Trojan.NtRootKit.231

**Panda NZ** · 07.04.2007, 21:29

Здравствуйте!
Пыталась лечиться Касперским и Доктором Вэбом.
Касперский находит трояны и вирусы - но удалить не может, даже при перезагрузке. В Безопасном режиме Камперский просто не работает - висит. Доктор Вэб удалить так-же найденное не может, а в безопасном режиме работает минут 10, затем вылетает...
Обнаруживалась такие паразиты:
Trojan.NtRootKit.231
Trojan.DownLoader.19972
AdWare Adware.Baidu
AdWare Adware.QQHelp

Антивирусы ругались на файлы dgogi.sys и kgryu.dll
Скопировать или переименовать или удалить эти файлы нет возможности - ошибка совмеситного доступа...
Помогите пожалуйтса справиться! Прикрепляю логи AVZ и HijackThis (в zip архиве, так как размер превышал лимит закачки)
Спасибо большое заранее!!!!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 07.04.2007, 21:31

Логов не наблюдаю.

**Panda NZ** · 07.04.2007, 23:09

Сообщение от AndreyKa

Логов не наблюдаю.

Всё что в файле помощи указано - я прикрепила...
Только всё в архиве - иначе по размеру не проходило

**AndreyKa** · 08.04.2007, 01:17

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Program Files\DAP\DAPBHO.dll','');
 QuarantineFile('C:\PROGRA~1\DAP\DAPNS.DLL','');
 QuarantineFile('C:\PROGRA~1\DAP\dapie.dll','');
 BC_QrFile('C:\WINNT\System32\DRIVERS\dgogi.sys');
 BC_QrFile('C:\WINNT\system32\kgryu.dll');
 BC_QrFile('c:\winnt\system32\clamp.exe');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
 BC_Activate; 
 RebootWindows(false);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) и приложите к своей теме файл boot_clr.log из папки AVZ.

**Panda NZ** · 08.04.2007, 04:16

Спасибо за ответ!:)
В системе постоянно запущены какие-то странные драйверы:
Имя - dgogi файл C:\WINNT\System32\DRIVERS\dgogi.sys
Имя - klif файл C:\WINNT\system32\drivers\klif.sys
Имя - Klmc файл C:\WINNT\system32\drivers\klmc.sys
Причём файлы klif.sys и klmc.sys я просто удалила - но процессы запускаются и работают и после перезагрузки,
хотя этих файлов в соответсвущей директории нет :(
В протоколе сканирования AVZ пишет:
Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=06DFA0)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 8046DFA0
KiST = 804742B8 (248)
Функция NtClose (18) перехвачена (8044F9A8->BA3300B6), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateDirectoryObject (1D) перехвачена (804F4B84->BA32FFF2), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateFile (20) перехвачена (80497EF9->BA32F152), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateProcess (29) перехвачена (804A9212->BA32EA36), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtCreateSection (2B) перехвачена (8049F7F1->BA32FA92), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtOpenFile (64) перехвачена (80498755->BA32F630), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtSetInformationFile (C2) перехвачена (80498C08->BA32FE1C), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Функция NtWriteFile (ED) перехвачена (80499755->BA32FD54), перехватчик C:\WINNT\System32\Drivers\aswMon.SYS
Проверено функций: 248, перехвачено: 8, восстановлено: 0

