Здравствуйте!
Пыталась лечиться Касперским и Доктором Вэбом.
Касперский находит трояны и вирусы - но удалить не может, даже при перезагрузке. В Безопасном режиме Камперский просто не работает - висит. Доктор Вэб удалить так-же найденное не может, а в безопасном режиме работает минут 10, затем вылетает...
Обнаруживалась такие паразиты:
Trojan.NtRootKit.231
Trojan.DownLoader.19972
AdWare Adware.Baidu
AdWare Adware.QQHelp
Антивирусы ругались на файлы dgogi.sys и kgryu.dll
Скопировать или переименовать или удалить эти файлы нет возможности - ошибка совмеситного доступа...
Помогите пожалуйтса справиться! Прикрепляю логи AVZ и HijackThis (в zip архиве, так как размер превышал лимит закачки)
Спасибо большое заранее!!!!
Последний раз редактировалось Panda NZ; 07.04.2007 в 22:09.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо за ответ!:)
В системе постоянно запущены какие-то странные драйверы:
Имя - dgogi файл C:\WINNT\System32\DRIVERS\dgogi.sys
Имя - klif файл C:\WINNT\system32\drivers\klif.sys
Имя - Klmc файл C:\WINNT\system32\drivers\klmc.sys
Причём файлы klif.sys и klmc.sys я просто удалила - но процессы запускаются и работают и после перезагрузки,
хотя этих файлов в соответсвущей директории нет :(
В протоколе сканирования AVZ пишет:
Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=06DFA0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 8046DFA0
KiST = 804742B8 (248)
Функция NtClose (18) перехвачена (8044F9A8->BA3300B6), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateDirectoryObject (1D) перехвачена (804F4B84->BA32FFF2), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateFile (20) перехвачена (80497EF9->BA32F152), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateProcess (29) перехвачена (804A9212->BA32EA36), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateSection (2B) перехвачена (8049F7F1->BA32FA92), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtOpenFile (64) перехвачена (80498755->BA32F630), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtSetInformationFile (C2) перехвачена (80498C08->BA32FE1C), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtWriteFile (ED) перехвачена (80499755->BA32FD54), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Проверено функций: 248, перехвачено: 8, восстановлено: 0
и еще...вот такие вот настораживающие меня вещи::?
Прямое чтение C:\Documents and Settings\talja\NTUSER.DAT
Прямое чтение C:\Documents and Settings\talja\Local Settings\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\talja\Local Settings\History\History.IE5\MSHist012007040820070 409\index.dat
Прямое чтение C:\Documents and Settings\talja\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\talja\Local Settings\Temporary Internet Files\Content.IE5\6BGFUNOZ\index[1].php
Прямое чтение C:\Documents and Settings\talja\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\talja\Cookies\index.dat
Прямое чтение C:\WINNT\system32\config\SECURITY
Прямое чтение C:\WINNT\system32\config\SYSTEM.ALT
Прямое чтение C:\WINNT\system32\config\SAM
Прямое чтение C:\WINNT\system32\config\SecEvent.Evt
Прямое чтение C:\WINNT\system32\config\SYSTEM
Прямое чтение C:\WINNT\system32\config\SOFTWARE
Прямое чтение C:\WINNT\system32\config\DEFAULT
Прямое чтение C:\WINNT\system32\config\AppEvent.Evt
Прямое чтение C:\WINNT\system32\config\SysEvent.Evt
Прямое чтение C:\WINNT\system32\config\Antivirus.Evt
Прямое чтение C:\WINNT\system32\drivers\dgogi.sys
Прямое чтение C:\WINNT\system32\kgryu.dll
Прямое чтение C:\WINNT\system32\Perflib_Perfdata_214.dat
Прямое чтение C:\WINNT\security\logs\scepol.log
Прямое чтение C:\WINNT\SchedLgU.Txt
Прямое чтение C:\WINNT\WindowsUpdate.log
Файлы, на которые ругались антивирусники я выделила жирным...
Прикрепляю необходимые фам логи, СПАСИБО за помощь!!!
Panda NZ, повторите два последних лога из правил.
И плюс, очень большая прозьба, не заниматся самодеятельностю!
