Trojan.NtRootKit.231

Здравствуйте!
Пыталась лечиться Касперским и Доктором Вэбом.
Касперский находит трояны и вирусы - но удалить не может, даже при перезагрузке. В Безопасном режиме Камперский просто не работает - висит. Доктор Вэб удалить так-же найденное не может, а в безопасном режиме работает минут 10, затем вылетает...
Обнаруживалась такие паразиты:
Trojan.NtRootKit.231
Trojan.DownLoader.19972
AdWare Adware.Baidu
AdWare Adware.QQHelp

Антивирусы ругались на файлы dgogi.sys и kgryu.dll
Скопировать или переименовать или удалить эти файлы нет возможности - ошибка совмеситного доступа...
Помогите пожалуйтса справиться! Прикрепляю логи AVZ и HijackThis (в zip архиве, так как размер превышал лимит закачки)
Спасибо большое заранее!!!!

Логов не наблюдаю.

[quote=AndreyKa;103020]Логов не наблюдаю.[/quote]
Всё что в файле помощи указано - я прикрепила...
Только всё в архиве - иначе по размеру не проходило :(

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
QuarantineFile('C:\Program Files\DAP\DAPBHO.dll','');
QuarantineFile('C:\PROGRA~1\DAP\DAPNS.DLL','');
QuarantineFile('C:\PROGRA~1\DAP\dapie.dll','');
BC_QrFile('C:\WINNT\System32\DRIVERS\dgogi.sys');
BC_QrFile('C:\WINNT\system32\kgryu.dll');
BC_QrFile('c:\winnt\system32\clamp.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(false);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) и приложите к своей теме файл boot_clr.log из папки AVZ.

Спасибо за ответ!:)
В системе постоянно запущены какие-то странные драйверы:
Имя - dgogi файл C:\WINNT\System32\DRIVERS\dgogi.sys
Имя - klif файл C:\WINNT\system32\drivers\klif.sys
Имя - Klmc файл C:\WINNT\system32\drivers\klmc.sys
Причём файлы klif.sys и klmc.sys я просто удалила - но процессы запускаются и работают и после перезагрузки,
хотя этих файлов в соответсвущей директории нет :(
В протоколе сканирования AVZ пишет:
Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=06DFA0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 8046DFA0
KiST = 804742B8 (248)
Функция NtClose (18) перехвачена (8044F9A8->BA3300B6), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateDirectoryObject (1D) перехвачена (804F4B84->BA32FFF2), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateFile (20) перехвачена (80497EF9->BA32F152), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateProcess (29) перехвачена (804A9212->BA32EA36), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateSection (2B) перехвачена (8049F7F1->BA32FA92), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtOpenFile (64) перехвачена (80498755->BA32F630), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtSetInformationFile (C2) перехвачена (80498C08->BA32FE1C), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtWriteFile (ED) перехвачена (80499755->BA32FD54), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Проверено функций: 248, перехвачено: 8, восстановлено: 0

и еще...вот такие вот настораживающие меня вещи::?
Прямое чтение C:\Documents and Settings\talja\NTUSER.DAT
Прямое чтение C:\Documents and Settings\talja\Local Settings\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\talja\Local Settings\History\History.IE5\MSHist012007040820070409\index.dat
Прямое чтение C:\Documents and Settings\talja\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\talja\Local Settings\Temporary Internet Files\Content.IE5\6BGFUNOZ\index[1].php
Прямое чтение C:\Documents and Settings\talja\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\talja\Cookies\index.dat
Прямое чтение C:\WINNT\system32\config\SECURITY
Прямое чтение C:\WINNT\system32\config\SYSTEM.ALT
Прямое чтение C:\WINNT\system32\config\SAM
Прямое чтение C:\WINNT\system32\config\SecEvent.Evt
Прямое чтение C:\WINNT\system32\config\SYSTEM
Прямое чтение C:\WINNT\system32\config\SOFTWARE
Прямое чтение C:\WINNT\system32\config\DEFAULT
Прямое чтение C:\WINNT\system32\config\AppEvent.Evt
Прямое чтение C:\WINNT\system32\config\SysEvent.Evt
Прямое чтение C:\WINNT\system32\config\Antivirus.Evt
Прямое чтение C:\WINNT\system32\drivers\[B]dgogi.sys[/B]
Прямое чтение C:\WINNT\system32\[B]kgryu.dll[/B]
Прямое чтение C:\WINNT\system32\Perflib_Perfdata_214.dat
Прямое чтение C:\WINNT\security\logs\scepol.log
Прямое чтение C:\WINNT\SchedLgU.Txt
Прямое чтение C:\WINNT\WindowsUpdate.log
Файлы, на которые ругались антивирусники я выделила жирным...
Прикрепляю необходимые фам логи, СПАСИБО за помощь!!!

