Trojan.NtRootKit.231

Здравствуйте!
Пыталась лечиться Касперским и Доктором Вэбом.
Касперский находит трояны и вирусы - но удалить не может, даже при перезагрузке. В Безопасном режиме Камперский просто не работает - висит. Доктор Вэб удалить так-же найденное не может, а в безопасном режиме работает минут 10, затем вылетает...
Обнаруживалась такие паразиты:
Trojan.NtRootKit.231
Trojan.DownLoader.19972
AdWare Adware.Baidu
AdWare Adware.QQHelp

Антивирусы ругались на файлы dgogi.sys и kgryu.dll
Скопировать или переименовать или удалить эти файлы нет возможности - ошибка совмеситного доступа...
Помогите пожалуйтса справиться! Прикрепляю логи AVZ и HijackThis (в zip архиве, так как размер превышал лимит закачки)
Спасибо большое заранее!!!!

Логов не наблюдаю.

[quote=AndreyKa;103020]Логов не наблюдаю.[/quote]
Всё что в файле помощи указано - я прикрепила...
Только всё в архиве - иначе по размеру не проходило :(

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
QuarantineFile('C:\Program Files\DAP\DAPBHO.dll','');
QuarantineFile('C:\PROGRA~1\DAP\DAPNS.DLL','');
QuarantineFile('C:\PROGRA~1\DAP\dapie.dll','');
BC_QrFile('C:\WINNT\System32\DRIVERS\dgogi.sys');
BC_QrFile('C:\WINNT\system32\kgryu.dll');
BC_QrFile('c:\winnt\system32\clamp.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(false);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) и приложите к своей теме файл boot_clr.log из папки AVZ.

Спасибо за ответ!:)
В системе постоянно запущены какие-то странные драйверы:
Имя - dgogi файл C:\WINNT\System32\DRIVERS\dgogi.sys
Имя - klif файл C:\WINNT\system32\drivers\klif.sys
Имя - Klmc файл C:\WINNT\system32\drivers\klmc.sys
Причём файлы klif.sys и klmc.sys я просто удалила - но процессы запускаются и работают и после перезагрузки,
хотя этих файлов в соответсвущей директории нет :(
В протоколе сканирования AVZ пишет:
Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=06DFA0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 8046DFA0
KiST = 804742B8 (248)
Функция NtClose (18) перехвачена (8044F9A8->BA3300B6), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateDirectoryObject (1D) перехвачена (804F4B84->BA32FFF2), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateFile (20) перехвачена (80497EF9->BA32F152), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateProcess (29) перехвачена (804A9212->BA32EA36), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateSection (2B) перехвачена (8049F7F1->BA32FA92), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtOpenFile (64) перехвачена (80498755->BA32F630), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtSetInformationFile (C2) перехвачена (80498C08->BA32FE1C), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtWriteFile (ED) перехвачена (80499755->BA32FD54), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Проверено функций: 248, перехвачено: 8, восстановлено: 0

и еще...вот такие вот настораживающие меня вещи::?
Прямое чтение C:\Documents and Settings\talja\NTUSER.DAT
Прямое чтение C:\Documents and Settings\talja\Local Settings\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\talja\Local Settings\History\History.IE5\MSHist012007040820070409\index.dat
Прямое чтение C:\Documents and Settings\talja\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\talja\Local Settings\Temporary Internet Files\Content.IE5\6BGFUNOZ\index[1].php
Прямое чтение C:\Documents and Settings\talja\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\talja\Cookies\index.dat
Прямое чтение C:\WINNT\system32\config\SECURITY
Прямое чтение C:\WINNT\system32\config\SYSTEM.ALT
Прямое чтение C:\WINNT\system32\config\SAM
Прямое чтение C:\WINNT\system32\config\SecEvent.Evt
Прямое чтение C:\WINNT\system32\config\SYSTEM
Прямое чтение C:\WINNT\system32\config\SOFTWARE
Прямое чтение C:\WINNT\system32\config\DEFAULT
Прямое чтение C:\WINNT\system32\config\AppEvent.Evt
Прямое чтение C:\WINNT\system32\config\SysEvent.Evt
Прямое чтение C:\WINNT\system32\config\Antivirus.Evt
Прямое чтение C:\WINNT\system32\drivers\[B]dgogi.sys[/B]
Прямое чтение C:\WINNT\system32\[B]kgryu.dll[/B]
Прямое чтение C:\WINNT\system32\Perflib_Perfdata_214.dat
Прямое чтение C:\WINNT\security\logs\scepol.log
Прямое чтение C:\WINNT\SchedLgU.Txt
Прямое чтение C:\WINNT\WindowsUpdate.log
Файлы, на которые ругались антивирусники я выделила жирным...
Прикрепляю необходимые фам логи, СПАСИБО за помощь!!!

