|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Выявление Win32.HLLW.Shadow |
|
|
[решено] Выявление Win32.HLLW.Shadow
|
Пользователь Сообщения: 107 |
Одна из машин в домене подхватила (?) эту заразу.
Теперь на машинах, в администраторы которых добавлены другие учетные записи антивири детектируют Выявление Win32.HLLW.Shadow.45, файл всегда один и то-же - Systemvolume\Windows\System32\wcpgxljk.q (На всех машинах название идентично), ОС везде - или Vista SP2, или-же Windows 7, Контроллер домена на Windows Server 2003 (апдейты стоят). Все машины проверяли разными антивирями, обычно или находит этот файл (и удаляет его), плюс находятся созданные задания вирем в Планировщике Windows (так-же удаляются). Но более ничего, ни иных зараженных файлов, процессов и тд и тп. Провели эксперимент - на одной из машин оставили доступ только для одной учетной записи, другие удалили из группы Администраторы (к сожалению нужно чтобы другие пользователи были именно в этой группе). Прошли сутки - установленный DrWeb ничего не детектирует, утилита от Kaspersky Lab для детектирования и удаления Kido тоже. На других-же машинах все как и было. Энное кол-во раз в сутки антивирем детектируется вышеописанный файл, затем запускаем утилу от Каспера, находит задания, удаляет, но более ничего. Самое большее, что сейчас волнует это выявить явно зараженную машину, есть небольшие сомнения в сторону 1-2х машин, но антивирусная проверка результатов не принесла - они чисты. |
|
|
------- Отправлено: 10:48, 28-07-2010 |
|
Пользователь Сообщения: 107
|
Профиль | Отправить PM | Цитировать Нашел зараженную машину, на той машине, на которой удалили из пользователей доменные учетные записи в событиях стали появляется записи, говорящие о том, что с определенной учетной записи не был произведен вход - не опознано имя или пароль. Понятно что тот человек не мог забыть свой пароль. Машина проверяется на данный момент.
Пока вот что непонятно даже с учетом того что вирь вполне нормально мог заходить на машины, как он запускался? Через какой механизм, на машинах антивири, апдейты все. |
|
------- Отправлено: 11:08, 28-07-2010 | #2 |
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать wsimons, Выполните рекомендации и прикрепите к следующему сообщению полученные логи.
|
|
------- Отправлено: 16:08, 28-07-2010 | #3 |
|
Пользователь Сообщения: 107
|
Профиль | Отправить PM | Цитировать Всё вылечил.
|
|
------- Отправлено: 16:11, 28-07-2010 | #4 |
|
Будем жить, Маэстро... Сообщения: 6694
|
Профиль | Сайт | Отправить PM | Цитировать Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил
|
|
|
------- Отправлено: 16:16, 28-07-2010 | #5 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Безопасность - Shadow defender | ShaddyR | Программное обеспечение Windows | 44 | 09-02-2022 01:39 | |
| Помогите на компьютере Win32.HLLW.Autoruner.1887 | irchik | Лечение систем от вредоносных программ | 1 | 06-05-2010 11:29 | |
| w32.HLLW.Gaobot.gen | federiko | Защита компьютерных систем | 15 | 05-05-2004 21:39 | |
|
|
Время: 09:01. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
