Перейти к содержимому


Фото
- - - - -

Вирус Win32.hllw.shadow.based


  • Please log in to reply
64 ответов в этой теме

#1 WinLin2

WinLin2

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 10 Апрель 2009 - 07:32

1) После окончания срока действия ключа запросил демо ключ.
Как было сказано в течении 1-3 дня получите.
... не получил и через неделю :)

2) DrWeb агенты ведут активную деятельность в сети при отсутствии ключа.
Персональный DrWeb через две недели вообще блокировал загрузку компьютера.

3) Вся сеть заражена Win32.HLLW.Shadow.based.
Купили ключ через 8 дней так и не дождавшись демо-ключа.
Клиенты пролечились, сегодня опять по новой у всех этот вирус.
Что делать?

4) Дебильный регистратор на форуме.
Ничего попроще и по-русски нельзя было поставить :)
Что это за captcha при регистрации?

#2 bur80

bur80

    Newbie

  • Posters
  • 27 Сообщений:

Отправлено 10 Апрель 2009 - 08:09

1) После окончания срока действия ключа запросил демо ключ.
Как было сказано в течении 1-3 дня получите.
... не получил и через неделю


Демо, по определению, дает возможность ознакомится с продуктом с которым вы ранее не работали. Если у вас уже стоял лицензионный dr.web, то зачем вам демо [ sensored ]  :)

3) Вся сеть заражена Win32.HLLW.Shadow.based.



Пользователи пользуются инетом, либо кто-то из пользователей в сети пользуется инетом либо ещё как (флешка, дискета) вирус попал в сетку и ввиду отсутствия активной защиты за счет виндовых дыр распространился.
jid: bur80@jabber.ru

#3 headliner

headliner

    Advanced Member

  • Members
  • 547 Сообщений:

Отправлено 10 Апрель 2009 - 08:09

1) Отключить автозапуск со сменных носителей
2) Выключить сеть
3) На всех компах пройтись сканером.
4) Поставить заплатки на систему

#4 Andrey_Kr

Andrey_Kr

    Advanced Member

  • Posters
  • 666 Сообщений:

Отправлено 10 Апрель 2009 - 08:24

1) Выключить сеть

Отключать сеть - это слишком большая честь для shadow, как по мне достаточно убедиться, что файловый монитор работает и пройтись сканером, повторного заражения включенный файловый монитор не допустит

#5 WinLin2

WinLin2

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 10 Апрель 2009 - 08:44

1) Выключить сеть

Отключать сеть - это слишком большая честь для shadow, как по мне достаточно убедиться, что файловый монитор работает и пройтись сканером, повторного заражения включенный файловый монитор не допустит


Заражается вылеченный компьютер.
мой WinXP Pro SP3 также сегодня заражен повторно.

#6 ILNARus

ILNARus

    Advanced Member

  • Posters
  • 636 Сообщений:

Отправлено 10 Апрель 2009 - 08:45

повторного заражения включенный файловый монитор не допустит

я бы не был так уверенным :)

логи не предоставлю, но случаии есть, так что ставить заплатки надо обязательно..
В городе поставили памятник вандалам. Вандалы в замешательстве….

#7 ILNARus

ILNARus

    Advanced Member

  • Posters
  • 636 Сообщений:

Отправлено 10 Апрель 2009 - 08:49

и еще, выключить сеть, не означет всех сразу вырубить, только тот компьютер, который лечиться,
т.е. отключаемся от сети, ставим заплатку, перегружаемся , проверяемся по полной, можно включить в сеть,

обычно после этого повторного заражения не было...
В городе поставили памятник вандалам. Вандалы в замешательстве….

#8 WinLin2

WinLin2

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 10 Апрель 2009 - 09:03

и еще, выключить сеть, не означет всех сразу вырубить, только тот компьютер, который лечиться,
т.е. отключаемся от сети, ставим заплатку, перегружаемся , проверяемся по полной, можно включить в сеть,

обычно после этого повторного заражения не было...


Где взять заплатку?
В сети WinXP Home SP1; WinXP Pro SP1,2,3

#9 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 949 Сообщений:

Отправлено 10 Апрель 2009 - 09:04

Критические заплатки берутся на MS.
В новости про эпидемию от Dr.Web были ссылки на заплатки.

И нужно на все Windows XP поставить Service Pack 3.

#10 WinLin2

WinLin2

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 10 Апрель 2009 - 09:17

Критические заплатки берутся на MS.
В новости про эпидемию от Dr.Web были ссылки на заплатки.

И нужно на все Windows XP поставить Service Pack 3.


С этим проблематично ... по лицензионным соображениям :)

#11 Ilya

Ilya

    Newbie

  • Posters
  • 51 Сообщений:

Отправлено 10 Апрель 2009 - 09:24

1) Выключить сеть

Отключать сеть - это слишком большая честь для shadow, как по мне достаточно убедиться, что файловый монитор работает и пройтись сканером, повторного заражения включенный файловый монитор не допустит


Заражается вылеченный компьютер.
мой WinXP Pro SP3 также сегодня заражен повторно.


