Win32.HLLM.Limar

Printable View

19.01.2007, 18:23
gremlin

Вложений: 3

Win32.HLLM.Limar

Dr.Web с обновленными базами находит в C:\Windows\system32 несколько файлов, определяемых как Win32.HLLM.Limar и успешно их удаляет.
После перезагрузки ситуация повторяется.
При попытке установки обновлений безопасности для Windows XP (SP2) винда вылетает в синий экран 0x0000008E. Память тестировал memtest'ом - все ок.
Два дня уже мучаюсь. Помогите побороть пожалуйста.
19.01.2007, 19:10
Shu_b

AVZ - файл - выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('cfgamc.dll','');
QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
QuarantineFile('C:\windows\system32\loghatkc.dll','');
QuarantineFile('C:\windows\system32\msnsxole.dll','');
QuarantineFile('C:\windows\system32\osunuxth.dll','');
QuarantineFile('C:\windows\system32\wmadmsst.dll','');
QuarantineFile('C:\windows\system32\ipv6monl.dll','');
QuarantineFile('C:\windows\system32\lzx32.sys','');
QuarantineFile('C:\windows\comio32.dll','');
QuarantineFile('C:\Program Files\Common Files\commgr32.dll','');
DeleteFile('C:\windows\comio32.dll');
DeleteFile('C:\Program Files\Common Files\commgr32.dll');
DeleteFile('C:\windows\system32\wmadmsst.dll');
DeleteFile('C:\windows\system32\osunuxth.dll');
DeleteFile('C:\windows\system32\msnsxole.dll');
DeleteFile('C:\windows\system32\loghatkc.dll');
DeleteFile('C:\windows\system32\lzx32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('PE386');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]

после перезагрузки прислать карантин в соответствии с приложением 2 с пятого пункта и сделать новые логи. Ссылка на тему: [url]http://virusinfo.info/showthread.php?t=7578[/url]
19.01.2007, 19:38
drongo

Двоих братьев забыли , не порядок :)))

[Edit] Собрал всё в один скрипт.
20.01.2007, 14:54
gremlin

Вложений: 3

Карантин отправил. Свежие логи во вложении.
20.01.2007, 15:44
Shu_b

продолжим...
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('cfgamc.dll','');
QuarantineFile('c:\windows\system32\browser.dll','');
DeleteFile('C:\windows\system32\ipv6monl.dll');
DeleteFile('cfgamc.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Так же переслать попавшее в карантин.

пофиксить ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )[CODE]O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: isrconf - C:\WINDOWS\
O20 - Winlogon Notify: isrconf- - cfgamc.dll (file missing)
O20 - Winlogon Notify: loghatkc - C:\WINDOWS\
O20 - Winlogon Notify: loghatkc- - C:\WINDOWS\
O20 - Winlogon Notify: msnsxole - C:\WINDOWS\
O20 - Winlogon Notify: msnsxole- - C:\WINDOWS\
O20 - Winlogon Notify: osunuxth - C:\WINDOWS\
O20 - Winlogon Notify: osunuxth- - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O20 - Winlogon Notify: rpcc- - C:\WINDOWS\system32\rpcc.dll (file missing)
O20 - Winlogon Notify: wmadmsst - C:\WINDOWS\
O20 - Winlogon Notify: wmadmsst- - C:\WINDOWS\
[/CODE]
21.01.2007, 11:44
gremlin

Карантин отправил. Логи AVZ нужны?
21.01.2007, 11:47
Geser

[QUOTE=gremlin;92094]Карантин отправил. Логи AVZ нужны?[/QUOTE]
нужны
21.01.2007, 12:06
gremlin

Вложений: 3

Новые логи
22.01.2007, 02:34
pig

Вроде чисто.
22.01.2007, 10:01
gremlin

Проверил еще раз вебом - все ок. Виндовые заплатки стали без синего экрана. Большое спасибо!!!
22.02.2009, 01:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\common files\\commgr32.dll - [B]Trojan-Proxy.Win32.Pixoliz.ib[/B] (DrWEB: Trojan.Packed.76)[*] c:\\windows\\system32\\ipv6monl.dll - [B]Trojan-Spy.Win32.BZub.gq[/B] (DrWEB: Trojan.PWS.Tanspy)[/LIST][/LIST]