Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Сетевой червь Win32.HLLW.Shadow.based

Ответить
Настройки темы
[решено] Сетевой червь Win32.HLLW.Shadow.based

Старожил


Сообщения: 157
Благодарности: 3

Профиль | Отправить PM | Цитировать


Всем добрый день!!!!
Вчера на боевом сервере обнаружил что не отображаются системные/скрытые файлы и папки. Поиском в интернете нашел много ссылок на данный вирус ( Сетевой червь Win32.HLLW.Shadow.based).
А дня за 2 до этого антивирус Symantec заблокировал подозрительный процесс Explorer.exe в папке system32, и после того как зашел на сервер под различными пользователями автоматически открывалась папка мои документы. После этого поправил реестр в ветке winlogon, параметр userinit (удалил от туда Explorer). И вот после этого в windows 2k3 перестали отображаться системные/скрытые файлы и папки, но Total Comander их видит.
После этого все сделал как вот этой статье http://news.drweb.com/show/?i=204, DrWeb CureIt нашел вирус Win32.HLLW.Shadow.based в виде библиотеки в system32, но удалить не смог, т.к я понимаю это уже сделал Symantec.
Дальнейшее сканирование с помощью DrWeb CureIt результатов не дает, может вируса уже и нет, но хочется уж точно в этом убедиться что бы подключить его к сети. И системные/скрытые файлы и папки до сих пор не отображаются!!!!
Хочу действовать как в этой статье http://forum.oszone.net/post-717373.html, прошу помощи в обработки логови дальнейшей помощи!!!!

Отправлено: 10:39, 16-07-2013

 

Старожил


Сообщения: 157
Благодарности: 3

Профиль | Отправить PM | Цитировать


Цитата thyrex:
Запускайте »
Т.е как я понимаю ничего криминального в логах нет????!!!

И опять после перезагрузки в реестре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run появился параметр EXPLORER.exe и при входе пользователем открывается папка "Мои Документы".
И в автозагрузке есть это (специально все галки поставил)


Но в реестре есть только параметр EXPLORER.exe в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Как от туда удалить все остальное???!!

Отправлено: 19:57, 16-07-2013 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Старожил


Сообщения: 157
Благодарности: 3

Профиль | Отправить PM | Цитировать


Почистил реестр в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Перегрузился....
Остался только ПУСТОЙ параметр, и ни как его не получается удалить

Отправлено: 20:24, 16-07-2013 | #12


Старожил


Сообщения: 157
Благодарности: 3

Профиль | Отправить PM | Цитировать


Товарищи!!))) А кто нибудь еще смотрит что происходит в этой теме?????

Отправлено: 08:31, 18-07-2013 | #13


Ветеран


Консультант


Сообщения: 1511
Благодарности: 413

Профиль | Отправить PM | Цитировать


  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS

-------


Отправлено: 11:21, 18-07-2013 | #14


Старожил


Сообщения: 157
Благодарности: 3

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: rar DATA_2013-07-22_15-48-35.rar
(376.4 Kb, 2 просмотров)

Цитата regist:
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. »
Лог в приложении...

Отправлено: 16:11, 22-07-2013 | #15


Ветеран


Консультант


Сообщения: 1511
Благодарности: 413

Профиль | Отправить PM | Цитировать


в логе не вижу ничего плохого.

Цитата zavoruev:
Почистил реестр в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Перегрузился....
Остался только ПУСТОЙ параметр, и ни как его не получается удалить »
попробуйте дать себе права на эту ветку и снова удалить.

-------


Отправлено: 00:46, 23-07-2013 | #16


Старожил


Сообщения: 157
Благодарности: 3

Профиль | Отправить PM | Цитировать


Цитата regist:
попробуйте дать себе права на эту ветку и снова удалить. »
Что именно удалить???? Там остался только один строковый параметр
Цитата:
ctfmon

Отправлено: 09:05, 23-07-2013 | #17


Ветеран


Консультант


Сообщения: 1511
Благодарности: 413

Профиль | Отправить PM | Цитировать


какие сейчас проблемы ?

-------


Отправлено: 11:20, 23-07-2013 | #18


Старожил


Сообщения: 157
Благодарности: 3

Профиль | Отправить PM | Цитировать


Цитата regist:
какие сейчас проблемы ? »
Только лишь в этом http://forum.oszone.net/post-2185709.html#post2185709

Остальное все нормально!!!!

Отправлено: 23:20, 23-07-2013 | #19


Ветеран


Консультант


Сообщения: 1511
Благодарности: 413

Профиль | Отправить PM | Цитировать


если там остался просто пустой параметр и других никаких жалоб нет, то на этом можно и остановиться. По логам плохого не видно.

-------


Отправлено: 16:30, 24-07-2013 | #20



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Сетевой червь Win32.HLLW.Shadow.based

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Модифицированный Win32/Dorkbot.B червь Rarog14 Лечение систем от вредоносных программ 8 22-11-2012 16:34
червь Worm.Win32.Riskrun.a oli Лечение систем от вредоносных программ 4 24-11-2011 03:27
[решено] Не могу победить Win32.HLLW.Autoruner.5555 СаркозаН Лечение систем от вредоносных программ 5 27-02-2011 14:31
[решено] Выявление Win32.HLLW.Shadow PsyDuck Лечение систем от вредоносных программ 4 28-07-2010 16:16
Помогите на компьютере Win32.HLLW.Autoruner.1887 irchik Лечение систем от вредоносных программ 1 06-05-2010 11:29




 
Переход