|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Сетевой червь Win32.HLLW.Shadow.based |
|
[решено] Сетевой червь Win32.HLLW.Shadow.based
|
Старожил Сообщения: 157 |
Профиль | Отправить PM | Цитировать Всем добрый день!!!!
Вчера на боевом сервере обнаружил что не отображаются системные/скрытые файлы и папки. Поиском в интернете нашел много ссылок на данный вирус ( Сетевой червь Win32.HLLW.Shadow.based). А дня за 2 до этого антивирус Symantec заблокировал подозрительный процесс Explorer.exe в папке system32, и после того как зашел на сервер под различными пользователями автоматически открывалась папка мои документы. После этого поправил реестр в ветке winlogon, параметр userinit (удалил от туда Explorer). И вот после этого в windows 2k3 перестали отображаться системные/скрытые файлы и папки, но Total Comander их видит. После этого все сделал как вот этой статье http://news.drweb.com/show/?i=204, DrWeb CureIt нашел вирус Win32.HLLW.Shadow.based в виде библиотеки в system32, но удалить не смог, т.к я понимаю это уже сделал Symantec. Дальнейшее сканирование с помощью DrWeb CureIt результатов не дает, может вируса уже и нет, но хочется уж точно в этом убедиться что бы подключить его к сети. И системные/скрытые файлы и папки до сих пор не отображаются!!!! Хочу действовать как в этой статье http://forum.oszone.net/post-717373.html, прошу помощи в обработки логови дальнейшей помощи!!!! |
|
Отправлено: 10:39, 16-07-2013 |
Старожил Сообщения: 157
|
Профиль | Отправить PM | Цитировать Цитата thyrex:
И опять после перезагрузки в реестре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run появился параметр EXPLORER.exe и при входе пользователем открывается папка "Мои Документы". И в автозагрузке есть это (специально все галки поставил) Но в реестре есть только параметр EXPLORER.exe в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Как от туда удалить все остальное???!! |
|
Отправлено: 19:57, 16-07-2013 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Старожил Сообщения: 157
|
Профиль | Отправить PM | Цитировать Почистил реестр в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Перегрузился....
Остался только ПУСТОЙ параметр, и ни как его не получается удалить |
Отправлено: 20:24, 16-07-2013 | #12 |
Старожил Сообщения: 157
|
Профиль | Отправить PM | Цитировать Товарищи!!))) А кто нибудь еще смотрит что происходит в этой теме?????
|
Отправлено: 08:31, 18-07-2013 | #13 |
Ветеран Сообщения: 1511
|
Профиль | Отправить PM | Цитировать
|
------- Отправлено: 11:21, 18-07-2013 | #14 |
Старожил Сообщения: 157
|
Профиль | Отправить PM | Цитировать Цитата regist:
|
|
Отправлено: 16:11, 22-07-2013 | #15 |
Ветеран Сообщения: 1511
|
Профиль | Отправить PM | Цитировать в логе не вижу ничего плохого.
Цитата zavoruev:
|
|
------- Отправлено: 00:46, 23-07-2013 | #16 |
Старожил Сообщения: 157
|
Профиль | Отправить PM | Цитировать Цитата regist:
Цитата:
|
||
Отправлено: 09:05, 23-07-2013 | #17 |
Ветеран Сообщения: 1511
|
Профиль | Отправить PM | Цитировать какие сейчас проблемы ?
|
------- Отправлено: 11:20, 23-07-2013 | #18 |
Старожил Сообщения: 157
|
Профиль | Отправить PM | Цитировать Цитата regist:
Остальное все нормально!!!! |
|
Отправлено: 23:20, 23-07-2013 | #19 |
Ветеран Сообщения: 1511
|
Профиль | Отправить PM | Цитировать если там остался просто пустой параметр и других никаких жалоб нет, то на этом можно и остановиться. По логам плохого не видно.
|
------- Отправлено: 16:30, 24-07-2013 | #20 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Модифицированный Win32/Dorkbot.B червь | Rarog14 | Лечение систем от вредоносных программ | 8 | 22-11-2012 16:34 | |
червь Worm.Win32.Riskrun.a | oli | Лечение систем от вредоносных программ | 4 | 24-11-2011 03:27 | |
[решено] Не могу победить Win32.HLLW.Autoruner.5555 | СаркозаН | Лечение систем от вредоносных программ | 5 | 27-02-2011 14:31 | |
[решено] Выявление Win32.HLLW.Shadow | PsyDuck | Лечение систем от вредоносных программ | 4 | 28-07-2010 16:16 | |
Помогите на компьютере Win32.HLLW.Autoruner.1887 | irchik | Лечение систем от вредоносных программ | 1 | 06-05-2010 11:29 |
|