[QUOTE]Причём файлы klif.sys и klmc.sys я просто удалила [/QUOTE]
Ненужная самодеятельность! Это драйверы антивируса Касперского.
Впрочем, как я понял, вы перешли на Аваст, так что эти файлы уже не нужны.

klif, klmc, kl1, и.т.д - файлы антивируса касперского.

[B]Panda NZ[/B], повторите два последних лога из правил.
И плюс, очень большая прозьба, не заниматся самодеятельностю!
Потому что после вашых "удалений и т. п." мы незнаем что вам советовать, и должны начинать всё сначало.

Пришел ответ из ЛК - файлы, попавшие в карантин, опасности не представляют, а вот самые интересные-то и увернулись :) Давайте сделаем еще одну попытку:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\System32\Clamp.exe','');
QuarantineFile('C:\WINNT\System32\DRIVERS\dgogi.sys','');
QuarantineFile('C:\WINNT\system32\kgryu.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите содержимое карантина по правилам.

Я прошу прощения за самодеятельность! Больше не буду.
Действительно, удалила Касперского чтобы проверить комп Avast - вот и попробовала удалить файлы klif.sys и klmc.sys - но процессы всё равно работают!!!
Больше ничего не меняла и не делала, система виснет и тормозит, переодически вылетает в синий экран и делает полный дампинг памяти...
В соответсвиями с правилами выполнила все действия - то есть всё с начала. Прикрепляю к теме логи.
[B]Bratez[/B]
После выполнения скрипта компьютер стал перезагружаться и завис с сообщением на синем экране "сохранение параметров". Висел час - пришлось нажать кнопку "rezet" и перезагрузить принудительно...
Содержимое карантина высылаю.
Спасибо Вам!!!!

Отлично:
dgogi.sys - троянская программа Trojan-Downloader.Win32.Agent.bbb
kgryu.dll - троянская программа Trojan-Downloader.Win32.Agent.bdd
Clamp.exe проверил на Virustotal, ничего не найдено.
Выполните скрипт:
[code]
begin
BC_DeleteFile('C:\WINNT\system32\kgryu.dll');
BC_DeleteSvc('dgogi');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки прикрепите к теме файл [B]boot_clr.log [/B]из папки с AVZ.

Есть в логе HijackThis еще одна подозрительная строчка:
[code]O23 - Service: DNS Cache (BRGNS) - Unknown owner - C:\WINNT\SYSTEM32\RUNDLL2000.EXE (file missing)[/code]
Выполните такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\SYSTEM32\RUNDLL2000.EXE','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки загляните в карантин, если там что-то будет - пришлите по правилам. Указанную строчку в HijackThis пофиксите в любом случае. Как правильно фиксить строчки с кодом О23 см. тут:
[url]http://virusinfo.info/showthread.php?t=4491[/url]

И еще замечание - остались в системе действующие компоненты от DrWeb. Если уж решили перейти на Аваст, надо их удалить во избежание тормозов и конфликтов.

