Addendum: The story below is somewhat dated….today I would use SDFix and the Microsoft Malicious Software Removal Tool to remove a rootkit infection. إضافة : القصة الواردة أدناه مؤرخة نوعا ما.... اليوم وأود أن استخدام SDFix ومايكروسوفت أداة إزالة البرامج الخبيثة rootkit لازالة العدوى.
At my work, had to repair WindowsXP machine infected with variant of the Win32/cutwail rootkit virus (among several others, as it turned out). في عملي ، كان لإصلاح آلة WindowsXP المصابين البديل للWin32/cutwail rootkit الفيروس (من بين العديد من الآخرين ، كما اتضح). First noticed the PC in my role as system administrator, because of increased network traffic which is to be expected, as this is a Trojan that sends mass-mail. لاحظ أول جهاز كمبيوتر في دوري بصفتي المدير الإداري للنظام ، بسبب زيادة شبكة المرور وهو أمر متوقع ، لأن هذا هو طروادة أن ترسل البريد الجماعي.
Running CA online virus scan detects the problem but is unable to remove the infection. إدارة الزراعة المحافظة على الموارد على الانترنت مسح الفيروسات بالكشف عن هذه المشكلة ولكنها غير قادرة على إزالة أية إصابة. Repeated scans (after reboot) report the file ip6fw.sys (win firewall driver) as infected. وكرر بالاشعة (بعد إعادة التشغيل (تقرير الملف ip6fw.sys (الجدار الناري فوز سائق) المصابين. So upon boot the PC re-infects itself again.Also notice that the Win Firewall is turned off and can not be enabled. حتى الحذاء على جهاز الكمبيوتر إعادة يصيب نفسه again.Also إشعار أن وين هو إيقاف جدار حماية ولا يمكن مكن. Trying to enable the Windows Firewall returns “Firewall can not be started because of unknown error”. وتحاول لتمكين جدار حماية العودة ويندوز "جدار حماية لا يمكن أن يكون بدأ بسبب خطأ غير معروف". Followed these instructions to get the Firewall to work again. تتبع هذه التعليمات إلى الحصول على جدار حماية للعمل مرة أخرى.
Next noticed that upon boot the message “Cannot lock volume for direct access” is returned from chkdsk when it tries to run. ويلاحظ ان المقبل على الحذاء الرسالة "لا يمكن لقفل حجم الوصول المباشر" هو عاد من chkdsk عندما تحاول البعيد. Microsoft has a KB out that describes the issue but states that installing the latest service pack should help. مايكروسوفت لديها كيلوبايت أن يصف هذه المسألة ولكنه ينص على أن تثبيت حزمة الخدمات الأحدث وينبغي أن تساعد. It does not. لا.
Additionally the process “csrss.exe” hogs the CPU by using 80% of CPU time without any programs running on the PC which is probably a side effect of the Trojan infestation. وبالإضافة إلى عملية "csrss.exe" خنزير فإن وحدة المعالجة المركزية عن طريق استخدام 80 ٪ من وحدة المعالجة المركزية الوقت بدون أية برامج تشغيل على أجهزة الكمبيوتر التي من المحتمل أن يكون هذا الجانب من أثر الإصابة طروادة. Also machine runs multiple instance of iExplorer.exe that "come and go" when viewed in the task manager. كما يدير آلة متعددة على سبيل المثال من iExplorer.exe أن "يأتون ويذهبون" عندما ينظر في مدير المهمة. Use Windows Boot CD in repair mode and perform chkdsk “manually”. استخدام ويندوز مؤتمر نزع السلاح الحذاء في إصلاح أسلوب وأداء chkdsk "يدويا". Notice that the files core.sys and cache.core.sys in the windows/system32/drivers/ directory have a file date from around the time of the PC’s virus infection. ولاحظ ان ملفات core.sys وcache.core.sys في windows/system32/drivers / دليل لديها تاريخ من ملف في وقت قريب من جهاز كمبيوتر عدوى فيروس. So take a chance and delete the files using the repair console (gotta have aWinXP installation disk for that). Now upon normal boot the chkdsk utility works again(!) and goes thru a long process of checking the HD. حتى تأخذ فرصة وحذف الملفات باستخدام إصلاح تعزية (gotta وقد aWinXP تركيب القرص لذلك). الآن على الحذاء العادي فإن chkdsk فائدة يعمل مرة أخرى (!) ويمر عبر عملية طويلة للتحقق من HD. Install McAfee AV but when trying to run McAfee for virus scan, get “Blue Screen” with message “irql_not_less_or_equal”, meaning that a kernel mode app tried to access memory outside of its scope. تركيب مكافي للمركبات ولكن عندما تحاول لتشغيل مكافي لمسح الفيروسات ، الحصول على "الشاشة الزرقاء" مع رسالة "irql_not_less_or_equal" ، مما يعني ان النواة طريقة الوكالة حاولت الوصول إلى الذاكرة من خارج نطاقها. Next try to boot in safe mode (F8), but then the system hangs upon loading “agpCQ.sys”, a video device driver. المقبل في محاولة لتمهيد الوضع الآمن (F8) ، ولكن بعد ذلك النظام معلقة على تحميل "agpCQ.sys" ، شريط فيديو جهاز السائق.
