Показано с 1 по 13 из 13.

как устранить последствия работы WIN32.HLLM.Limar (заявка № 6383)

  1. #1
    catmax
    Guest

    Exclamation как устранить последствия работы WIN32.HLLM.Limar

    Именно этот вирус, и еще парочку я обнаружил с помощью drweb после отпуска . Пришел в письме, которое открывали. Что обнаружил, то и удалил, но судя по всему червяк въелся. В частности это проявляется в том, что отключился spiderml от drweb. Переустановка антивирусника ничего не дала. Боюсь, что и другие службы повреждены. Help!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Пришлите, как написано в правилах -
    C:\WINDOWS\System32\e1.dll
    C:\WINDOWS\System32\mqtrlapr.dll
    C:\WINDOWS\System32\ctrldll.dll
    C:\WINDOWS\System32\idjliidh.dll
    C:\WINDOWS\System32\rmctrl.exe
    C:\WINDOWS\System32\vbsys2.dll
    C:\WINDOWS\inet20088\services.exe
    c:\program files\messenger\msmsgs.exe
    c:\windows\system32\sotservice.exe
    CTHELPER.EXE
    C:\WINDOWS\UpdReg.EXE
    SOUNDMAN.EXE
    ===========================

    Файлы -
    C:\WINDOWS\System32\vbsys2.dll
    C:\WINDOWS\inet20088\services.exe
    C:\WINDOWS\System32\idjliidh.dll
    C:\WINDOWS\System32\e1.dll
    C:\WINDOWS\System32\mqtrlapr.dll
    C:\WINDOWS\inet20088\services.exe
    можно сразу удалить через Файл->Отложенное удаление в AVZ.
    Каталог C:\WINDOWS\inet20088\ тоже удалите со всем содержимым.


    Так-же в Hijack пофиксите строки -
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://top-find4u.com/sp.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://top-find4u.com/sp.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://top-find4u.com/sp.htm
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O20 - AppInit_DLLs:  mqtrlapr.dll e1.dll
    O21 - SSODL: SysTray.Excn - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINDOWS\System32\idjliidh.dll (file missing)
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
    И повторите после этого 2 последних лога из правил.
    Последний раз редактировалось RiC; 04.10.2006 в 00:07.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    - В файле C:\WINDOWS\system.ini удалить оставшуюся от трояна запись, если она там еще есть:
    [windows]
    load=C:\WINDOWS\inet20088\services.exe

    В файле C:\WINDOWS\system32\drivers\etc\hosts удалить лишние записи:
    127.0.0.1 downloads1.kaspersky-labs.com
    127.0.0.1 downloads2.kaspersky-labs.com
    127.0.0.1 downloads3.kaspersky-labs.com
    127.0.0.1 downloads4.kaspersky-labs.com
    127.0.0.1 download.mcafee.com
    127.0.0.1 liveupdate.symantecliveupdate.com
    127.0.0.1 liveupdate.symantec.com
    127.0.0.1 update.symantec.com

  5. #4
    catmax
    Guest
    RiC: файлы отправил, все сделал, как вы сказали, не понял только фразу: "И повторите после этого 2 последних лога из правил", поясните пожалуйста.
    Alexey P.: записи от трояна в system.ini не было, в файле hosts удалил все лишние строки.

    Всем огромное спасибо за быстрый отклик и помощь!

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    см. п.10-13 в Правилах.
    И прикрепите сюда заново сделанные логи:
    virusinfo_syscheck.zip
    hijackthis.log

  7. #6
    catmax
    Guest
    только что запустил spiderml - появился в панели задач! Отличная работа!

  8. #7
    catmax
    Guest

    новые логи

    вот логи после чистки...
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от catmax
    вот логи после чистки...
    пофиксите в HijackThis:
    O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -

    пришлите файл:
    C:\WINDOWS\System32\SOUNDMAN.EXE - он не добавился в прошлый раз

  10. #9
    catmax
    Guest
    фиксанул 016 строку, выслал оставшиеся файлы, почему-то они добавлялись в карантин по одному, поэтому 6 zip-файлов (virus2 - virus7).

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от catmax
    фиксанул 016 строку, выслал оставшиеся файлы, почему-то они добавлялись в карантин по одному, поэтому 6 zip-файлов (virus2 - virus7).
    вы прислали только ini-файлы, а к каждому из них должен прилагаться одноименный .dta файл

  12. #11
    catmax
    Guest
    я обратил внимание, что ваша программа показывает объем этих файлов 0. Может поэтому dta-файл не образовался? Я архивировал все, что выдала программа. Может она не нашла нужный файл? Например, C:\WINDOWS\System32\SOUNDMAN.EXE - такого файла в папке system32 нет. Зато есть: C:\WINDOWS\SOUNDMAN.EXE - но этот файл программа не добавила в карантин... Я нашел его и посмотрел его свойства - это приложение Realtek Sound Manager, скорей всего стандартная прога для встроенной в материнку звуковой карты (я ей не пользуюсь)...

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от catmax
    Я нашел его и посмотрел его свойства - это приложение Realtek Sound Manager, скорей всего стандартная прога для встроенной в материнку звуковой карты (я ей не пользуюсь)...
    Пришлите его если не сложно, для базы безопасных файлов, я его собственно для этого и просил.

  14. #13
    catmax
    Guest
    отправил весь файл целиком, заархивировав с паролем virus

  • Уважаемый(ая) catmax, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Как устранить последствия работы вируса?
      От Avers1 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.01.2011, 18:43
    2. Win32.HLLM.Limar
      От gremlin в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 01:35
    3. Win32.HLLM.Limar
      От lavrus в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 27.10.2006, 17:16
    4. Win32.HLLM.Limar
      От wanna в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 24.10.2006, 21:34
    5. Win32.HLLM.Limar HELP!!!
      От DrTwins в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.10.2006, 03:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00001 seconds with 20 queries