Bratez
Файлика 'RUNDLL2000.exe' на диске нет - погиб навечно.
Доктора Вэба выкосила и пофиксила...
Ну а с остальным всё безрезультатно.
Лог после выполнения скрипта (не прикрепляется)
DeleteFile \??\C:\WINNT\system32\kgryu.dll - failed (0xC000000D)
Delete File System32\DRIVERS\dgogi.sys - failed (0xC000000D)
Delete Service & File dgogi - failed (0xC000000D)
-- End --
и еще...
я прикреплю картинки
1) что написано в реестре у этого драйвера dgogi
2) и отчёт о своих действиях в эмулторе MS-DOS
после выполнения скрипта в безопасном режиме и перезагрузки - и dgogi жив и сервис Remote Route Service
После действий в эмуляторе DOS - всё продолжает жить.
Ну неужели драйвер ядра убить вообще невозможно?
Как-то помню в реестре у этого dgogi наблюдала интересный параметр
DELETE_FLAG в значении 00000001(1) сейчас этого ключа (параметра) нет...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ну прямо я не знаю, мистика какая-то... Остается только из-под другой системы бить, т.е. либо нужен диск вроде BartPE, либо жесткий снимать и на другой комп нести...
Может кто-нибудь из опытных аксакалов скажет свое веское слово?
Bratez Делюсь радостью!
Дело в том, что у меня есть=установлена (на всякий случай) Win_98.
Вот из неё-то при попомщи скрипта удалось dgogi остановить, но он зараза не удалился. Тогда уже в Win_2000 я его отсановленного выключила (в ServiWin) удалила (sc delete dgogi) и еще на всякий случай добила AVZ (последний скрипт).
Уря! Dgogi.sys и kgryu.dll больше нет ни на диске ни в реестре.
Осталась одна проблема - убить явно ненужный сервис Remote Route Service и то что с ним связано...Не подскажите как?
А еще у меня вопрос, если можно:
Вот если бы у меня не стояло две винды на диске, то как можно было бы поступить? Ну есть ли какая-то возможность на флэшке какую-то ОС установить или как-то еще?...
Дело в том, что есть еще заражённый очевидно тем-же ноутбук, а там только Виндус ХР.
Спасибо за ответ!!
Не мытьем, так катаньем . Это еще хорошо, что у вас 2000 оказалась на FAT32, а не NTFS.
Осталась одна проблема - убить явно ненужный сервис Remote Route Service и то что с ним связано...Не подскажите как?
Можно попробовать в безопасном режиме удалить его ключ в реестре:
HKLM\System\CurrenControlSet\Services\ИмяСервиса
предварительно гляньте параметр ImagePath, в нем путь к файлу.
(но это по ХР-шному, честно говоря, не помню - в Win2000 также или нет)
Вот если бы у меня не стояло две винды на диске, то как можно было бы поступить?
BartPE - урезанная аппаратно-независимая Windows XP на CD.
С помощью Kaspersky Internet Security, программы PE Builder и дистрибутива ХР можно изготовить такой диск с установленным антивирусом.
дело в том что NtRootkit - файловый фильтр и грузица как Boot а AVZ BootCleaner вроде как грузица как System. Поэтому к моменту старта avz boot cleanera руткит уже активен и ничего с ним зделать не выйдет.
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
Выражаю всем Helperам большучую Благодарность
Троянцы и руткиты вроде как убиты, жаль что подозрительный сервис
Remote Route Service удалить не получается (пока)
Нет записей в реестре, не понятно какие dll использует.
Но наверное данная проблема и помощь в её решении выходят за рамки данного форума Bratez
Вам отдельное Спасибо!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Делюсь радостью!