и еще...вот такие вот настораживающие меня вещи::?
Прямое чтение C:\Documents and Settings\talja\NTUSER.DAT
Прямое чтение C:\Documents and Settings\talja\Local Settings\History\History.IE5\index.dat
Прямое чтение C:\Documents and Settings\talja\Local Settings\History\History.IE5\MSHist012007040820070 409\index.dat
Прямое чтение C:\Documents and Settings\talja\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Прямое чтение C:\Documents and Settings\talja\Local Settings\Temporary Internet Files\Content.IE5\6BGFUNOZ\index[1].php
Прямое чтение C:\Documents and Settings\talja\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Documents and Settings\talja\Cookies\index.dat
Прямое чтение C:\WINNT\system32\config\SECURITY
Прямое чтение C:\WINNT\system32\config\SYSTEM.ALT
Прямое чтение C:\WINNT\system32\config\SAM
Прямое чтение C:\WINNT\system32\config\SecEvent.Evt
Прямое чтение C:\WINNT\system32\config\SYSTEM
Прямое чтение C:\WINNT\system32\config\SOFTWARE
Прямое чтение C:\WINNT\system32\config\DEFAULT
Прямое чтение C:\WINNT\system32\config\AppEvent.Evt
Прямое чтение C:\WINNT\system32\config\SysEvent.Evt
Прямое чтение C:\WINNT\system32\config\Antivirus.Evt
Прямое чтение C:\WINNT\system32\drivers\dgogi.sys
Прямое чтение C:\WINNT\system32\kgryu.dll
Прямое чтение C:\WINNT\system32\Perflib_Perfdata_214.dat
Прямое чтение C:\WINNT\security\logs\scepol.log
Прямое чтение C:\WINNT\SchedLgU.Txt
Прямое чтение C:\WINNT\WindowsUpdate.log
Файлы, на которые ругались антивирусники я выделила жирным...
Прикрепляю необходимые фам логи, СПАСИБО за помощь!!!

**Bratez** · 08.04.2007, 05:19

Причём файлы klif.sys и klmc.sys я просто удалила

Ненужная самодеятельность! Это драйверы антивируса Касперского.
Впрочем, как я понял, вы перешли на Аваст, так что эти файлы уже не нужны.

**Sanja** · 08.04.2007, 05:24

klif, klmc, kl1, и.т.д - файлы антивируса касперского.

**Muffler** · 08.04.2007, 09:44

Panda NZ, повторите два последних лога из правил.
И плюс, очень большая прозьба, не заниматся самодеятельностю!
Потому что после вашых "удалений и т. п." мы незнаем что вам советовать, и должны начинать всё сначало.

**Bratez** · 08.04.2007, 09:56

Пришел ответ из ЛК - файлы, попавшие в карантин, опасности не представляют, а вот самые интересные-то и увернулись

Давайте сделаем еще одну попытку:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINNT\System32\Clamp.exe','');
 QuarantineFile('C:\WINNT\System32\DRIVERS\dgogi.sys','');
 QuarantineFile('C:\WINNT\system32\kgryu.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите содержимое карантина по правилам.

**Panda NZ** · 08.04.2007, 21:25

Я прошу прощения за самодеятельность! Больше не буду.
Действительно, удалила Касперского чтобы проверить комп Avast - вот и попробовала удалить файлы klif.sys и klmc.sys - но процессы всё равно работают!!!
Больше ничего не меняла и не делала, система виснет и тормозит, переодически вылетает в синий экран и делает полный дампинг памяти...
В соответсвиями с правилами выполнила все действия - то есть всё с начала. Прикрепляю к теме логи.
Bratez
После выполнения скрипта компьютер стал перезагружаться и завис с сообщением на синем экране "сохранение параметров". Висел час - пришлось нажать кнопку "rezet" и перезагрузить принудительно...
Содержимое карантина высылаю.
Спасибо Вам!!!!

**Bratez** · 09.04.2007, 03:32

Отлично:
dgogi.sys - троянская программа Trojan-Downloader.Win32.Agent.bbb
kgryu.dll - троянская программа Trojan-Downloader.Win32.Agent.bdd
Clamp.exe проверил на Virustotal, ничего не найдено.
Выполните скрипт:

Код:

begin
 BC_DeleteFile('C:\WINNT\system32\kgryu.dll');
 BC_DeleteSvc('dgogi');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки прикрепите к теме файл boot_clr.log из папки с AVZ.

**Bratez** · 09.04.2007, 03:45

Есть в логе HijackThis еще одна подозрительная строчка:

Код:

O23 - Service: DNS Cache (BRGNS) - Unknown owner - C:\WINNT\SYSTEM32\RUNDLL2000.EXE (file missing)

Выполните такой скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\SYSTEM32\RUNDLL2000.EXE','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки загляните в карантин, если там что-то будет - пришлите по правилам. Указанную строчку в HijackThis пофиксите в любом случае. Как правильно фиксить строчки с кодом О23 см. тут:
http://virusinfo.info/showthread.php?t=4491

И еще замечание - остались в системе действующие компоненты от DrWeb. Если уж решили перейти на Аваст, надо их удалить во избежание тормозов и конфликтов.

