|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Сетевой червь Win32.HLLW.Shadow.based |
|
|
[решено] Сетевой червь Win32.HLLW.Shadow.based
|
Старожил Сообщения: 157 |
Профиль | Отправить PM | Цитировать Всем добрый день!!!!
Вчера на боевом сервере обнаружил что не отображаются системные/скрытые файлы и папки. Поиском в интернете нашел много ссылок на данный вирус ( Сетевой червь Win32.HLLW.Shadow.based). А дня за 2 до этого антивирус Symantec заблокировал подозрительный процесс Explorer.exe в папке system32, и после того как зашел на сервер под различными пользователями автоматически открывалась папка мои документы. После этого поправил реестр в ветке winlogon, параметр userinit (удалил от туда Explorer). И вот после этого в windows 2k3 перестали отображаться системные/скрытые файлы и папки, но Total Comander их видит. После этого все сделал как вот этой статье http://news.drweb.com/show/?i=204, DrWeb CureIt нашел вирус Win32.HLLW.Shadow.based в виде библиотеки в system32, но удалить не смог, т.к я понимаю это уже сделал Symantec. Дальнейшее сканирование с помощью DrWeb CureIt результатов не дает, может вируса уже и нет, но хочется уж точно в этом убедиться что бы подключить его к сети. И системные/скрытые файлы и папки до сих пор не отображаются!!!! Хочу действовать как в этой статье http://forum.oszone.net/post-717373.html, прошу помощи в обработки логови дальнейшей помощи!!!! |
|
Отправлено: 10:39, 16-07-2013 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Цитата zavoruev:
|
|
------- Отправлено: 11:09, 16-07-2013 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Старожил Сообщения: 157
|
Профиль | Отправить PM | Цитировать Пока писал пост был в процессе создания логов)!!! Прошу прощения!!!
И еще один вопрос, после создания отчета скрипт №2, компьютер при перезагрузке висел на сохранение параметров минут 25-30. Не дождался перегрузил через кнопку. Что в этот момент могло сохраняться и не повлияло ли это на лечение проводимое скриптом №2??? |
Отправлено: 12:15, 16-07-2013 | #3 |
Старожил Сообщения: 157
|
Профиль | Отправить PM | Цитировать Посмотрите Логииииииииии))))!!!
Системные/скрытые файлы и папки вылечил как сказано здесь http://forum.ixbt.com/topic.cgi?id=22:67617-2 а точнее, зарегистировал библиотеку Цитата:
|
|
Последний раз редактировалось zavoruev, 16-07-2013 в 13:55. Отправлено: 13:49, 16-07-2013 | #4 |
Старожил Сообщения: 157
|
Профиль | Отправить PM | Цитировать Товарищи, помогите проанализировать собранные логи!!!! Сервер надо уже допускать до сети))!!!
|
|
Отправлено: 17:25, 16-07-2013 | #5 |
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать Win32.HLLW.Shadow.based - это если мне не изменяет память сетевой червяк Kido
Обновления для системы все установлены? Утилитой Kidokiller проверялись? |
------- Отправлено: 17:56, 16-07-2013 | #6 |
Старожил Сообщения: 157
|
Профиль | Отправить PM | Цитировать Цитата thyrex:
Цитата thyrex:
И еще у меня в автозагрузке было вот это Поиск данного файла ничего не дал!!!! В реестре HKCU и HCLM записей в Run о нем то же нет!!! |
||
Отправлено: 18:05, 16-07-2013 | #7 |
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать Цитата zavoruev:
|
|
------- Отправлено: 18:22, 16-07-2013 | #8 |
Старожил Сообщения: 157
|
Профиль | Отправить PM | Цитировать Цитата thyrex:
Так что на счет этого???? Цитата zavoruev:
Цитата:
|
|||
Отправлено: 18:27, 16-07-2013 | #9 |
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать Запускайте
|
------- Отправлено: 19:38, 16-07-2013 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Модифицированный Win32/Dorkbot.B червь | Rarog14 | Лечение систем от вредоносных программ | 8 | 22-11-2012 16:34 | |
червь Worm.Win32.Riskrun.a | oli | Лечение систем от вредоносных программ | 4 | 24-11-2011 03:27 | |
[решено] Не могу победить Win32.HLLW.Autoruner.5555 | СаркозаН | Лечение систем от вредоносных программ | 5 | 27-02-2011 14:31 | |
[решено] Выявление Win32.HLLW.Shadow | PsyDuck | Лечение систем от вредоносных программ | 4 | 28-07-2010 16:16 | |
Помогите на компьютере Win32.HLLW.Autoruner.1887 | irchik | Лечение систем от вредоносных программ | 1 | 06-05-2010 11:29 |
|