Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Win32.HLLM.Limar.2207

(W32/Stration@MM, TR/Crypt.XDR.Gen, Win32/Stration.AAX, PAK_Generic.001, Win32.Warezov.ACO@mm, Win32/Stration.XJ, Email-Worm.Win32.Warezov.sm, W32/Stration.gen@MM, Mal_Strat-4, I-Worm/Stration, WORM/Stration.Gen, WORM_STRAT.GEN-3, Parser error, I-Worm/Stration.FEU, Trojan:Win32/Stration.F!dll, WORM_STRATION.SB, Worm/Strati.91350.A)

Добавлен в вирусную базу Dr.Web: 2007-10-19

Описание добавлено:

Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win NT-based

Размер: 125 440 байт

Упакован: UPX, UPACK

Техническая информация

  • Может распространяться самостоятельно с помощью спам-рассылок либо с помощью различных загрузчиков или дропперов.
  • При запуске создаёт файлы:

    %sytemroot%\system32\quarwups.dll (определяется антивирусом Dr.Web как Win32.HLLM.Limar.2207)
    %sytemroot%\System32\quarwups.exe (определяется антивирусом Dr.Web как Win32.HLLM.Limar.2207)
    %sytemroot%\system32\lpkadvp.dll (определяется антивирусом Dr.Web как Win32.HLLM.Limar.2206)
    %sytemroot%\system32\adsladsm.exe (определяется антивирусом Dr.Web как Win32.HLLM.Limar)
    %sytemroot%\system32\picnmsji.dll (определяется антивирусом Dr.Web как Win32.HLLM.Limar)
    %sytemroot%\System32\quarwups.dat

  • Для обеспечения своего запуска при каждом старте Windows регистрирует созданные файлы в системном реестре:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\quarwups\DllName:
    "C:\WINDOWS\system32\quarwups.dll"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs:
    "lpkadvp.dll"

  • Скачивает и устанавливает дополнительные модули, которые подменяют MSN Messenger, и начинают рассылать сообщения следующего содержания: "New unofficial possibilities of the ICQ [link-to-source]"

Информация по восстановлению системы

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".