Всем добрый день!!!!
Вчера на боевом сервере обнаружил что не отображаются системные/скрытые файлы и папки. Поиском в интернете нашел много ссылок на данный вирус ( Сетевой червь Win32.HLLW.Shadow.based).
А дня за 2 до этого антивирус Symantec заблокировал подозрительный процесс Explorer.exe в папке system32, и после того как зашел на сервер под различными пользователями автоматически открывалась папка мои документы. После этого поправил реестр в ветке winlogon, параметр userinit (удалил от туда Explorer). И вот после этого в windows 2k3 перестали отображаться системные/скрытые файлы и папки, но Total Comander их видит.
После этого все сделал как вот этой статье http://news.drweb.com/show/?i=204, DrWeb CureIt нашел вирус Win32.HLLW.Shadow.based в виде библиотеки в system32, но удалить не смог, т.к я понимаю это уже сделал Symantec.
Дальнейшее сканирование с помощью DrWeb CureIt результатов не дает, может вируса уже и нет, но хочется уж точно в этом убедиться что бы подключить его к сети. И системные/скрытые файлы и папки до сих пор не отображаются!!!!
Хочу действовать как в этой статье http://forum.oszone.net/post-717373.html, прошу помощи в обработки логови дальнейшей помощи!!!!

прошу помощи в обработки логов »
А где логи?

Пока писал пост был в процессе создания логов)!!! Прошу прощения!!!

И еще один вопрос, после создания отчета скрипт №2, компьютер при перезагрузке висел на сохранение параметров минут 25-30. Не дождался перегрузил через кнопку. Что в этот момент могло сохраняться и не повлияло ли это на лечение проводимое скриптом №2???

Посмотрите Логииииииииии))))!!!

Системные/скрытые файлы и папки вылечил как сказано здесь http://forum.ixbt.com/topic.cgi?id=22:67617-2
а точнее, зарегистировал библиотеку regsvr32 /i shell32.dll

Товарищи, помогите проанализировать собранные логи!!!! Сервер надо уже допускать до сети))!!!

Win32.HLLW.Shadow.based - это если мне не изменяет память сетевой червяк Kido

Обновления для системы все установлены? Утилитой Kidokiller проверялись?

Утилитой Kidokiller проверялись? »
Нет, не проверял! Все свои действия я описал выше!!!) Больше ничего не делал.

Обновления для системы все установлены? »
Да конечно, и все заплатки.

И еще у меня в автозагрузке было вот это
HKCU\..\Run: wsctf.exe
Поиск данного файла ничего не дал!!!! В реестре HKCU и HCLM записей в Run о нем то же нет!!!

И еще у меня в автозагрузке было вот это »Не факт, что это не от системы :)

Не факт, что это не от системы »

http://virusinfo.info/showthread.php?t=84132 Об этом говорили на форуме Virusinfo.info, так что за что купил, за то и продаю))) Да и симптомы были схожи с моими!!!

Так что на счет этого????
Товарищи, помогите проанализировать собранные логи!!!! Сервер надо уже допускать до сети))!!! »

Да, сканирование с помощью kidokiller ничего не дал
et-Worm.Win32.Kido removing tool, Kaspersky Lab 2010
version 3.4.14 Mar 19 2010 10:17:17
scanning jobs ...

scanning processes ...

scanning threads ...

scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...

scanning C:\WINDOWS\system32 ...
scanning C:\Program Files\Internet Explorer\ ...
scanning C:\Program Files\Movie Maker\ ...
scanning C:\Program Files\Windows Media Player\ ...
scanning C:\Program Files\Windows NT\ ...
scanning C:\Documents and Settings\Администратор\Application Data ...
scanning C:\DOCUME~1\9335~1\LOCALS~1\Temp\ ...
scanning Flash drives ...
scanning E:\ ...

completed
Infected jobs: 0
Infected files: 0
Infected threads: 0
Spliced functions: 0
Cured files: 0
Fixed registry keys: 0

Что делать дальше??? Допускать сервер до рабочей сети?!!!

Запускайте

Запускайте »

Т.е как я понимаю ничего криминального в логах нет????!!!

И опять после перезагрузки в реестре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run появился параметр EXPLORER.exe и при входе пользователем открывается папка "Мои Документы".
И в автозагрузке есть это (специально все галки поставил)

http://s017.radikal.ru/i422/1307/17/253bc8b63d74.jpg
Но в реестре есть только параметр EXPLORER.exe в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Как от туда удалить все остальное???!!

Почистил реестр в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Перегрузился....
Остался только ПУСТОЙ параметр, и ни как его не получается удалить
http://s52.radikal.ru/i138/1307/a8/dca1251a49b3.jpg

Товарищи!!))) А кто нибудь еще смотрит что происходит в этой теме?????

Скачайте Universal Virus Sniffer (http://dsrt.dyndns.org/uvsfiles.htm) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS (http://safezone.cc/forum/showpost.php?p=79351&postcount=1)

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. »

Лог в приложении...

в логе не вижу ничего плохого.

Почистил реестр в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Перегрузился....
Остался только ПУСТОЙ параметр, и ни как его не получается удалить »
попробуйте дать себе права на эту ветку и снова удалить.

попробуйте дать себе права на эту ветку и снова удалить. »

Что именно удалить???? Там остался только один строковый параметр ctfmon

какие сейчас проблемы ?

какие сейчас проблемы ? »

Только лишь в этом http://forum.oszone.net/post-2185709.html#post2185709

Остальное все нормально!!!!

если там остался просто пустой параметр и других никаких жалоб нет, то на этом можно и остановиться. По логам плохого не видно.