**Panda NZ** · 09.04.2007, 17:24

Bratez
Спасибо!
Всё сделала, файл boot_clr.log прикрепляю.
После выполнения второго скрипта в карантине есть две строчки - высылаю согласно правилам.
А вот пофиксить строчку
O23 - Service: DNS Cache (BRGNS) - Unknown owner - C:\WINNT\SYSTEM32\RUNDLL2000.EXE (file missing)
не получается((((( Ни ДО выполнения скрипта, ни после.
HijackThis пишет:
The servise 'BRGNS' is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the services. msc window
Как и где отключить этот сервис 'BRGNS' я не знаю

**Numb** · 09.04.2007, 17:36

Сообщение от Panda NZ

HijackThis пишет:
The servise 'BRGNS' is enabled and/or running. Disable it first, using HijackThis itself (from the scan results) or the services. msc window

Попробуйте сделать так: Ваш рабочий стол, кнопка "Пуск" - "Выполнить" - выполните последовательно следующие команды:

Код:

sc stop BRGNS
sc config BRGNS start= disabled
sc delete BRGNS

**drongo** · 09.04.2007, 17:43

А что так разве не получалось ?
http://virusinfo.info/showpost.php?p=80604&postcount=2

у меня работает

**Bratez** · 09.04.2007, 17:51

Похоже и те два так и не удалились, и RUNDLL2000.EXE в карантин не попал, хотя судя по вашему сообщению, живет и здравствует.
Давайте попробуем такой скрипт:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('dgogi');
StopService('BRGNS');
QuarantineFile('C:\WINNT\SYSTEM32\RUNDLL2000.EXE','');
DeleteService('dgogi',true);
DeleteService('BRGNS',true);
DeleteFile('C:\WINNT\system32\kgryu.dll');
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки загляните в карантин - вдруг он таки поймался?
И сделайте новые логи п.10 и 12 правил.

**Panda NZ** · 09.04.2007, 18:08

Всем вам большое спасибо!
'BRGNS' службу отключила через Администрирование и успешно пофиксила HijackThis. А вот dgogi.sys - наблюдаю что живёт...и очень даже здравствует

Bratez
Сейчас выполню Ваши инструкции...

**Panda NZ** · 09.04.2007, 18:32

Bratez
Выполнила скрипт, при перезагрузке система зависла с синим экраном и надписью "сохранение параметров" - пришлось давить "reset".
Логи пунктов 10 и 12 прилагаю.
Карантин AVZ пуст..

файлы dgogi.sys и kgryu.dll - наблюдаю, dgogi продолжает работать (вижу в мониторе запущенных драйверов)
Зараза какая...
Глупость спрошу - а...может попробвать чего-то сделать в безопасном режиме?

**Panda NZ** · 09.04.2007, 18:48

Еще вот такая странность:
смотрю в Панели управления-Администрирование-службы.
Работает такая вот служба:
Remote Route Service
описание: НшВзНЁС¶В·УЙ·юОсЈ¬Мб№©БЩК±µДНшВзВ·УЙєН·юОсµШЦ·µДїм ЛЩЅвОц№¦ДЬЎЈОЮ·ЁЦХЦ№ґЛ·юОсЎЈ
(вот такая билиберда)
C:\WINNT\System32\svchost.exe -k netsvcs
ставлю этой службе тип запуска - отключено, перезагружаюсь - она жива и здорова. Работает.

**Bratez** · 10.04.2007, 01:48

Одного беса изгнали - и то прогресс

Насчет безопасного режима - нисколько не глупость, очень даже правильная мысль. Давайте в безопасном режиме запустим такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('dgogi');
DeleteService('dgogi',true);
DeleteFile('C:\WINNT\System32\DRIVERS\dgogi.sys');
DeleteFile('C:\WINNT\system32\kgryu.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Да, и надо все-таки убрать службу от DrWeb, :

Код:

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe

Отключите и пофиксите ее, таким же способом, как BRGNS, лучше до выполнения скрипта.
Кстати, файлик 'C:\WINNT\SYSTEM32\RUNDLL2000.EXE' наверно остался лежать на диске, поищите его вручную через AVZ, если найдется - пришлите по правилам для анализа, а у себя удалите.