Потому что после вашых "удалений и т. п." мы незнаем что вам советовать, и должны начинать всё сначало.
Я прошу прощения за самодеятельность! Больше не буду.
Действительно, удалила Касперского чтобы проверить комп Avast - вот и попробовала удалить файлы klif.sys и klmc.sys - но процессы всё равно работают!!!
Больше ничего не меняла и не делала, система виснет и тормозит, переодически вылетает в синий экран и делает полный дампинг памяти...
В соответсвиями с правилами выполнила все действия - то есть всё с начала. Прикрепляю к теме логи. Bratez
После выполнения скрипта компьютер стал перезагружаться и завис с сообщением на синем экране "сохранение параметров". Висел час - пришлось нажать кнопку "rezet" и перезагрузить принудительно...
Содержимое карантина высылаю.
Спасибо Вам!!!!
Отлично:
dgogi.sys - троянская программа Trojan-Downloader.Win32.Agent.bbb
kgryu.dll - троянская программа Trojan-Downloader.Win32.Agent.bdd
Clamp.exe проверил на Virustotal, ничего не найдено.
Выполните скрипт:
Код:
begin
BC_DeleteFile('C:\WINNT\system32\kgryu.dll');
BC_DeleteSvc('dgogi');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки прикрепите к теме файл boot_clr.log из папки с AVZ.
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\SYSTEM32\RUNDLL2000.EXE','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки загляните в карантин, если там что-то будет - пришлите по правилам. Указанную строчку в HijackThis пофиксите в любом случае. Как правильно фиксить строчки с кодом О23 см. тут: http://virusinfo.info/showthread.php?t=4491
И еще замечание - остались в системе действующие компоненты от DrWeb. Если уж решили перейти на Аваст, надо их удалить во избежание тормозов и конфликтов.
Последний раз редактировалось Bratez; 09.04.2007 в 17:53.
Bratez
Спасибо!
Всё сделала, файл boot_clr.log прикрепляю.
После выполнения второго скрипта в карантине есть две строчки - высылаю согласно правилам.
А вот пофиксить строчку
O23 - Service: DNS Cache (BRGNS) - Unknown owner - C:\WINNT\SYSTEM32\RUNDLL2000.EXE (file missing)
не получается((((( Ни ДО выполнения скрипта, ни после.
HijackThis пишет: The servise 'BRGNS' is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the services. msc window
Как и где отключить этот сервис 'BRGNS' я не знаю
HijackThis пишет: The servise 'BRGNS' is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the services. msc window
Попробуйте сделать так: Ваш рабочий стол, кнопка "Пуск" - "Выполнить" - выполните последовательно следующие команды:
Похоже и те два так и не удалились, и RUNDLL2000.EXE в карантин не попал, хотя судя по вашему сообщению, живет и здравствует.
Давайте попробуем такой скрипт:
Всем вам большое спасибо! 'BRGNS' службу отключила через Администрирование и успешно пофиксила HijackThis. А вот dgogi.sys - наблюдаю что живёт...и очень даже здравствует Bratez
Сейчас выполню Ваши инструкции...
Bratez
Выполнила скрипт, при перезагрузке система зависла с синим экраном и надписью "сохранение параметров" - пришлось давить "reset".
Логи пунктов 10 и 12 прилагаю.
Карантин AVZ пуст..
файлы dgogi.sys и kgryu.dll - наблюдаю, dgogi продолжает работать (вижу в мониторе запущенных драйверов)
Зараза какая...
Глупость спрошу - а...может попробвать чего-то сделать в безопасном режиме?
Одного беса изгнали - и то прогресс
Насчет безопасного режима - нисколько не глупость, очень даже правильная мысль. Давайте в безопасном режиме запустим такой скрипт:
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe
Отключите и пофиксите ее, таким же способом, как BRGNS, лучше до выполнения скрипта.
Кстати, файлик 'C:\WINNT\SYSTEM32\RUNDLL2000.EXE' наверно остался лежать на диске, поищите его вручную через AVZ, если найдется - пришлите по правилам для анализа, а у себя удалите.
Уважаемый(ая) Panda NZ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: