Trojan.Win32.HLLW.Shadow.based на Win NT

**Борщенко** · 23.01.2009, 12:18

Добрый день. У нас есть сетевой сервер. Старенький, уже лет 10 работает. На нем и домен. Операционка Windows NT 4. И вот к нам попал этот зловредный вирус. Первоначальные симптомы проявились в нестабильной работе сети. Потом касперский 7 начал предупреждать о том, что есть вирус Trojan.Win32.Agent.bcjv на сетевом диске в файле RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (171376 байт создан 03.07.2003), но удалить его не может. Я поставил заплаты Windows на все компьютеры найшей сети, прошелся Dr.Web.CureIt и все вроде бы вылечил кроме сервера. Что делать с сервером NT?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 23.01.2009, 12:24

В логах чисто...

**Борщенко** · 23.01.2009, 12:24

Ой! В названии темы я указал лишнее название "Trojan". Это в голове уже перепуталось от кучи антивирусников (Касперский называет его Trojan.Win32.Agent.bcjv)

**Гриша** · 23.01.2009, 12:26

На вашей системе ничего нет, файл на сетевом диске создает кто-то другой из сети, нужно искать источник...

**Борщенко** · 23.01.2009, 12:27

Но файл RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (171376 байт создан 03.07.2003) как сидел, так и сидит. Причем на двух сетевых дисках. И ничего с ними сделать невозможно. Вчера вышел новый Dr.Web.CureIt, который как и прежний, указал, что в этих файлах Win32.HLLW.Shadow.based. Сказал, что удалено, но эти файлы по прежнему есть. Значит какой-то процесс их крепко держит.

**Гриша** · 23.01.2009, 12:38

Он так и будет туда писаться неизвестно кем, пока вы не найдете источник...

Добавлено через 9 минут

Скачайте http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip , меню, File найдите там этот файл, правая кнопка Force Delete на запрос ответьте положительно... сообщите что получилось...

**Борщенко** · 23.01.2009, 14:53

На сервере запускаться отказалась. Выдала ошибку:
The procedure entry point CreateToolhelp32Snapshot could not be located in the dynamic link library KERNEL32.dll.
А с моей (локальной машины) сетевые диски видит как диски CD и не желает к ним обращаться

**Гриша** · 23.01.2009, 15:00

На вашей системе ничего не работает

Попробуйте убрать с файла метку "Системный" и дать на него "Полный доступ" для администратора и попробуйте удалить его...

**Борщенко** · 23.01.2009, 15:47

Он не разрешает ничего делать. Могу только владельца менять.
Кстати на файле нет ни System ни Hidden. А вот на директории S-5-3-42-2819952290-8240758988-879315005-3665 стоит и System и Hidden. Но менять их не разрешает. На других папках в Recycler, как и на самой Recycler пожалуйста, а эта - НЕТ