[B]Bratez[/B]
Спасибо!
Всё сделала, файл boot_clr.log прикрепляю.
После выполнения второго скрипта в карантине есть две строчки - высылаю согласно правилам.
А вот пофиксить строчку
O23 - Service: DNS Cache (BRGNS) - Unknown owner - C:\WINNT\SYSTEM32\RUNDLL2000.EXE (file missing)
не получается((((( Ни ДО выполнения скрипта, ни после.
HijackThis пишет:
[B]The servise 'BRGNS' is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the services. msc window[/B]
Как и где отключить этот сервис 'BRGNS' я не знаю :(

[quote=Panda NZ;103178]
HijackThis пишет:
[B]The servise 'BRGNS' is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the services. msc window[/B]
[/quote]Попробуйте сделать так: Ваш рабочий стол, кнопка "Пуск" - "Выполнить" - выполните последовательно следующие команды:[code]sc stop BRGNS
sc config BRGNS start= disabled
sc delete BRGNS[/code]

А что так разве не получалось ?
[url]http://virusinfo.info/showpost.php?p=80604&postcount=2[/url]

у меня работает :)

Похоже и те два так и не удалились, и RUNDLL2000.EXE в карантин не попал, хотя судя по вашему сообщению, живет и здравствует.
Давайте попробуем такой скрипт:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('dgogi');
StopService('BRGNS');
QuarantineFile('C:\WINNT\SYSTEM32\RUNDLL2000.EXE','');
DeleteService('dgogi',true);
DeleteService('BRGNS',true);
DeleteFile('C:\WINNT\system32\kgryu.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки загляните в карантин - вдруг он таки поймался?
И сделайте новые логи п.10 и 12 правил.

Всем вам большое спасибо!
[B]'BRGNS'[/B] службу отключила через Администрирование и успешно пофиксила HijackThis. А вот dgogi.sys - наблюдаю что живёт...и очень даже здравствует :(
[B]Bratez[/B]
Сейчас выполню Ваши инструкции...

[B]Bratez[/B]
Выполнила скрипт, при перезагрузке система зависла с синим экраном и надписью "сохранение параметров" - пришлось давить "reset".
Логи пунктов 10 и 12 прилагаю.
Карантин AVZ пуст..:(
файлы dgogi.sys и kgryu.dll - наблюдаю, dgogi продолжает работать (вижу в мониторе запущенных драйверов)
Зараза какая...
Глупость спрошу - а...может попробвать чего-то сделать в безопасном режиме?

Еще вот такая странность:
смотрю в Панели управления-Администрирование-службы.
Работает такая вот служба:
Remote Route Service
описание: НшВзͨѶ·УЙ·юОсЈ¬МṩБЩК±µДНшВзВ·УЙєН·юОсµШЦ·µДїмЛЩЅвОц№¦ДЬЎЈОЮ·ЁЦХЦ№ґЛ·юОсЎЈ
(вот такая билиберда)
C:\WINNT\System32\svchost.exe -k netsvcs
ставлю этой службе тип запуска - отключено, перезагружаюсь - она жива и здорова. Работает. :(

Одного беса изгнали - и то прогресс :)
Насчет безопасного режима - нисколько не глупость, очень даже правильная мысль. Давайте в безопасном режиме запустим такой скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('dgogi');
DeleteService('dgogi',true);
DeleteFile('C:\WINNT\System32\DRIVERS\dgogi.sys');
DeleteFile('C:\WINNT\system32\kgryu.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Да, и надо все-таки убрать службу от DrWeb, :
[code]
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe
[/code]
Отключите и пофиксите ее, таким же способом, как BRGNS, лучше [B]до выполнения скрипта[/B].
Кстати, файлик 'C:\WINNT\SYSTEM32\RUNDLL2000.EXE' наверно остался лежать на диске, поищите его вручную через AVZ, если найдется - пришлите по правилам для анализа, а у себя удалите.

