-
Вложений: 3
Лечение WIN32.HLLM.Limar
Добрый день.
На машинке MSwinXPproSP2 стоит avast! home edition v.4.7.942 (jan2007) с базами от 2007-01-24. По словам девушки-офис-менеджера, которая работает за этим компом вчера аваст ваыдавал "какие-то окошки" :) на которые она отвечала "Лечить" или "Удалить".
после этого начались проблемы с почтовым клиентом (MS Outlook Express) - пропала адресная книга, невозможно создать сообщение, при закрытии 100 из 100 выдает ошибку в windows application log:
"
type: error
eventid: 1000
source: Application Error
Description:
[SIZE=1]Ошибка приложения msimn.exe, версия 6.0.2900.2180, модуль msoe.dll, версия 6.0.2900.2180, адрес 0x000d9084.
[/SIZE]"
Сегодня DrWeb CureIt! v.4.33 (2007-01-25 07-20 GMT) при проверке С:\ нашел и удалил в c:\windows\system32 пару exe с именами типа kbdtkbdf.exe (при этом в памяти вроде как все чисто).
После этого проверил все по стандартной схеме. Логи прилагаются.
После проделанного лечения проблемы с почтовым клиентом остались те же :(
Теперь собсно 2 вопроса:
1. Можно ли успокоиться с лечением или таки что-то осталось?
2. Есть ли какие идеи по поводу восстановления работоспособности адресной книги?
ЗЫ
в c:\windows был найден файлик srserv.wax , в котором WIN32.HLLM.Limar по словам [URL]http://info.drweb.com/virus_description/122629[/URL] складывает все найденные на машине почтовые адреса.
-
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\1cv77\bin\nhsrvw32.exe','');
QuarantineFile('hhselz32.dll','');
QuarantineFile('encddpva.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('deskmcd3.dll','');
QuarantineFile('confbrw.dll','');
QuarantineFile('brwstat.dll','');
QuarantineFile('brwmgr32.dll','');
QuarantineFile('audmgr32.dll','');
QuarantineFile('C:\WINDOWS\system32\dsseds32.dll','');
QuarantineFile('C:\WINDOWS\system32\dxdimqtr.dll','');
QuarantineFile('C:\WINDOWS\system32\jgsdrpcn.dll','');
QuarantineFile('C:\WINDOWS\system32\winftsap.dll','');
QuarantineFile('D:\Install\RUTAPLAJ.400\CRACK\PROLING.EXE','');
RebootWindows(true);
end.
[/code]
Выполнить скрипт в AVZ. После перезагрузки прислать карантин по правилам.
Ссылка : [url]http://virusinfo.info/showthread.php?t=7642[/url]
-
1. в AVZ выполнить скрипт. После перезагрузки, если что-то найдется:embarasse прислать согласно Приложения 2. Правда, вполне вероятно что это просто грязь в реестре.:)
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('hhselz32.dll','');
QuarantineFile('encddpva.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('deskmcd3.dll','');
QuarantineFile('confbrw.dll','');
QuarantineFile('brwstat.dll','');
QuarantineFile('brwmgr32.dll','');
QuarantineFile('audmgr32.dll','');
QuarantineFile('D:\Install\RUTAPLAJ.400\CRACK\PROLING.EXE','');
QuarantineFile('C:\WINDOWS\system32\winftsap.dll','');
QuarantineFile('C:\WINDOWS\system32\jgsdrpcn.dll','');
QuarantineFile('C:\WINDOWS\system32\dxdimqtr.dll','');
QuarantineFile('C:\WINDOWS\system32\dsseds32.dll','');
DeleteFile('C:\WINDOWS\system32\dsseds32.dll');
DeleteFile('brwmgr32.dll');
DeleteFile('brwstat.dll');
DeleteFile('confbrw.dll');
DeleteFile('e1.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
2. Профиксить в hijackthis след. строки. Запустить, просканировать, профиксить, перезагрузиться.
[CODE]
O20 - AppInit_DLLs: deskmcd3.dll hhselz32.dll encddpva.dll confbrw.dll brwstat.dll e1.dll
O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
O20 - Winlogon Notify: dsseds32 - C:\WINDOWS\system32\dsseds32.dll (file missing)
O20 - Winlogon Notify: dxdimqtr - C:\WINDOWS\system32\dxdimqtr.dll (file missing)
O20 - Winlogon Notify: jgsdrpcn - C:\WINDOWS\system32\jgsdrpcn.dll (file missing)
O20 - Winlogon Notify: winftsap - C:\WINDOWS\system32\winftsap.dll (file missing)
[/CODE]
3. Про адресную книгу сказать ничего не могу.
-
@Drongo Одинаково мыслим ;)
Page generated in 0.00912 seconds with 10 queries