Kaspersky Online Scanner нашел Trojan-Downloader.Win32.Diehard.dz
Как победить этот вирус?
Заранее спасибо
Trojan-Downloader.Win32.Diehard.dz
Kaspersky Online Scanner нашел Trojan-Downloader.Win32.Diehard.dz
Как победить этот вирус?
Заранее спасибо
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Постарался сделать все как рекамендованно. Пркрепляю логи. Помогите пожалуйста.Сообщение от Shu_b
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\SystemRoot\system32\DRIVERS\lstone2k.sys',''); BC_Importall; BC_Activate; RebootWindows(true); end.
К сожалению я не знаю что нужно выделять в моем карантине согласно пункта
2. Справа в списке файлов отметьте те файлы которые нужно выслать.
поэтому выделил всё. Если не прав прошу прощения.
Карантин вроде бы отправил.
15 mb - бедный вирлаб
Microsoft Most Valuable Professional in Consumer Security
Что я не правильно сделал?
Добавлено через 2 часа 7 минут
Карнтин исправил и послал. Надеюсь на вашу помощь.
Последний раз редактировалось LABUH; 11.03.2008 в 02:24. Причина: Добавлено
В карантине:
C:\WINDOWS\system32\DRIVERS\lstone2k.sys - чистый
C:\WINDOWS\cpu.exe - Trojan-Downloader.Win32.Diehard.dz (в логах не фигурирует, вероятно уже удален, однако ставлю на удаление на всякий случай).
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Program Files\DNA\btdna.exe',''); QuarantineFile('C:\WINDOWS\system32\diskcop.dll',''); DeleteFile('C:\WINDOWS\cpu.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил
I am not young enough to know everything...
новый карантин послал
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{522D5C87-911C-49FA-919E-D18BDA5387FA}'); DeleteFile('C:\WINDOWS\system32\diskcop.dll'); BC_DeleteFile('C:\WINDOWS\system32\diskcop.dll'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Все сделал как просили. Жду следующих указаний.
Можно сказать, что все чисто. Остается странная маскировка драйвера от Pinnacle, но файл этот сам по себе чистый. Если никаких проблем не наблюдается, то я думаю, можно не волноваться. Если вы на самом деле не используете оборудование и софт от Pinnacle, то деинсталлируйте его.
Добавлено через 1 минуту
Рекомендуется отключить все что вам не нужно из этого списка:
Код:>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешены терминальные подключения к данному ПК
Последний раз редактировалось Bratez; 11.03.2008 в 04:30. Причина: Добавлено
I am not young enough to know everything...
софт от Pinnacle использую - с этим проблем нет. Я забеспокоился про вирус когда при открытии, скажем диска С: или D: или Explorer, стало выскакивать информационное окно с указанием пути - Information: c:\WINDOWS\Explorer.exe
Скажите пожалуйста - это связано как-то с вирусом (в данный момент вроде это не появляется)
Добавлено через 7 минут
Службы отключил, хотя некоторые из них были не запущены а находились в режиме Тип запуска - вручную.
А где безопасность подправить подскажите пожалуйста?
Последний раз редактировалось LABUH; 11.03.2008 в 04:43. Причина: Добавлено
Не знаю. Возможно.
Вот так:
Только если есть локалка с общим доступом к файлам и принтерам, уберите первую строчку после begin.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); RebootWindows(true); end.
I am not young enough to know everything...
А не програмным способом где это редактируется? В реестре?
Посмотрите внимательно на команды скрипта. Они говорят сами за себя.
I am not young enough to know everything...
Спасибо Вам огромное за терпение и за помощь. Дай Вам Бог здоровья.
Вынужден вновь обратиться с вопросом. После устранения проблем с вирусом пропала запись Имя Пользователя в Диспетчере задач. Как решить эту проблему. Заранее приношу свои извинения если не по теме.
это из-за того что отключена Службы терминалов ....
Супер. Ну вы молодцы. Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 133
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\cpu.exe - Trojan-Downloader.Win32.Diehard.dz (DrWEB: BackDoor.Bulknet)
- c:\\windows\\system32\\diskcop.dll - Rootkit.Win32.Podnuha.al (DrWEB: Trojan.DownLoader.56883)
Уважаемый(ая) LABUH, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