[B]Bratez[/B]
Файлика 'RUNDLL2000.exe' на диске нет - погиб навечно.
Доктора Вэба выкосила и пофиксила...
Ну а с остальным всё безрезультатно.
Лог после выполнения скрипта (не прикрепляется)
DeleteFile \??\C:\WINNT\system32\kgryu.dll - failed (0xC000000D)
Delete File System32\DRIVERS\dgogi.sys - failed (0xC000000D)
Delete Service & File dgogi - failed (0xC000000D)
-- End --
и еще...
я прикреплю картинки
1) что написано в реестре у этого драйвера dgogi
2) и отчёт о своих действиях в эмулторе MS-DOS
после выполнения скрипта в безопасном режиме и перезагрузки - и dgogi жив и сервис Remote Route Service :(
После действий в эмуляторе DOS - всё продолжает жить.
Ну неужели драйвер ядра убить вообще невозможно?
Как-то помню в реестре у этого dgogi наблюдала интересный параметр
DELETE_FLAG в значении 00000001(1) сейчас этого ключа (параметра) нет...

Ну прямо я не знаю, мистика какая-то... Остается только из-под другой системы бить, т.е. либо нужен диск вроде BartPE, либо жесткий снимать и на другой комп нести...
Может кто-нибудь из опытных аксакалов скажет свое веское слово?

[B]Bratez[/B]
:) Делюсь радостью!
Дело в том, что у меня есть=установлена (на всякий случай) Win_98.
Вот из неё-то при попомщи скрипта удалось dgogi остановить, но он зараза не удалился. Тогда уже в Win_2000 я его отсановленного выключила (в ServiWin) удалила (sc delete dgogi) и еще на всякий случай добила AVZ (последний скрипт).
Уря! Dgogi.sys и kgryu.dll больше нет ни на диске ни в реестре.
Осталась одна проблема - убить явно ненужный сервис Remote Route Service и то что с ним связано...Не подскажите как?
А еще у меня вопрос, если можно:
Вот если бы у меня не стояло две винды на диске, то как можно было бы поступить? Ну есть ли какая-то возможность на флэшке какую-то ОС установить или как-то еще?...
Дело в том, что есть еще заражённый очевидно тем-же ноутбук, а там только Виндус ХР. :(
Спасибо за ответ!!

Не мытьем, так катаньем :). Это еще хорошо, что у вас 2000 оказалась на FAT32, а не NTFS.
[QUOTE]Осталась одна проблема - убить явно ненужный сервис Remote Route Service и то что с ним связано...Не подскажите как?[/QUOTE]
Можно попробовать в безопасном режиме удалить его ключ в реестре:
HKLM\System\CurrenControlSet\Services\[I]ИмяСервиса[/I]
предварительно гляньте параметр ImagePath, в нем путь к файлу.
(но это по ХР-шному, честно говоря, не помню - в Win2000 также или нет)
[QUOTE]Вот если бы у меня не стояло две винды на диске, то как можно было бы поступить?[/QUOTE]
BartPE - урезанная аппаратно-независимая Windows XP на CD.
С помощью Kaspersky Internet Security, программы PE Builder и дистрибутива ХР можно изготовить такой диск с установленным антивирусом.

Нащет не удаляемых файлов...

дело в том что NtRootkit - файловый фильтр и грузица как Boot а AVZ BootCleaner вроде как грузица как System. Поэтому к моменту старта avz boot cleanera руткит уже активен и ничего с ним зделать не выйдет.

Выражаю всем Helperам большучую Благодарность :D
Троянцы и руткиты вроде как убиты, жаль что подозрительный сервис
Remote Route Service удалить не получается (пока) :(
Нет записей в реестре, не понятно какие dll использует.
Но наверное данная проблема и помощь в её решении выходят за рамки данного форума:embarasse
[B]Bratez[/B]
Вам отдельное Спасибо!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winnt\\system32\\drivers\\dgogi.sys - [B]Trojan-Downloader.Win32.Agent.bbb[/B] (DrWEB: Trojan.NtRootKit.231)[*] c:\\winnt\\system32\\kgryu.dll - [B]Trojan-Downloader.Win32.Agent.bdd[/B] (DrWEB: Trojan.DownLoader.19972)[/LIST][/LIST]