Next boot from CD again and rename the offending device driver from “”agpCQ.sys” to “agpCQ.sy$”. الحذاء القادم من مؤتمر نزع السلاح مرة أخرى وإعادة تسمية جهاز المخالفة من السائق "" agpCQ.sys "إلى" agpCQ.sy دولار ". Now Safe Boot works and the system does not fail with “irql_not_less_or_equal” anymore, BUT the system refuses to execute McAfee virus scan in safe mode…any attempt to run McAfee is simply ignored…looks like removal of the cutwail virus is tricky.So boot system in safe mode with networking, run CA online virus scan , which now finds two infected files that I remove. الآن الحذاء الآمن ويعمل هذا النظام لا تفشل مع "irql_not_less_or_equal" بعد الآن ، ولكن النظام يرفض لتنفيذ مسح الفيروسات مكافي في طريقة آمنة... أي محاولة لتشغيل مكافي هو ببساطة تجاهل... يبدو أن إزالة للفيروس هو cutwail tricky.So الحذاء النظام في الوضع الآمن مع الربط الشبكي ، الذي يديره كاليفورنيا مسح الفيروسات على الانترنت ، الذي يرى الآن أن اثنين من المصابين الأول إزالة الملفات. Next boot in normal mode. الحذاء المقبل في طريقة طبيعية. Now McAfee finds a rootkit infection and removes it…good. الآن يجد مكافي rootkit العدوى ويزيل... انها جيدة. But McAfee says that a reboot is required…and upon rebooting the system shuts down with “irql_not_less_or_equal” again (!). ولكن مكافي تقول إن المطلوب هو إعادة تشغيل الكمبيوتر... وعند إعادة تشغيل النظام تغلق مع "irql_not_less_or_equal" مرة أخرى (!). So it looks like the McAfee virus scanner causes the “irql_not_less_or_equal” blue screen when it tries to clean up the rootkit virus… حتى يبدوا أن مكافي فيروس ماسحة أسباب "irql_not_less_or_equal" شاشة زرقاء عندما تحاول تنظيف rootkit الفيروس...
So decide to boot normally into administrator account, then run CA online virus scan to temporarily deactivate the active cutwail rootkit virus, then run McAfee virus scanner. لذلك تقرر الحذاء عادة إلى مدير البرنامج في الاعتبار ، ثم شغل الزراعة المحافظة على الموارد على الانترنت لمسح الفيروسات مؤقتا في تعطيل النشطة cutwail rootkit الفيروس ، ثم تديرها شركة مكافي فيروس ماسحة. No go…still get “irql_not_less_or_equal” message with blue screen. لا تذهب... لا يزال الحصول على "irql_not_less_or_equal" رسالة مع شاشة زرقاء. Ergo: McAfee virus scan driver causes blue screen when trying to clean PC, probably when trying to do the rootkit part of its cleanup routines. Ergo : مسح الفيروسات مكافي سائق أسباب الشاشة الزرقاء عند محاولة لتنظيف الكمبيوتر الشخصي ، ربما عندما تحاول أن تفعل rootkit جزء من التنظيف الروتينية.
Next decide to download new virus scan utility: CounterSpy from Sunbelt Software. Run a full system scan with CounterSpy. تقرر المقبل لتحميل مسح الفيروسات الجديدة فائدة : CounterSpy من الحزام الشمسي البرمجيات. تشغيل كامل نظام المسح الضوئي مع CounterSpy. It detects several threads but is unable to clean system. إذا ما اكتشف عدة خيوط ولكنها غير قادرة على تنظيف النظام.
Next download F-Secure Rootkit removal tool Blacklight-Beta . القادم التحميل من نوع (إف تأمين Rootkit إزالة أداة Blacklight - بيتا. It finds the hidden process iExplore.exe in the c:\Program Files\Internet Explorer directory. يجد الخفية عملية iExplore.exe في ج : \ ملفات البرنامج \ دليل إنترنت إكسبلورر. This file is locked so the only way to rename it is to rename the directory that contains the file, thereby blocking access to it. هذا الملف وتخوض ذلك السبيل الوحيد لذلك هو إعادة تسمية لإعادة تسمية الدليل الذي يحتوي على الملف ، ومن ثم يمنع الوصول إليها. After that, the file unlocks and can be renamed. وبعد ذلك ، يشرع امامك ابواب ملف ويمكن تسمية.
The key to finally cleaning up the system is to delete the Windows\Temp directory. وأخيرا الرئيسية لتنظيف نظام ويندوز لحذف \ الحرارة دليل. Notice that this directory contains a lot of suspisiously named files that can not be removed during normal operation, so use the Repair Console to do this. لاحظ أن هذا الدليل يحتوي على الكثير من suspisiously اسمه الملفات التي لا يمكن إزالتها أثناء التشغيل العادي ، وحتى استخدام لوحة المفاتيح تصليح ذلك. After deleting the Temp direcory do not forge to create a new (empty) Windows\Temp directory or Windows will not work correctly. بعد حذف درجة الحرارة direcory لا تشكيل لإنشاء لجنة جديدة (فارغة) ويندوز \ درجة الحرارة أو دليل ويندوز لن تعمل بشكل صحيح.
So in summary this worked: حتى في هذا موجز عملت :
- re-instate windows firewall …this was probably deactivated by the Trojan-Proxy.Win32.Xorpix backdoor virus found by CounterSpy إعادة instate نوافذ الجدار الناري... ربما كان هذا أبطل مفعولها من قبل طروادة - Proxy.Win32.Xorpix خلفية العثور على الفيروس عن طريق CounterSpy
- manually delete core.sys and core.cache.sys in the system32 directory using the Windows Repair console to get chkdsk to work again يدويا حذف core.sys وcore.cache.sys في دليل System32 باستخدام ويندوز تصليح تعزية للحصول على chkdsk للعمل مرة أخرى
- rename offending agpCQ.sys to be able to do a safe boot (F8 key) إعادة تسمية agpCQ.sys المخالفة لتكون قادرة على القيام آمنة الحذاء (F8 الرئيسية)
- rename folder that contains iExplore.exe (gotta do this in Safe Mode from Command prompt, else folder is locked) to prevent multiple instance of iExplore.exe that eat up processor time إعادة تسمية المجلد الذي يحتوي على iExplore.exe (gotta القيام بذلك في الوضع الآمن من القيادة السريعة ، وتخوض مجلد آخر) لمنع متعددة على سبيل المثال من iExplore.exe التي تلتهم الوقت المعالج
- In Safe Mode with Command Prompt, delete \Windows\Temp\ folder. في الوضع الآمن مع موجه الأوامر ، حذف \ ويندوز \ الحرارة \ مجلد. This folder contains Rootkit Win32.Agent.eq virus which is detected by CounerSpy but NOT removed. يحتوي هذا المجلد Rootkit Win32.Agent.eq الفيروس الذي اكتشف من قبل CounerSpy ولكن ليس إزالة.
- Boot normally and run CounterSpy again to make sure all infections are gone. الحذاء والبعيد CounterSpy عادة مرة أخرى للتأكد من جميع حالات العدوى قد ولت.
- Re-create Windows\Temp folder as it is being used by Windows for temporary storage when programms are executed. إعادة تهيئة ويندوز \ الحرارة مجلد لأنها تستخدم من قبل ويندوز لتخزينها مؤقتا عندما تنفذ في البرنامج.
It took one full day of work to get the PC (a Dell Lattitude Laptop) back to normal. واستغرق يوم كامل من العمل للحصول على جهاز كمبيوتر (أ Lattitude ديل كمبيوتر محمول) في العودة إلى طبيعتها.
