Как избавиться от вируса Win32.HLLW.Shadow.based

   Одним из самых вредных сетевых червей являет вирус «Win32.HLLW.Shadow.based». Его особенность заключает в том, что он проникает в операционную систему под самыми разными способами, от различных съемных носителей, до локальных сетей, в том числе и при подключении сетевых дисков при автозагрузке «Windows». Файл, создаваемый вирусом, носит название «RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx», что делает его очень опасным. Маскируясь под «Корзину» файл становится очень незаметным, поскольку корзина всегда есть в системе и её нельзя удалить.

   Вторым способом проникновения  вируса при помощи сети является перемещение в интернете при помощи протокола SMB. Вирус автоматически генерирует пароль и получает доступ к компьютеру, после чего самокопируется в системную директорию и через некоторые время периодически запускается.

   Ещё одним способ заражения компьютера является  использование его уязвимых мест. Буфер компьютера переполняется и появляется возможность загрузки вируса по протоколу http.

   После автостарта, вирус добавляет свой код в такие системные процессы как svchost.exe и explorer.exe, завершается миссия сознанием каталога в проводнике. При этом вирус может создавать свою автокопию под различными именами. Вредоносные файлы могут храниться где угодно и обнаруживаются только антивирусными программами. При этом сам вирус способен полностью приостановить нормальный процесс работы системы, из-за изменения системных настроек. Его удаление и избавление от вредоносных файлов тоже задача не самая легкая, поскольку он внедряет свой код в различные системные настройки, в том числе и в некоторые коды простых антивирусных программ.

   После регистрации своей копии под видом сервиса «Windows», червь останавливает процесс обновления «Windows» и продолжает распространяться по сети.
   При удалении этого вируса может возникнуть проблема, если «Win32.HLLW.Shadow.based» внедрит свой код в DNS-настройки компьютера. Это приводит к тому, что доступ ко многим локальным и сетевым ресурсам блокируется.

   Главная задача этого вируса — это создание собственной структуры  (бот-сети), при которой вирус получает над компьютером контроль и может запускать разные программы. Многие хакеры занимают разработкой таких бот-сетей для продажи.

   Для лечения компьютера от этого вируса нужно отключить все сетевые подключения (если все несколько компьютеров, то рекомендуется лечить все компьютеры) и поставить патчи в информационных списках «Microsoft» MS08-067, MS08-068, MS09-001, после чего воспользоваться антивирусным пакетом, способным лечить файлы (Kaspersky или Dr.Web). В редких случая этот вирус способен нанести необратимый вред операционной системе, когда может помочь только полная переустановка ОС «Windows»

   Чтобы избежать заражения компьютера, рекомендуется использовать антивирусные программы со встроенным функциями antirootkit. Такими как Kаspersky, Dr.Web или Avira Antivir (из бесплатного софта).

   Для удаления вируса следует  загружать Windows  в безопасном режиме, после чего произвести лечение компьютера и восстановить реестр при помощи резервной копии.