Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Trojan.NtRootKit.231 (заявка № 8882)

  1. #1
    Junior Member Репутация
    Регистрация
    07.04.2007
    Сообщений
    13
    Вес репутации
    40

    Thumbs up Trojan.NtRootKit.231

    Здравствуйте!
    Пыталась лечиться Касперским и Доктором Вэбом.
    Касперский находит трояны и вирусы - но удалить не может, даже при перезагрузке. В Безопасном режиме Камперский просто не работает - висит. Доктор Вэб удалить так-же найденное не может, а в безопасном режиме работает минут 10, затем вылетает...
    Обнаруживалась такие паразиты:
    Trojan.NtRootKit.231
    Trojan.DownLoader.19972
    AdWare Adware.Baidu
    AdWare Adware.QQHelp

    Антивирусы ругались на файлы dgogi.sys и kgryu.dll
    Скопировать или переименовать или удалить эти файлы нет возможности - ошибка совмеситного доступа...
    Помогите пожалуйтса справиться! Прикрепляю логи AVZ и HijackThis (в zip архиве, так как размер превышал лимит закачки)
    Спасибо большое заранее!!!!
    Вложения Вложения
    Последний раз редактировалось Panda NZ; 07.04.2007 в 21:09.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Логов не наблюдаю.

  4. #3
    Junior Member Репутация
    Регистрация
    07.04.2007
    Сообщений
    13
    Вес репутации
    40
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Логов не наблюдаю.
    Всё что в файле помощи указано - я прикрепила...
    Только всё в архиве - иначе по размеру не проходило

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\Program Files\DAP\DAPBHO.dll','');
     QuarantineFile('C:\PROGRA~1\DAP\DAPNS.DLL','');
     QuarantineFile('C:\PROGRA~1\DAP\dapie.dll','');
     BC_QrFile('C:\WINNT\System32\DRIVERS\dgogi.sys');
     BC_QrFile('C:\WINNT\system32\kgryu.dll');
     BC_QrFile('c:\winnt\system32\clamp.exe');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
     BC_Activate; 
     RebootWindows(false);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил) и приложите к своей теме файл boot_clr.log из папки AVZ.

  6. #5
    Junior Member Репутация
    Регистрация
    07.04.2007
    Сообщений
    13
    Вес репутации
    40
    Спасибо за ответ!:)
    В системе постоянно запущены какие-то странные драйверы:
    Имя - dgogi файл C:\WINNT\System32\DRIVERS\dgogi.sys
    Имя - klif файл C:\WINNT\system32\drivers\klif.sys
    Имя - Klmc файл C:\WINNT\system32\drivers\klmc.sys
    Причём файлы klif.sys и klmc.sys я просто удалила - но процессы запускаются и работают и после перезагрузки,
    хотя этих файлов в соответсвущей директории нет :(
    В протоколе сканирования AVZ пишет:
    Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=06DFA0)
    Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
    SDT = 8046DFA0
    KiST = 804742B8 (248)
    Функция NtClose (18) перехвачена (8044F9A8->BA3300B6), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
    Функция NtCreateDirectoryObject (1D) перехвачена (804F4B84->BA32FFF2), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
    Функция NtCreateFile (20) перехвачена (80497EF9->BA32F152), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
    Функция NtCreateProcess (29) перехвачена (804A9212->BA32EA36), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
    Функция NtCreateSection (2B) перехвачена (8049F7F1->BA32FA92), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
    Функция NtOpenFile (64) перехвачена (80498755->BA32F630), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
    Функция NtSetInformationFile (C2) перехвачена (80498C08->BA32FE1C), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
    Функция NtWriteFile (ED) перехвачена (80499755->BA32FD54), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
    Проверено функций: 248, перехвачено: 8, восстановлено: 0

