Trojan.NtRootKit.231

[B]Bratez[/B]
Файлика 'RUNDLL2000.exe' на диске нет - погиб навечно.
Доктора Вэба выкосила и пофиксила...
Ну а с остальным всё безрезультатно.
Лог после выполнения скрипта (не прикрепляется)
DeleteFile \??\C:\WINNT\system32\kgryu.dll - failed (0xC000000D)
Delete File System32\DRIVERS\dgogi.sys - failed (0xC000000D)
Delete Service & File dgogi - failed (0xC000000D)
-- End --
и еще...
я прикреплю картинки
1) что написано в реестре у этого драйвера dgogi
2) и отчёт о своих действиях в эмулторе MS-DOS
после выполнения скрипта в безопасном режиме и перезагрузки - и dgogi жив и сервис Remote Route Service :(
После действий в эмуляторе DOS - всё продолжает жить.
Ну неужели драйвер ядра убить вообще невозможно?
Как-то помню в реестре у этого dgogi наблюдала интересный параметр
DELETE_FLAG в значении 00000001(1) сейчас этого ключа (параметра) нет...

Ну прямо я не знаю, мистика какая-то... Остается только из-под другой системы бить, т.е. либо нужен диск вроде BartPE, либо жесткий снимать и на другой комп нести...
Может кто-нибудь из опытных аксакалов скажет свое веское слово?

[B]Bratez[/B]
:) Делюсь радостью!
Дело в том, что у меня есть=установлена (на всякий случай) Win_98.
Вот из неё-то при попомщи скрипта удалось dgogi остановить, но он зараза не удалился. Тогда уже в Win_2000 я его отсановленного выключила (в ServiWin) удалила (sc delete dgogi) и еще на всякий случай добила AVZ (последний скрипт).
Уря! Dgogi.sys и kgryu.dll больше нет ни на диске ни в реестре.
Осталась одна проблема - убить явно ненужный сервис Remote Route Service и то что с ним связано...Не подскажите как?
А еще у меня вопрос, если можно:
Вот если бы у меня не стояло две винды на диске, то как можно было бы поступить? Ну есть ли какая-то возможность на флэшке какую-то ОС установить или как-то еще?...
Дело в том, что есть еще заражённый очевидно тем-же ноутбук, а там только Виндус ХР. :(
Спасибо за ответ!!

Не мытьем, так катаньем :). Это еще хорошо, что у вас 2000 оказалась на FAT32, а не NTFS.
[QUOTE]Осталась одна проблема - убить явно ненужный сервис Remote Route Service и то что с ним связано...Не подскажите как?[/QUOTE]
Можно попробовать в безопасном режиме удалить его ключ в реестре:
HKLM\System\CurrenControlSet\Services\[I]ИмяСервиса[/I]
предварительно гляньте параметр ImagePath, в нем путь к файлу.
(но это по ХР-шному, честно говоря, не помню - в Win2000 также или нет)
[QUOTE]Вот если бы у меня не стояло две винды на диске, то как можно было бы поступить?[/QUOTE]
BartPE - урезанная аппаратно-независимая Windows XP на CD.
С помощью Kaspersky Internet Security, программы PE Builder и дистрибутива ХР можно изготовить такой диск с установленным антивирусом.

Нащет не удаляемых файлов...

дело в том что NtRootkit - файловый фильтр и грузица как Boot а AVZ BootCleaner вроде как грузица как System. Поэтому к моменту старта avz boot cleanera руткит уже активен и ничего с ним зделать не выйдет.

Выражаю всем Helperам большучую Благодарность :D
Троянцы и руткиты вроде как убиты, жаль что подозрительный сервис
Remote Route Service удалить не получается (пока) :(
Нет записей в реестре, не понятно какие dll использует.
Но наверное данная проблема и помощь в её решении выходят за рамки данного форума:embarasse
[B]Bratez[/B]
Вам отдельное Спасибо!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winnt\\system32\\drivers\\dgogi.sys - [B]Trojan-Downloader.Win32.Agent.bbb[/B] (DrWEB: Trojan.NtRootKit.231)[*] c:\\winnt\\system32\\kgryu.dll - [B]Trojan-Downloader.Win32.Agent.bdd[/B] (DrWEB: Trojan.DownLoader.19972)[/LIST][/LIST]