Сетевой червь Win32.HLLW.Shadow.based
 

Всем добрый день!!!!
Вчера на боевом сервере обнаружил что не отображаются системные/скрытые файлы и папки. Поиском в интернете нашел много ссылок на данный вирус ( Сетевой червь Win32.HLLW.Shadow.based).
А дня за 2 до этого антивирус Symantec заблокировал подозрительный процесс Explorer.exe в папке system32, и после того как зашел на сервер под различными пользователями автоматически открывалась папка мои документы. После этого поправил реестр в ветке winlogon, параметр userinit (удалил от туда Explorer). И вот после этого в windows 2k3 перестали отображаться системные/скрытые файлы и папки, но Total Comander их видит.
После этого все сделал как вот этой статье http://news.drweb.com/show/?i=204, DrWeb CureIt нашел вирус Win32.HLLW.Shadow.based в виде библиотеки в system32, но удалить не смог, т.к я понимаю это уже сделал Symantec.
Дальнейшее сканирование с помощью DrWeb CureIt результатов не дает, может вируса уже и нет, но хочется уж точно в этом убедиться что бы подключить его к сети. И системные/скрытые файлы и папки до сих пор не отображаются!!!!
Хочу действовать как в этой статье http://forum.oszone.net/post-717373.html, прошу помощи в обработки логови дальнейшей помощи!!!!

А где логи?

Пока писал пост был в процессе создания логов)!!! Прошу прощения!!!

И еще один вопрос, после создания отчета скрипт №2, компьютер при перезагрузке висел на сохранение параметров минут 25-30. Не дождался перегрузил через кнопку. Что в этот момент могло сохраняться и не повлияло ли это на лечение проводимое скриптом №2???

Посмотрите Логииииииииии))))!!!

Системные/скрытые файлы и папки вылечил как сказано здесь http://forum.ixbt.com/topic.cgi?id=22:67617-2
а точнее, зарегистировал библиотеку

Товарищи, помогите проанализировать собранные логи!!!! Сервер надо уже допускать до сети))!!!

Win32.HLLW.Shadow.based - это если мне не изменяет память сетевой червяк Kido

Обновления для системы все установлены? Утилитой Kidokiller проверялись?

Нет, не проверял! Все свои действия я описал выше!!!) Больше ничего не делал.

Да конечно, и все заплатки.

И еще у меня в автозагрузке было вот это
Поиск данного файла ничего не дал!!!! В реестре HKCU и HCLM записей в Run о нем то же нет!!!

Не факт, что это не от системы :)

http://virusinfo.info/showthread.php?t=84132 Об этом говорили на форуме Virusinfo.info, так что за что купил, за то и продаю))) Да и симптомы были схожи с моими!!!

Так что на счет этого????
Да, сканирование с помощью kidokiller ничего не дал
Что делать дальше??? Допускать сервер до рабочей сети?!!!

Запускайте

Т.е как я понимаю ничего криминального в логах нет????!!!

И опять после перезагрузки в реестре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run появился параметр EXPLORER.exe и при входе пользователем открывается папка "Мои Документы".
И в автозагрузке есть это (специально все галки поставил)


Но в реестре есть только параметр EXPLORER.exe в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Как от туда удалить все остальное???!!

Почистил реестр в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Перегрузился....
Остался только ПУСТОЙ параметр, и ни как его не получается удалить

Товарищи!!))) А кто нибудь еще смотрит что происходит в этой теме?????

Лог в приложении...

в логе не вижу ничего плохого.

попробуйте дать себе права на эту ветку и снова удалить.

Что именно удалить???? Там остался только один строковый параметр

какие сейчас проблемы ?

Только лишь в этом http://forum.oszone.net/post-2185709.html#post2185709

Остальное все нормально!!!!

если там остался просто пустой параметр и других никаких жалоб нет, то на этом можно и остановиться. По логам плохого не видно.