Adición: La historia es un poco más abajo de fecha .... Hoy quiero utilizar SDFix y Microsoft herramienta Malicious Software Removal para eliminar la infección por un rootkit.
En mi trabajo, tenía que reparar la máquina infectada con WindowsXP variante del virus de Win32/cutwail rootkit (entre otros, ya que resultó). En primer lugar el PC notado en mi función como administrador del sistema, debido al aumento de tráfico de la red que es de esperar, ya que este es un troyano que envía en masa-mail.
Ejecutando detección de virus en línea de CA detecta el problema, pero es incapaz de eliminar la infección. Escaneos repetidos (al iniciar el sistema) el archivo de informe ip6fw.sys (cortafuegos ganar conductor) como infectados. Por lo tanto, a arrancar el PC se infecta de nuevo again.Also anuncio de que el Firewall de ganar está apagado y no puede ser activado. Tratando de que el Firewall de Windows devuelve "Firewall no se puede iniciar por error desconocido". Seguido estas instrucciones para obtener el Firewall de nuevo a trabajar.
Siguiente notado que al arrancar el mensaje "No se puede bloquear el volumen para acceso directo" se devuelve desde chkdsk cuando se intenta ejecutar. Microsoft tiene una KB en que describe el tema, pero afirma que la instalación del Service Pack más reciente debe ayudar. No.
Además, el proceso de "Csrss.exe" los cerdos mediante el uso de la CPU del 80% de tiempo de CPU, sin ningún programa ejecutándose en el PC que es, probablemente, un efecto secundario de la infestación de Troya. Asimismo, la máquina ejecuta múltiples iexplorer.exe ejemplo de que "van y vienen" cuando se ve en el administrador de tareas. Uso de CD de arranque de Windows en modo de reparación y realizar chkdsk "manualmente". Observe que los archivos core.sys y cache.core.sys en el windows/system32/drivers / directorio tiene una fecha de archivo de todo el tiempo de la infección por el virus del PC. Por lo tanto, tener una oportunidad y eliminar los archivos usando la consola de reparación (aWinXP tengo que tener para que el disco de instalación). Ahora a los normales de arranque el programa Chkdsk trabaja otra vez (!) Y pasa a través de un largo proceso de control de la HD. Instalar AV de McAfee, pero al intentar ejecutar McAfee para detección de virus, obtener "pantalla azul" con mensaje "IRQL_NOT_LESS_OR_EQUAL", lo que significa que una aplicación en modo de núcleo intentado acceder a memoria fuera de su ámbito de aplicación. Siguiente intentar arrancar en modo seguro (F8), pero luego el sistema se cuelga a la carga de "agpCQ.sys", un controlador de dispositivo de vídeo.
Siguiente arranque desde el CD de nuevo y cambiar el nombre del controlador de dispositivo de la delincuencia "" agpCQ.sys "a" $ agpCQ.sy ". Ahora prueba de arranque de obras y el sistema no fallará con "IRQL_NOT_LESS_OR_EQUAL" ya, pero el sistema se niega a realizar análisis de virus de McAfee en modo seguro ... cualquier intento de ejecutar McAfee es ignorado ... se parece a la eliminación de virus es cutwail tricky.So de arranque sistema en modo seguro con funciones de red, ejecute CA detección de virus en línea, que ahora se encuentra dos archivos infectados que me retire. Siguiente arranque en modo normal. Ahora McAfee considera la infección por un rootkit y lo elimina ... bueno. Sin embargo, McAfee dice que es necesario un reinicio ... y el momento de reiniciar el sistema se cierra con "IRQL_NOT_LESS_OR_EQUAL" de nuevo (!). Así que parece que el antivirus de McAfee provoca la "IRQL_NOT_LESS_OR_EQUAL" pantalla azul cuando se trata de limpiar el virus de rootkit ...
Así lo deciden a arrancar normalmente en la cuenta de administrador y luego ejecutar CA detección de virus en línea para desactivar temporalmente la activa cutwail de rootkit, virus, vuelva a ejecutar el antivirus de McAfee. No ir ... a pesar de "IRQL_NOT_LESS_OR_EQUAL" mensaje con pantalla azul. Ergo: detección de virus de McAfee conductor causa pantalla azul al intentar limpiar PC, probablemente al intentar hacer el rootkit parte de su rutina de limpieza.
Siguiente decidir descargar nuevos análisis de virus de utilidad: CounterSpy de Sunbelt Software. Ejecute un análisis completo del sistema con CounterSpy. Detecta varios hilos, pero no es capaz de limpiar el sistema.
Siguiente descarga F-Secure Blacklight Rootkit herramienta de eliminación-Beta. Se considera que el proceso oculto iexplore.exe en el directorio c: \ Archivos de programa \ Internet Explorer directorio. Este archivo está bloqueado por lo que la única manera de cambiar el nombre es para cambiar el nombre del directorio que contiene el archivo, lo que bloquea el acceso a ella. Después de eso, abre el archivo y se puede cambiar de nombre.
Finalmente, la clave para la limpieza del sistema es eliminar la carpeta Windows \ Temp. Observe que este directorio contiene una gran cantidad de archivos que suspisiously nombre no puede ser removido durante el funcionamiento normal, así que use la consola de reparación para hacer esto. Después de eliminar el directorio Temp no forjar para crear una nueva (vacía) Windows \ Temp o directorio de Windows no funcionará correctamente.
Así pues, en resumen este trabajo:
- instate nuevo Firewall de Windows ... este fue probablemente desactivados por el troyano de puerta trasera Proxy.Win32.Xorpix-virus que se encuentra por CounterSpy
- eliminar manualmente core.sys y core.cache.sys en el directorio system32 de Windows utilizando la consola de reparación para obtener chkdsk a trabajar de nuevo
- agpCQ.sys cambiar el nombre de la delincuencia para poder hacer un arranque seguro (tecla F8)
- cambiar el nombre de la carpeta que contiene iexplore.exe (tengo que hacerlo en Modo a prueba de errores desde el símbolo del sistema, otra carpeta está bloqueado), para evitar múltiples instancia de iexplore.exe que se comen hasta tiempo de procesador
- En Modo a prueba de errores con símbolo del sistema, borrar \ Windows \ Temp \ carpeta. Esta carpeta contiene Rootkit Win32.Agent.eq virus que se detecta por CounerSpy pero no se elimina.
- Arrancar normalmente CounterSpy y ejecute de nuevo para asegurarse de que todas las infecciones se han ido.
- Vuelva a crear Windows \ Temp, ya que está siendo utilizado por Windows para el almacenamiento temporal, cuando se ejecutan programas.
Tomó un día completo de trabajo para el PC (un ordenador portátil Dell Lattitude) volverá a la normalidad.
Trevor respondió el 18 de enero de 2009 a 3:17 am #
Gracias por tomarse el tiempo para publicar esto. Creo que este es el que yo tengo .... se toma mi hora de la investigación para ello. Es todavía difícil de creer que todos los grandes de lucha contra - el spyware y malware / virus son programas que faltan a este! ¿Puedo comprar ya una cerveza? Estoy muy agradecido ...