    и еще...вот такие вот настораживающие меня вещи::?
    Прямое чтение C:\Documents and Settings\talja\NTUSER.DAT
    Прямое чтение C:\Documents and Settings\talja\Local Settings\History\History.IE5\index.dat
    Прямое чтение C:\Documents and Settings\talja\Local Settings\History\History.IE5\MSHist012007040820070 409\index.dat
    Прямое чтение C:\Documents and Settings\talja\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    Прямое чтение C:\Documents and Settings\talja\Local Settings\Temporary Internet Files\Content.IE5\6BGFUNOZ\index[1].php
    Прямое чтение C:\Documents and Settings\talja\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
    Прямое чтение C:\Documents and Settings\talja\Cookies\index.dat
    Прямое чтение C:\WINNT\system32\config\SECURITY
    Прямое чтение C:\WINNT\system32\config\SYSTEM.ALT
    Прямое чтение C:\WINNT\system32\config\SAM
    Прямое чтение C:\WINNT\system32\config\SecEvent.Evt
    Прямое чтение C:\WINNT\system32\config\SYSTEM
    Прямое чтение C:\WINNT\system32\config\SOFTWARE
    Прямое чтение C:\WINNT\system32\config\DEFAULT
    Прямое чтение C:\WINNT\system32\config\AppEvent.Evt
    Прямое чтение C:\WINNT\system32\config\SysEvent.Evt
    Прямое чтение C:\WINNT\system32\config\Antivirus.Evt
    Прямое чтение C:\WINNT\system32\drivers\dgogi.sys
    Прямое чтение C:\WINNT\system32\kgryu.dll
    Прямое чтение C:\WINNT\system32\Perflib_Perfdata_214.dat
    Прямое чтение C:\WINNT\security\logs\scepol.log
    Прямое чтение C:\WINNT\SchedLgU.Txt
    Прямое чтение C:\WINNT\WindowsUpdate.log
    Файлы, на которые ругались антивирусники я выделила жирным...
    Прикрепляю необходимые фам логи, СПАСИБО за помощь!!!
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Причём файлы klif.sys и klmc.sys я просто удалила
    Ненужная самодеятельность! Это драйверы антивируса Касперского.
    Впрочем, как я понял, вы перешли на Аваст, так что эти файлы уже не нужны.
    Последний раз редактировалось Bratez; 08.04.2007 в 04:51.

  8. #7
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    klif, klmc, kl1, и.т.д - файлы антивируса касперского.
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    827
    Panda NZ, повторите два последних лога из правил.
    И плюс, очень большая прозьба, не заниматся самодеятельностю!
    Потому что после вашых "удалений и т. п." мы незнаем что вам советовать, и должны начинать всё сначало.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пришел ответ из ЛК - файлы, попавшие в карантин, опасности не представляют, а вот самые интересные-то и увернулись Давайте сделаем еще одну попытку:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINNT\System32\Clamp.exe','');
     QuarantineFile('C:\WINNT\System32\DRIVERS\dgogi.sys','');
     QuarantineFile('C:\WINNT\system32\kgryu.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите содержимое карантина по правилам.

  11. #10
    Junior Member Репутация
    Регистрация
    07.04.2007
    Сообщений
    13
    Вес репутации
    40
    Я прошу прощения за самодеятельность! Больше не буду.
    Действительно, удалила Касперского чтобы проверить комп Avast - вот и попробовала удалить файлы klif.sys и klmc.sys - но процессы всё равно работают!!!
    Больше ничего не меняла и не делала, система виснет и тормозит, переодически вылетает в синий экран и делает полный дампинг памяти...
    В соответсвиями с правилами выполнила все действия - то есть всё с начала. Прикрепляю к теме логи.
    Bratez
    После выполнения скрипта компьютер стал перезагружаться и завис с сообщением на синем экране "сохранение параметров". Висел час - пришлось нажать кнопку "rezet" и перезагрузить принудительно...
    Содержимое карантина высылаю.
    Спасибо Вам!!!!
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Отлично:
    dgogi.sys - троянская программа Trojan-Downloader.Win32.Agent.bbb
    kgryu.dll - троянская программа Trojan-Downloader.Win32.Agent.bdd
    Clamp.exe проверил на Virustotal, ничего не найдено.
    Выполните скрипт:
    Код:
    begin
     BC_DeleteFile('C:\WINNT\system32\kgryu.dll');
     BC_DeleteSvc('dgogi');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки прикрепите к теме файл boot_clr.log из папки с AVZ.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Есть в логе HijackThis еще одна подозрительная строчка:
    Код:
    O23 - Service: DNS Cache (BRGNS) - Unknown owner - C:\WINNT\SYSTEM32\RUNDLL2000.EXE (file missing)
    Выполните такой скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINNT\SYSTEM32\RUNDLL2000.EXE','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки загляните в карантин, если там что-то будет - пришлите по правилам. Указанную строчку в HijackThis пофиксите в любом случае. Как правильно фиксить строчки с кодом О23 см. тут:
    http://virusinfo.info/showthread.php?t=4491

    И еще замечание - остались в системе действующие компоненты от DrWeb. Если уж решили перейти на Аваст, надо их удалить во избежание тормозов и конфликтов.
    Последний раз редактировалось Bratez; 09.04.2007 в 16:53.

