Как удалить WinCtrl32.dll, WLCtrl32.dll, WinNt32.dll, WinNt64.dll с помощью OSAM Autorun Manager
В последние несколько недель очень много пользователей жалуются на различные модификации файлов WinCtrl32.dll, WinNt32.dll, WinNt64.dll, жалуясь, что их антивирус никак не может справиться с ними. Поэтому оставляю эту общую инструкцию по его удалению.
Антивирусами этот вирус детектируется как: Trojan-Downloader.Win32.Mutant, Trojan.Mutant, Cutwail, Wigon, Mnless, Trojan.Pandex и пр.
1. Зайдите в настройки OSAM‘а – нажмите на кнопку “Settings” в его верхнем меню:
И измените опцию “Disable objects using the driver” на вариант “Always”:
2. Теперь просмотрите список объектов, которые вывел OSAM, и найдите среди них следующее:
1) В разделе Drivers:
Все драйвера, подсвеченные синим цветом, со случайными именами вида Xxx11 (три любые буквы + две любые цифры).
Несколько примеров для визуального восприятия:
Pmc80.sys, Quk54.sys, Vux14.sys, Feu72.sys, Hcv32.sys, Luc64.sys, Dsd06.sys, Blk66.sys
Либо все драйвера, подсвеченные синим цветом, со случайными именами вида Winxx11 (Win + 2 любые буквы + две любые цифры).
Несколько примеров для визуального восприятия:
Winaf62.sys, Winbg50.sys, Winch16.sys, Windi72.sys, Winej61.sys, Winin04.sys
А также, возможно, драйвер с именем:
WINDOWS\system32\Drivers\tcpsr.sys
2) В разделе Winlogon:
Один или несколько из следующих DLL-файлов (в зависити от того, каким именно вирусом вы заражены может быть либо WinCtrl32.dll, либо WinNt32.dll.., либо все сразу):
WINDOWS\system32\WinCtrl32.dll
WINDOWS\system32\WLCtrl32.dll
WINDOWS\system32\WinNt32.dll
WINDOWS\system32\WinNt64.dll
3) В разделе Logon:
Также, возможно, в следующем ключе будет прописан сам инсталлятор вируса (его наличие зависит от того, каким именно образом вы заразились):
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
advap32 – C:\DOCUME~1\имя пользователя\LOCALS~1\Temp\??????.exe
Если вы сомневаетесь по поводу выбора каких-либо файлов, воспользуйтесь функцией онлайн сканера:
3. Отключите все найденные компоненты вируса, убрав возле них галочку. И затем нажмите на кнопку “Apply”:
4. Появится окно со списком всех отключаемых объектов, чтобы вы могли еще раз удостовериться в том, что вы не выбрали ничего лишнего(!). И затем – сообщение с предложением о перезагрузке:
Нажимаем на “Reboot now” (после чего компьютер автоматически перезагрузится).
После перезагрузки вирус больше не будет активен.
1. Снова запустите OSAM – вы увидите результаты удаления отключенных объектов.
2. Зайдите в настройки программы (нажмите на кнопку “Settings”) и поменяйте опцию “Disable objects using the driver” обратно на вариант “For undeletable objects only”.
3. Удалите отключенные файлы вируса (они уже не активны). Или просканируйте весь системный диск своим антивирусом – мешать ему больше никто не будет.
4. И затем воспользуйтесь функцией “Delete from storage” для удаления отключенных объектов из списка, выводимого в OSAM:
