблюдаю).
Скрипт не выполнился (ошибка руткита).
Карантин отправил. Логи прилагаю.
P.S. Антивирус продолжает ругаться.
-
Системное восстановление и Антивирус у Вас выключены?
Скачайте последнюю версию Хайджека
Повторите действия с IceSword отсюда:
http://virusinfo.info/showpost.php?p=248049&postcount=6
Скрипт новый прогоните
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Winye58', 4);
DeleteService('Winye58');
StopService('Winye58');
BC_DeleteSvc('Winye58');
BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winye58.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После ребута повторите логи
Последний раз редактировалось Rene-gad; 28.06.2008 в 19:24.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
Обновление и антивирус отключены. Когда делаю действия с IceSword, то вижу там ещё один файл WinCtrl32.dl_ (его не трогаю). WinCtrl32.dll появляется после перезагрузки. Скрипты не выполняются (ошибка антируткита).
-
Сообщение от
QU1ET
то вижу там ещё один файл WinCtrl32.dl_ (его не трогаю).
Напрасно - он все и восстанавливает после удаления. Повторите все действия - теперь уже с удалением этого файла. Можете также удалить подобные зтому: Winye58 - начинается с W, 5 букв+ 2 цифры.
-
-
Junior Member
- Вес репутации
- 58
WinCtrl32.dl_ удалил, WinCtrl32.dll после перезагрузки не появился. При подключении к интернету антивирус не жаловался. За трафиком буду следить.
Проблема была (надеюсь она устранилась) в этом WinCtrl32.dll??? Логи нужно отправлять?
-
Сообщение от
QU1ET
Проблема была (надеюсь она устранилась) в этом WinCtrl32.dll??? Логи нужно отправлять?
Угу
-
-
Junior Member
- Вес репутации
- 58
Вот логи. Хотелось бы узнать, что это за зараза WinCtrl32.dll и где я её мог подцепить?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aij (DrWEB: Trojan.DownLoader.63553)
-