win32.HLLW.Lime.18

Printable View

25.08.2009, 16:37
manki!!

Вложений: 4

win32.HLLW.Lime.18

Здравствуйте!

Прицепился win32.HLLW.Lime.18.
Удаляю Др.Вебом, через некоторое время[B] всё появляется опять[/B].
на скриншоте показано что и где находит др.веб

Быть может вы сможете чем-то помочь?

как указано в правилах, прикрепляю логи
25.08.2009, 16:41
Белый Сокол

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
QuarantineFile('C:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\system32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0282844052-6545269000-286614020-7184\mwau.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\ktalk.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\AsInsHelp32.sys','');
DeleteFile('C:\RECYCLER\S-1-5-21-0282844052-6545269000-286614020-7184\mwau.exe');
DeleteFile('C:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\system32.exe');
DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
ExecuteRepair(9);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Повторите логи.
25.08.2009, 17:21
manki!!

Вложений: 3

спасибо за оперативность!!!

карантин выслал!
файл сохранён как 090825_171404_virus_4a93e39cbd01b.zip, если это вдруг нужно

логи прикрепил

а вообще известно что за вирус такой этот win32.hllw.lime.18? ну в смысле на что он влияет?
25.08.2009, 17:29
Белый Сокол

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\win7service.exe','');
TerminateProcessByName('c:\windows\win7service.exe');
DeleteFile('c:\windows\win7service.exe');
DeleteFile('C:\WINDOWS\win7service.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteRepair(9);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Пофиксите:
[code]O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\win7service.exe
R3 - URLSearchHook: (no name) - - (no file)[/code]

Повторите логи.
25.08.2009, 18:11
manki!!

Вложений: 3

сдедал!

но как ни странно, процесс win7service.exe так и висит в процессах...
да, и прямо в корне диска С лежит файл 11.exe
который ну прям 100% не должен там быть, я его удаляю а он появляется вновь! всё тот же самый win32.HLLW.Lime.18

надеюсь, что ваши советы мне помогут!
25.08.2009, 18:32
Белый Сокол

Выполните:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\win7service.exe','');
TerminateProcessByName('c:\windows\win7service.exe');
DeleteFile('c:\windows\win7service.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
ПК перезагрузится.

Повторите логи.
25.08.2009, 19:08
manki!!

Вложений: 3

готово! но чую что это ещё не всё..
25.08.2009, 19:45
Rene-gad

Выполните:
[CODE]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.[/CODE]
ПК перезагрузится.

Повторите лог по п. 2 диагностики
25.08.2009, 20:45
manki!!

Вложений: 2

скрипт выполнил
логи прикрепил
25.08.2009, 22:07
manki!!

что дальше?
25.08.2009, 23:22
AndreyKa

[QUOTE='manki!!;455832']что за вирус такой этот win32.hllw.lime.18?[/QUOTE]
Это не вирус, а червь. Распространяется он через уязвимости Windows, и пока вы их не заделаете, он не отстанет.
Установите надежные пароли на все учетные записи пользователей с правами администратора.
Установите обновления безопасности для Windows.
26.08.2009, 19:38
manki!!

хм, временно скрипты помогали, но теперь всё по-прежнему.

поставил надежный пароль на администратора
брэндмауэром windows предпочитаю не пользоваться (стоит nod32)

но собственно червь до сих пор попадает ко мне на компьютер
по моим наблюдениям это происходит именно при подключении интернета

подскажите пожалуйста что делать?
26.08.2009, 19:46
Белый Сокол

Проверьте ПК с помощью [URL="http://freedrweb.com/"]CureIt![/URL] в безопасном режиме.
27.08.2009, 19:46
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\recycler\s-1-5-21-0282844052-6545269000-286614020-7184\mwau.exe - [B]Email-Worm.Win32.BSpread.b[/B] ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/Peerfrag.DD worm, AVAST4: Win32:Crypt-EXW [Trj] )[*] c:\windows\win7service.exe - [B]Trojan-Downloader.Win32.Pher.v[/B] ( DrWEB: Win32.HLLW.Lime.18, NOD32: Win32/AutoRun.IRCBot.BN worm, AVAST4: Win32:Crypt-EXW [Trj] )[/LIST][/LIST]