[QUOTE]Причём файлы klif.sys и klmc.sys я просто удалила [/QUOTE]
Ненужная самодеятельность! Это драйверы антивируса Касперского.
Впрочем, как я понял, вы перешли на Аваст, так что эти файлы уже не нужны.

klif, klmc, kl1, и.т.д - файлы антивируса касперского.

[B]Panda NZ[/B], повторите два последних лога из правил.
И плюс, очень большая прозьба, не заниматся самодеятельностю!
Потому что после вашых "удалений и т. п." мы незнаем что вам советовать, и должны начинать всё сначало.

Пришел ответ из ЛК - файлы, попавшие в карантин, опасности не представляют, а вот самые интересные-то и увернулись :) Давайте сделаем еще одну попытку:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\System32\Clamp.exe','');
QuarantineFile('C:\WINNT\System32\DRIVERS\dgogi.sys','');
QuarantineFile('C:\WINNT\system32\kgryu.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите содержимое карантина по правилам.

Я прошу прощения за самодеятельность! Больше не буду.
Действительно, удалила Касперского чтобы проверить комп Avast - вот и попробовала удалить файлы klif.sys и klmc.sys - но процессы всё равно работают!!!
Больше ничего не меняла и не делала, система виснет и тормозит, переодически вылетает в синий экран и делает полный дампинг памяти...
В соответсвиями с правилами выполнила все действия - то есть всё с начала. Прикрепляю к теме логи.
[B]Bratez[/B]
После выполнения скрипта компьютер стал перезагружаться и завис с сообщением на синем экране "сохранение параметров". Висел час - пришлось нажать кнопку "rezet" и перезагрузить принудительно...
Содержимое карантина высылаю.
Спасибо Вам!!!!

Отлично:
dgogi.sys - троянская программа Trojan-Downloader.Win32.Agent.bbb
kgryu.dll - троянская программа Trojan-Downloader.Win32.Agent.bdd
Clamp.exe проверил на Virustotal, ничего не найдено.
Выполните скрипт:
[code]
begin
BC_DeleteFile('C:\WINNT\system32\kgryu.dll');
BC_DeleteSvc('dgogi');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки прикрепите к теме файл [B]boot_clr.log [/B]из папки с AVZ.

Есть в логе HijackThis еще одна подозрительная строчка:
[code]O23 - Service: DNS Cache (BRGNS) - Unknown owner - C:\WINNT\SYSTEM32\RUNDLL2000.EXE (file missing)[/code]
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\SYSTEM32\RUNDLL2000.EXE','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки загляните в карантин, если там что-то будет - пришлите по правилам. Указанную строчку в HijackThis пофиксите в любом случае. Как правильно фиксить строчки с кодом О23 см. тут:
[url]http://virusinfo.info/showthread.php?t=4491[/url]

И еще замечание - остались в системе действующие компоненты от DrWeb. Если уж решили перейти на Аваст, надо их удалить во избежание тормозов и конфликтов.

