Trojan-Downloader.Win32.Diehard.dz

Printable View

10.03.2008, 19:32
LABUH

Trojan-Downloader.Win32.Diehard.dz

Kaspersky Online Scanner нашел Trojan-Downloader.Win32.Diehard.dz
Как победить этот вирус?
Заранее спасибо
10.03.2008, 20:29
LABUH

Вложений: 3

[QUOTE=Shu_b;199994][url]http://helpme.virusinfo.info/[/url][/QUOTE]

Постарался сделать все как рекамендованно. Пркрепляю логи. Помогите пожалуйста.
10.03.2008, 20:33
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\SystemRoot\system32\DRIVERS\lstone2k.sys','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
10.03.2008, 20:56
LABUH

К сожалению я не знаю что нужно выделять в моем карантине согласно пункта
2. Справа в списке файлов отметьте те файлы которые нужно выслать.
поэтому выделил всё. Если не прав прошу прощения.
Карантин вроде бы отправил.
10.03.2008, 21:25
akok

15 mb - бедный вирлаб
11.03.2008, 02:24
LABUH

[QUOTE=akoK;200033]15 mb - бедный вирлаб[/QUOTE]

Что я не правильно сделал?

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 7 минут[/I][/B][/color][/size]

Карнтин исправил и послал. Надеюсь на вашу помощь.
11.03.2008, 02:35
Bratez

В карантине:
C:\WINDOWS\system32\DRIVERS\lstone2k.sys - чистый
C:\WINDOWS\cpu.exe - [b]Trojan-Downloader.Win32.Diehard.dz[/b] (в логах не фигурирует, вероятно уже удален, однако ставлю на удаление на всякий случай).

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\DNA\btdna.exe','');
QuarantineFile('C:\WINDOWS\system32\diskcop.dll','');
DeleteFile('C:\WINDOWS\cpu.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил
11.03.2008, 03:53
LABUH

новый карантин послал
11.03.2008, 04:00
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{522D5C87-911C-49FA-919E-D18BDA5387FA}');
DeleteFile('C:\WINDOWS\system32\diskcop.dll');
BC_DeleteFile('C:\WINDOWS\system32\diskcop.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
11.03.2008, 04:19
LABUH

Вложений: 2

Все сделал как просили. Жду следующих указаний.
11.03.2008, 04:30
Bratez

Можно сказать, что все чисто. Остается странная маскировка драйвера от Pinnacle, но файл этот сам по себе чистый. Если никаких проблем не наблюдается, то я думаю, можно не волноваться. Если вы на самом деле не используете оборудование и софт от Pinnacle, то деинсталлируйте его.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
[/code]
11.03.2008, 04:43
LABUH

софт от Pinnacle использую - с этим проблем нет. Я забеспокоился про вирус когда при открытии, скажем диска С: или D: или Explorer, стало выскакивать информационное окно с указанием пути - Information: c:\WINDOWS\Explorer.exe
Скажите пожалуйста - это связано как-то с вирусом (в данный момент вроде это не появляется)

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

[QUOTE=Bratez;200121]Можно сказать, что все чисто. Остается странная маскировка драйвера от Pinnacle, но файл этот сам по себе чистый. Если никаких проблем не наблюдается, то я думаю, можно не волноваться. Если вы на самом деле не используете оборудование и софт от Pinnacle, то деинсталлируйте его.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Рекомендуется отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
[/code][/QUOTE]

Службы отключил, хотя некоторые из них были не запущены а находились в режиме Тип запуска - вручную.
А где безопасность подправить подскажите пожалуйста?
11.03.2008, 04:54
Bratez

[quote=LABUH;200123]Скажите пожалуйста - это связано как-то с вирусом[/quote]
Не знаю. Возможно.

[quote=LABUH;200123]А где безопасность подправить подскажите пожалуйста?[/quote]
Вот так:
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RebootWindows(true);
end.[/code]
Только если есть локалка с общим доступом к файлам и принтерам, уберите первую строчку после begin.
11.03.2008, 04:58
LABUH

[QUOTE=Bratez;200126]Не знаю. Возможно.

Вот так:
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RebootWindows(true);
end.[/code]
Только если есть локалка с общим доступом к файлам и принтерам, уберите первую строчку после begin.[/QUOTE]

А не програмным способом где это редактируется? В реестре?
11.03.2008, 05:16
Bratez

Посмотрите внимательно на команды скрипта. Они говорят сами за себя.
11.03.2008, 05:22
LABUH

Спасибо Вам огромное за терпение и за помощь. Дай Вам Бог здоровья.
12.03.2008, 23:42
LABUH

Вынужден вновь обратиться с вопросом. После устранения проблем с вирусом пропала запись Имя Пользователя в Диспетчере задач. Как решить эту проблему. Заранее приношу свои извинения если не по теме.
12.03.2008, 23:58
V_Bond

это из-за того что отключена Службы терминалов ....
13.03.2008, 00:01
LABUH

Супер. Ну вы молодцы. Спасибо.
22.02.2009, 04:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]133[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\cpu.exe - [B]Trojan-Downloader.Win32.Diehard.dz[/B] (DrWEB: BackDoor.Bulknet)[*] c:\\windows\\system32\\diskcop.dll - [B]Rootkit.Win32.Podnuha.al[/B] (DrWEB: Trojan.DownLoader.56883)[/LIST][/LIST]