-
Проблема после удаления Win32.HLLW.MyBot
Доброго всем времени суток. Тема немного оффтоп, заранее прошу прощения.
Проблема: имеется машина с Windows 2003 server SP1 enterprise edition, выполнявшая функцию контроллера домена. На момент попадания ко мне грузилась только в режиме восстановления AD. Удалось частично восстановить работоспособность с помощью ntdsutil, после чего были сделаны две вещи:
1.поставлены ВСЕ обновления, доступные через windows update, в том числе и средство удаления вредоносных программ за июль. Эта утилита опознала порядка 6 вредоносных программ (к сожалению, совершил большую глупость: не задокументировал сообщения, и не знаю, ведет ли средство удаления собственный лог, поэтому не могу уточнить, что именно было обнаружено)
2. Проведена последовательная проверка утилитами AVZ и CureIt. Собственно CureIt обнаружил и удалил Win32.HLLW.MyBot(по классификации DrWeb).
Что хотелось бы понять:
1. Не осталось ли на данной машине какой-нибудь вирусной активности.
2. Active Directory функционирует не полностью. Попытка открытия/изменения групповой политики приводит к ошибке - отказу в доступе. Возможно, кто-то из хелперов знает инструмент, позволяющий восстановить групповую политику, или хотя бы заменить все установленные там значения на дефолтные.
Заранее благодарен
ps: видимый в логе HJT sqldbmanager - собственно вирус. Реестр вычищен после создания лога.
Последний раз редактировалось Numb; 15.10.2007 в 11:00.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Numb
Доброго всем времени суток. Тема немного оффтоп, заранее прошу прощения.
Проблема: имеется машина с Windows 2003 server SP1 enterprise edition, выполнявшая функцию контроллера домена. На момент попадания ко мне грузилась только в режиме восстановления AD. Удалось частично восстановить работоспособность с помощью ntdsutil ...
Видимых вирусных проявлений не видно, но для перестраховки стоит прислать:
C:\WINDOWS\TEMP\pdk-SYSTEM-316\2616079224a4dbe31572e095f13b1785.dll
C:\WINDOWS\TEMP\pdk-SYSTEM-316\f366039ef919b398daf8ed4753ed6b9d.dll
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\PROGRA~1\-AFCB~1\CCExt.dll
C:\WINDOWS\system32\mscoree.dll
Почти наверняка все эти файлы безопасны, но проверитьне помешает
-
-
Файл сохранён какvirus_44b63256c30bb.zipРазмер файла197552MD5ac1627a5d91c75c392c7ab9a3d6c1109
Найдена только эта CCExt.dll Указанного пути и каталога не существует. Данная библиотека, вероятно, вполне легальна
-
-
Сообщение от
Numb
Указанного пути и каталога не существует.
Существует. Это Program Files\что-то русское. А в лог попало короткое имя.
P.S. Искали с помощью AVZ?
-
-
Сообщение от
pig
Существует. Это Program Files\что-то русское. А в лог попало короткое имя.
P.S. Искали с помощью AVZ?
Искал с помощью AVZ. Я понимаю, что это урезанные длинные имена. Единственная найденная CCExt.dll выслана. По назначению из лога AVZ - Context Menu Shell Extension for Client-Communicator - это она и есть. Client-Communicator - программа, работающая с базами MSSQL, действительно имеет встраиваемое контекстное меню, для реализации которого, вероятно, и предназначена данная бибилиотека.
-