[B]Bratez[/B]
Спасибо!
Всё сделала, файл boot_clr.log прикрепляю.
После выполнения второго скрипта в карантине есть две строчки - высылаю согласно правилам.
А вот пофиксить строчку
O23 - Service: DNS Cache (BRGNS) - Unknown owner - C:\WINNT\SYSTEM32\RUNDLL2000.EXE (file missing)
не получается((((( Ни ДО выполнения скрипта, ни после.
HijackThis пишет:
[B]The servise 'BRGNS' is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the services. msc window[/B]
Как и где отключить этот сервис 'BRGNS' я не знаю :(

[quote=Panda NZ;103178]
HijackThis пишет:
[B]The servise 'BRGNS' is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the services. msc window[/B]
[/quote]Попробуйте сделать так: Ваш рабочий стол, кнопка "Пуск" - "Выполнить" - выполните последовательно следующие команды:[code]sc stop BRGNS
sc config BRGNS start= disabled
sc delete BRGNS[/code]

А что так разве не получалось ?
[url]http://virusinfo.info/showpost.php?p=80604&postcount=2[/url]

у меня работает :)

Похоже и те два так и не удалились, и RUNDLL2000.EXE в карантин не попал, хотя судя по вашему сообщению, живет и здравствует.
Давайте попробуем такой скрипт:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('dgogi');
StopService('BRGNS');
QuarantineFile('C:\WINNT\SYSTEM32\RUNDLL2000.EXE','');
DeleteService('dgogi',true);
DeleteService('BRGNS',true);
DeleteFile('C:\WINNT\system32\kgryu.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки загляните в карантин - вдруг он таки поймался?
И сделайте новые логи п.10 и 12 правил.

Всем вам большое спасибо!
[B]'BRGNS'[/B] службу отключила через Администрирование и успешно пофиксила HijackThis. А вот dgogi.sys - наблюдаю что живёт...и очень даже здравствует :(
[B]Bratez[/B]
Сейчас выполню Ваши инструкции...

[B]Bratez[/B]
Выполнила скрипт, при перезагрузке система зависла с синим экраном и надписью "сохранение параметров" - пришлось давить "reset".
Логи пунктов 10 и 12 прилагаю.
Карантин AVZ пуст..:(
файлы dgogi.sys и kgryu.dll - наблюдаю, dgogi продолжает работать (вижу в мониторе запущенных драйверов)
Зараза какая...
Глупость спрошу - а...может попробвать чего-то сделать в безопасном режиме?

Еще вот такая странность:
смотрю в Панели управления-Администрирование-службы.
Работает такая вот служба:
Remote Route Service
описание: НшВзͨѶ·УЙ·юОсЈ¬МṩБЩК±µДНшВзВ·УЙєН·юОсµШЦ·µДїмЛЩЅвОц№¦ДЬЎЈОЮ·ЁЦХЦ№ґЛ·юОсЎЈ
(вот такая билиберда)
C:\WINNT\System32\svchost.exe -k netsvcs
ставлю этой службе тип запуска - отключено, перезагружаюсь - она жива и здорова. Работает. :(

Одного беса изгнали - и то прогресс :)
Насчет безопасного режима - нисколько не глупость, очень даже правильная мысль. Давайте в безопасном режиме запустим такой скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('dgogi');
DeleteService('dgogi',true);
DeleteFile('C:\WINNT\System32\DRIVERS\dgogi.sys');
DeleteFile('C:\WINNT\system32\kgryu.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Да, и надо все-таки убрать службу от DrWeb, :
[code]
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe
[/code]
Отключите и пофиксите ее, таким же способом, как BRGNS, лучше [B]до выполнения скрипта[/B].
Кстати, файлик 'C:\WINNT\SYSTEM32\RUNDLL2000.EXE' наверно остался лежать на диске, поищите его вручную через AVZ, если найдется - пришлите по правилам для анализа, а у себя удалите.