Если ругается спайдергвард, то он на стадии копирования инфицированного файла в систему сразу его убивает! Т.е. компьютер не успевает заразиться... проблему надо искать в сети, сканить все компы и ставить заплатки!
У меня такая же проблема на одном из компов... хотя заплатки стоят, но где-то дыра осталась и один зараженный файлик каждый час пытается осесть на этом компе... пока, вроде, безуспешно :)

#12 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 949 Сообщений:

Отправлено 10 Апрель 2009 - 09:27

И нужно на все Windows XP поставить Service Pack 3.


С этим проблематично ... по лицензионным соображениям :)


Ээээ... лицензия не позволяет установить SP3 ? :)

Вообще, установка сервис-паков и критических фиксов никак не сказывается на Genuine Check.

#13 ILNARus

ILNARus

    Advanced Member

  • Posters
  • 636 Сообщений:

Отправлено 10 Апрель 2009 - 09:38

Вообще, установка сервис-паков и критических фиксов никак не сказывается на Genuine Check.

у некоторых версий виндов срабатывает и просит активировать, но лекарство есть конечно.
В городе поставили памятник вандалам. Вандалы в замешательстве….

#14 headliner

headliner

    Advanced Member

  • Members
  • 547 Сообщений:

Отправлено 10 Апрель 2009 - 09:38

1) Выключить сеть

Отключать сеть - это слишком большая честь для shadow, как по мне достаточно убедиться, что файловый монитор работает и пройтись сканером, повторного заражения включенный файловый монитор не допустит


Заражается вылеченный компьютер.
мой WinXP Pro SP3 также сегодня заражен повторно.

Улыбнуло. Заплатки закрывающие эти дыры выпущены ПОСЛЕ SP3 буквально три месяца назад. Как поставите заплатки зараза сможет пройти, лишь при отсутствии/слабом пароля на локальном админе.

#15 headliner

headliner

    Advanced Member

  • Members
  • 547 Сообщений:

Отправлено 10 Апрель 2009 - 09:40

Критические заплатки берутся на MS.
В новости про эпидемию от Dr.Web были ссылки на заплатки.

И нужно на все Windows XP поставить Service Pack 3.


С этим проблематично ... по лицензионным соображениям :)

Вообще-то SP3, мягко говоря, очень лояльно относится к лицензированию. Если не ошибаюсь, в SP3, вообще, нет "черного" списка...

#16 headliner

headliner

    Advanced Member

  • Members
  • 547 Сообщений:

Отправлено 10 Апрель 2009 - 09:41

1) Выключить сеть

Отключать сеть - это слишком большая честь для shadow, как по мне достаточно убедиться, что файловый монитор работает и пройтись сканером, повторного заражения включенный файловый монитор не допустит


Заражается вылеченный компьютер.
мой WinXP Pro SP3 также сегодня заражен повторно.


Если ругается спайдергвард, то он на стадии копирования инфицированного файла в систему сразу его убивает! Т.е. компьютер не успевает заразиться... проблему надо искать в сети, сканить все компы и ставить заплатки!
У меня такая же проблема на одном из компов... хотя заплатки стоят, но где-то дыра осталась и один зараженный файлик каждый час пытается осесть на этом компе... пока, вроде, безуспешно :)

Если заплатки установлены, то зараза может пройти только если на локальном админе нет пароля или он слабый.

#17 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 10 Апрель 2009 - 10:00

Если заплатки установлены, то зараза может пройти только есть на локальном админе нет пароля или он слабый.

Или если винда какая-нить патченная сборка. :) Тогда через другую дыру может пройти...
С уважением,
Борис А. Чертенко aka Borka.

#18 Andrey_Kr

Andrey_Kr

    Advanced Member

  • Posters
  • 666 Сообщений:

Отправлено 10 Апрель 2009 - 10:42

1) Выключить сеть

Отключать сеть - это слишком большая честь для shadow, как по мне достаточно убедиться, что файловый монитор работает и пройтись сканером, повторного заражения включенный файловый монитор не допустит


Заражается вылеченный компьютер.
мой WinXP Pro SP3 также сегодня заражен повторно.

Как правильно заметил Ilya, это не есть заражение, это только попытка скопировать файл с последующем его запуском, спайдер его убивает на стадии копирования.

#19 Ilya

Ilya

    Newbie

  • Posters
  • 51 Сообщений:

Отправлено 10 Апрель 2009 - 11:12

именно... на том компе пользователь с правами админа без пароля сидит... просто не до него щас :)

#20 WinLin2

WinLin2

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 10 Апрель 2009 - 13:57

При загрузке Windows выдается сообщение:
"Generic Host Process for Win32 Services"
будет закрыт из-за возможной вирусной активности.

WinXP Pro SP3.


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых