Nachtrag: Die Geschichte ist etwas unterhalb vom .... Ich würde heute nutzen SDFix und der Microsoft Tool zum Entfernen bösartiger Software zum Entfernen eines Rootkit-Infektion.
Bei meiner Arbeit, hatte zu reparieren WindowsXP-Maschine mit infizierten Variante des Win32/cutwail Rootkit-Virus (unter diverse andere, wie sich herausstellte). Erste bemerkt der PC in meiner Rolle als System-Administrator, weil der höhere Netzwerk-Verkehr, ist zu erwarten, da es sich hierbei um ein Trojan, dass sendet Masse-Mail.
Running CA Online-Virus-Scan erkennt das Problem aber nicht in der Lage ist, um die Infektion. Wiederholte Scans (nach Neustart) Bericht der Datei ip6fw.sys (Win Firewall-Treiber) als infiziert. Also auf der Boot-PC neu infiziert sich again.Also feststellen, dass die Win-Firewall ist deaktiviert und kann nicht aktiviert werden. Der Versuch, damit die Windows-Firewall liefert "Firewall kann nicht gestartet werden, da von unbekannter Fehler". Diese Anweisungen, um die Firewall zu funktionieren wieder.
Weiter festgestellt, dass auf der Boot-Meldung "Kann nicht sperren Volumen für den direkten Zugang" wird zurückgegeben chkdsk aus, wenn er versucht zu laufen. Microsoft hat ein KB hin, dass beschreibt das Problem, sondern stellt fest, dass die Installation des neuesten Service Packs sollte Abhilfe schaffen. Dabei spielt es keine.
Zusätzlich den Prozess "csrss.exe" Schweine die CPU, indem Sie 80% der CPU-Zeit ohne Programmen auf dem PC, ist wahrscheinlich ein Nebeneffekt der Trojan-Verseuchung. Maschine läuft auch mehrere fall von IEXPLORER.EXE, dass "kommen und gehen", wenn sie in der Task-Manager. Verwenden Sie Windows-Boot-CD im Reparatur-Modus und führen Sie chkdsk "manuell". Beachten Sie, dass die Dateien core.sys und cache.core.sys in der windows/system32/drivers /-Verzeichnis eine Datei Datum aus der ganzen Zeit der PC-Virus-Infektion. Nehmen Sie sich also eine Chance und löschen Sie die Dateien mit dem Reparatur-Konsole (Gotta haben aWinXP Installations-CD für diesen). Jetzt auf normalen Booten des chkdsk Utility funktioniert wieder (!) Und geht durch ein langer Prozess der Überprüfung der HD. Installieren Sie McAfee AV, aber wenn ich versuche zu laufen für McAfee Virus Scan, get "Blue Screen" mit der Meldung "IRQL_NOT_LESS_OR_EQUAL", was bedeutet, dass eine Kernel-Modus ca. haben versucht, auf Speicher außerhalb seiner Reichweite. Weiter versuchen zu booten im abgesicherten Modus (F8), aber dann zum Stillstand des Systems auf Laden von "agpCQ.sys", ein Video-Gerät-Treiber.
Weiter Boot-CD wieder aus und benennen Sie die säumige Gerätetreiber aus "" agpCQ.sys "auf" agpCQ.sy $ ". Jetzt Safe Boot funktioniert und das System nicht scheitern mit "IRQL_NOT_LESS_OR_EQUAL" mehr, aber das System verweigert, um McAfee Virus Scan im abgesicherten Modus ... jeder Versuch zum Ausführen von McAfee ist einfach ignoriert ... sieht aus wie Entfernung der cutwail Virus ist tricky.So Boot System im abgesicherten Modus mit Vernetzung, führen Sie CA Online-Virus-Scan, die jetzt fest, zwei infizierte Dateien, die ich entfernen. Nächste Start des Systems im normalen Modus. Jetzt McAfee findet ein Rootkit-Infektion und entfernt sie ... gut. Aber McAfee sagt, dass ein Neustart erforderlich ist ... und auf das System neu gestartet wurde heruntergefahren mit "IRQL_NOT_LESS_OR_EQUAL" wieder (!). So sieht es aus wie der McAfee Virenscanner bewirkt, dass die "IRQL_NOT_LESS_OR_EQUAL" blauen Bildschirm, wenn es versucht, um den Rootkit-Virus ...
Also beschließen, Boot in der Regel Administrator-Account, dann laufen CA Online-Viren-Scan-to-vorübergehend deaktivieren Sie die aktive cutwail Rootkit-Virus, dann McAfee Virenscanner. Nr. gehen ... immer noch "IRQL_NOT_LESS_OR_EQUAL"-Nachricht mit blauen Bildschirm. Ergo: McAfee Virus Scan-Treiber verursacht blauen Bildschirm, wenn sie versuchen zu reinigen PC, vermutlich bei dem Versuch zu tun, die Rootkit-Teil seiner cleanup-Routinen.
Weiter beschließen, zum Herunterladen eines neuen Virus Scan Utility: CounterSpy von Sunbelt Software. Führen Sie eine vollständige System-Scan mit CounterSpy. Er erkennt mehrere Threads aber nicht in der Lage ist zu reinigen System.
Weiter Download F-Secure Rootkit-Tool zum Entfernen von Blacklight-Beta. Es stellt fest, die versteckten Prozess iexplore.exe in das Verzeichnis c: \ Program \ Internet Explorer Verzeichnis. Diese Datei ist gesperrt, so dass die einzige Möglichkeit zum Umbenennen es ist, benennen Sie das Verzeichnis, der die Datei enthält, damit sperren den Zugriff auf sie. Nach, dass die Datei entriegelt und kann umbenannt werden.
Der Schlüssel, um endlich die Reinigung des Systems ist es, löschen Sie die Windows \ Temp-Verzeichnis. Beachten Sie, dass dieses Verzeichnis enthält eine Menge von suspisiously namens Dateien, die nicht entfernt werden können, während des normalen Betriebs, dann verwenden Sie die Reparatur-Konsole, dies zu tun. Nach dem Löschen der Temp direcory nicht fälschen, um eine neue (leere) Windows \ Temp-Verzeichnis oder Windows wird nicht korrekt funktionieren.
Also in diesem arbeitete Zusammenfassung:
- Re-instate Windows-Firewall ... das war wahrscheinlich deaktiviert von der Proxy.Win32.Xorpix Trojan-Backdoor-Virus gefunden von CounterSpy
- manuell löschen core.sys und core.cache.sys im system32-Verzeichnis mit der Windows-Reparatur-Konsole, um chkdsk zu arbeiten wieder
- umbenennen säumige agpCQ.sys zu können, um einen sicheren Boot (F8-Taste)
- umbenennen Ordner, der iexplore.exe (Gotta Sie hierzu im abgesicherten Modus von Command-Prompt, sonst Ordner gesperrt ist) zu verhindern, dass mehrere fall von iexplore.exe, dass essen bis Prozessor Zeit
- Im abgesicherten Modus mit Eingabeaufforderung, zu löschen \ Windows \ Temp \ Ordner. Dieser Ordner enthält Rootkit Win32.Agent.eq Virus erkannt wird, die durch CounerSpy aber nicht entfernt.
- Boot normalerweise CounterSpy, und führen Sie erneut, um sicherzustellen, dass alle Infektionen verschwunden sind.
- Neu erstellen Windows \ Temp-Ordner, da es wird von Windows für die vorübergehende Verwahrung, wenn Programmen ausgeführt werden.
Es dauerte einen ganzen Tag der Arbeit, um den PC (ein Laptop Dell Lattitude) wieder normal.