  14. #13
    Junior Member Репутация
    Регистрация
    07.04.2007
    Сообщений
    13
    Вес репутации
    40
    Bratez
    Спасибо!
    Всё сделала, файл boot_clr.log прикрепляю.
    После выполнения второго скрипта в карантине есть две строчки - высылаю согласно правилам.
    А вот пофиксить строчку
    O23 - Service: DNS Cache (BRGNS) - Unknown owner - C:\WINNT\SYSTEM32\RUNDLL2000.EXE (file missing)
    не получается((((( Ни ДО выполнения скрипта, ни после.
    HijackThis пишет:
    The servise 'BRGNS' is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the services. msc window
    Как и где отключить этот сервис 'BRGNS' я не знаю
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Цитата Сообщение от Panda NZ Посмотреть сообщение
    HijackThis пишет:
    The servise 'BRGNS' is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the services. msc window
    Попробуйте сделать так: Ваш рабочий стол, кнопка "Пуск" - "Выполнить" - выполните последовательно следующие команды:
    Код:
    sc stop BRGNS
    sc config BRGNS start= disabled
    sc delete BRGNS

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    А что так разве не получалось ?
    http://virusinfo.info/showpost.php?p=80604&postcount=2

    у меня работает

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Похоже и те два так и не удалились, и RUNDLL2000.EXE в карантин не попал, хотя судя по вашему сообщению, живет и здравствует.
    Давайте попробуем такой скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    StopService('dgogi');
    StopService('BRGNS');
    QuarantineFile('C:\WINNT\SYSTEM32\RUNDLL2000.EXE','');
    DeleteService('dgogi',true);
    DeleteService('BRGNS',true);
    DeleteFile('C:\WINNT\system32\kgryu.dll');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки загляните в карантин - вдруг он таки поймался?
    И сделайте новые логи п.10 и 12 правил.

  18. #17
    Junior Member Репутация
    Регистрация
    07.04.2007
    Сообщений
    13
    Вес репутации
    40
    Всем вам большое спасибо!
    'BRGNS' службу отключила через Администрирование и успешно пофиксила HijackThis. А вот dgogi.sys - наблюдаю что живёт...и очень даже здравствует
    Bratez
    Сейчас выполню Ваши инструкции...

  19. #18
    Junior Member Репутация
    Регистрация
    07.04.2007
    Сообщений
    13
    Вес репутации
    40
    Bratez
    Выполнила скрипт, при перезагрузке система зависла с синим экраном и надписью "сохранение параметров" - пришлось давить "reset".
    Логи пунктов 10 и 12 прилагаю.
    Карантин AVZ пуст..
    файлы dgogi.sys и kgryu.dll - наблюдаю, dgogi продолжает работать (вижу в мониторе запущенных драйверов)
    Зараза какая...
    Глупость спрошу - а...может попробвать чего-то сделать в безопасном режиме?
    Вложения Вложения

  20. #19
    Junior Member Репутация
    Регистрация
    07.04.2007
    Сообщений
    13
    Вес репутации
    40
    Еще вот такая странность:
    смотрю в Панели управления-Администрирование-службы.
    Работает такая вот служба:
    Remote Route Service
    описание: НшВзͨѶ·УЙ·юОсЈ¬МṩБЩК±µДНшВзВ·УЙєН·юОсµШЦ·µДїм ЛЩЅвОц№¦ДЬЎЈОЮ·ЁЦХЦ№ґЛ·юОсЎЈ
    (вот такая билиберда)
    C:\WINNT\System32\svchost.exe -k netsvcs
    ставлю этой службе тип запуска - отключено, перезагружаюсь - она жива и здорова. Работает.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Одного беса изгнали - и то прогресс
    Насчет безопасного режима - нисколько не глупость, очень даже правильная мысль. Давайте в безопасном режиме запустим такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    StopService('dgogi');
    DeleteService('dgogi',true);
    DeleteFile('C:\WINNT\System32\DRIVERS\dgogi.sys');
    DeleteFile('C:\WINNT\system32\kgryu.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Да, и надо все-таки убрать службу от DrWeb, :
    Код:
    O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe
    Отключите и пофиксите ее, таким же способом, как BRGNS, лучше до выполнения скрипта.
    Кстати, файлик 'C:\WINNT\SYSTEM32\RUNDLL2000.EXE' наверно остался лежать на диске, поищите его вручную через AVZ, если найдется - пришлите по правилам для анализа, а у себя удалите.

  • Уважаемый(ая) Panda NZ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Trojan.NtRootKit.667
      От Mary в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 05:03
    2. Trojan.NtRootkit.453 и Trojan.DownLoader.35206
      От Pavel Taranenko в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 03:38
    3. trojan.ntrootkit.321
      От Dantes в разделе Помогите!
      Ответов: 27
      Последнее сообщение: 22.02.2009, 02:22
    4. Trojan.NtRootkit.312
      От Dead-end kid в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 02:08
    5. Win32.HLLW.Autoraner.1080 , Trojan.NTRootKit.437 , Trojan.Spambot.2478
      От Sky_Tech в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 07.02.2008, 09:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00779 seconds with 17 queries