Addendum: The story below is somewhat dated….today I would use SDFix and the Microsoft Malicious Software Removal Tool to remove a rootkit infection. Addendum: L'histoire ci-dessous est quelque peu datée du .... Aujourd'hui je utiliser SDFix et Microsoft Malicious Software Removal Tool pour éliminer une infection rootkit.

At my work, had to repair WindowsXP machine infected with variant of the Win32/cutwail rootkit virus (among several others, as it turned out). À mon travail, avait pour réparer WindowsXP machine infectée avec la variante de la Win32/cutwail rootkit virus (parmi plusieurs autres, comme il s'est avéré). First noticed the PC in my role as system administrator, because of increased network traffic which is to be expected, as this is a Trojan that sends mass-mail. Tout d'abord remarqué que le PC dans mon rôle de l'administrateur système, en raison de l'augmentation du trafic de réseau qui est à prévoir, car il s'agit d'un Trojan qui envoie masse-mail.

Running CA online virus scan detects the problem but is unable to remove the infection. Running CA virus scan en ligne détecte le problème mais n'est pas en mesure de supprimer l'infection. Repeated scans (after reboot) report the file ip6fw.sys (win firewall driver) as infected. Balayages répétés (après le redémarrage) rapport, le fichier ip6fw.sys (win pilote de pare-feu) comme infectés. So upon boot the PC re-infects itself again.Also notice that the Win Firewall is turned off and can not be enabled. Ainsi, au démarrage du PC ré-infecte again.Also lui-même avis que le Win-feu est désactivé et ne peut pas être activé. Trying to enable the Windows Firewall returns “Firewall can not be started because of unknown error”. Essayer de permettre le Pare-feu Windows retourne "pare-feu ne peut pas être démarré parce que des erreur inconnue". Followed these instructions to get the Firewall to work again. Suivi ces instructions pour obtenir le pare-feu à nouveau.

Next noticed that upon boot the message “Cannot lock volume for direct access” is returned from chkdsk when it tries to run. Suivant remarqué que au démarrage le message "Impossible de verrouiller le volume pour un accès direct" est rentré de chkdsk quand il essaie d'exécuter. Microsoft has a KB out that describes the issue but states that installing the latest service pack should help. Microsoft a une KB que décrit le problème, mais indique que l'installation du dernier Service Pack devrait vous aider. It does not. Il ne le fait pas.

Additionally the process “csrss.exe” hogs the CPU by using 80% of CPU time without any programs running on the PC which is probably a side effect of the Trojan infestation. En outre, le processus de "csrss.exe" porcs de la CPU à l'aide de 80% du temps CPU sans programs en cours d'exécution sur le PC qui est probablement un effet secondaire de l'infestation par le cheval de Troie. Also machine runs multiple instance of iExplorer.exe that "come and go" when viewed in the task manager. Machine exécute également plusieurs cas de iexplorer.exe que "aller et venir" lorsqu'elles sont affichées dans le gestionnaire de tâches. Use Windows Boot CD in repair mode and perform chkdsk “manually”. Utilisez Windows Boot CD en mode de réparation et exécuter chkdsk "manuellement". Notice that the files core.sys and cache.core.sys in the windows/system32/drivers/ directory have a file date from around the time of the PC’s virus infection. Notez que les fichiers core.sys et cache.core.sys dans le windows/system32/drivers / répertoire avez un fichier à partir de la date à l'époque de la PC de l'infection par le virus. So take a chance and delete the files using the repair console (gotta have aWinXP installation disk for that).  Now upon normal boot the chkdsk utility works again(!) and goes thru a long process of checking the HD. Alors, prenez une chance et supprimer les fichiers à l'aide de la console de réparation (faut avoir aWinXP disque d'installation pour cela). Immédiat de démarrage normal sur l'utilitaire chkdsk fonctionne de nouveau (!) Et passe par un long processus de contrôle de la HD. Install McAfee AV but when trying to run McAfee for virus scan, get “Blue Screen” with message “irql_not_less_or_equal”, meaning that a kernel mode app tried to access memory outside of its scope. Installer McAfee AV mais quand vous essayez d'exécuter pour McAfee virus scan, obtenir "Blue Screen" avec message "IRQL_NOT_LESS_OR_EQUAL", ce qui signifie qu'une application en mode noyau a essayé d'accéder à la mémoire en dehors de son champ d'application. Next try to boot in safe mode (F8), but then the system hangs upon loading “agpCQ.sys”, a video device driver. Suivant essayez de démarrer en mode sans échec (F8), mais le système se bloque lors du chargement de "agpCQ.sys", un pilote de périphérique vidéo.

Next boot from CD again and rename the offending device driver from “”agpCQ.sys” to “agpCQ.sy$”. Suivant démarrer du CD-ROM et de nouveau renommer l'infraction de pilote de périphérique "" agpCQ.sys "à" agpCQ.sy $ ". Now Safe Boot works and the system does not fail with “irql_not_less_or_equal” anymore, BUT the system refuses to execute McAfee virus scan in safe mode…any attempt to run McAfee is simply ignored…looks like removal of the cutwail virus is tricky.So boot system in safe mode with networking, run CA online virus scan , which now finds two infected files that I remove. Maintenant travaux de démarrage sans échec et le système ne manque pas de "IRQL_NOT_LESS_OR_EQUAL" plus, mais le système refuse d'exécuter McAfee virus scan en mode sans échec ... toute tentative d'exécuter McAfee est tout simplement ignoré ... ressemble à la suppression des virus est cutwail tricky.So de démarrage système en mode sans échec avec le réseau, exécutez CA virus scan en ligne, qui constate deux fichiers infectés que je supprimer. Next boot in normal mode. Suivant démarrage en mode normal. Now McAfee finds a rootkit infection and removes it…good. McAfee constate maintenant un rootkit infection et le supprime ... bon. But McAfee says that a reboot is required…and upon rebooting the system shuts down with “irql_not_less_or_equal” again (!). Mais McAfee dit qu'un redémarrage est nécessaire ... et à redémarrer le système s'arrête avec "IRQL_NOT_LESS_OR_EQUAL" de nouveau (!). So it looks like the McAfee virus scanner causes the “irql_not_less_or_equal” blue screen when it tries to clean up the rootkit virus… Ainsi, il semble que le scanneur de virus de McAfee causes de la "IRQL_NOT_LESS_OR_EQUAL" écran bleu quand il essaie de nettoyer le virus rootkit ...

So decide to boot normally into administrator account, then run CA online virus scan to temporarily deactivate the active cutwail rootkit virus, then run McAfee virus scanner. Donc, décider de démarrer normalement en compte administrateur, puis exécutez CA virus scan en ligne à désactiver temporairement l'actif cutwail rootkit virus, puis exécutez le logiciel antivirus McAfee. No go…still get “irql_not_less_or_equal” message with blue screen. Pas encore ... allez obtenir "IRQL_NOT_LESS_OR_EQUAL" message avec écran bleu. Ergo: McAfee virus scan driver causes blue screen when trying to clean PC, probably when trying to do the rootkit part of its cleanup routines. Ergo: McAfee virus scan conducteur causes écran bleu lors de la tentative de PC propre, probablement lors de la tentative de faire de rootkit partie de sa routine de nettoyage.

Next decide to download new virus scan utility: CounterSpy from Sunbelt Software. Run a full system scan with CounterSpy. Suivant décider de télécharger de nouveaux virus scan utilitaire: CounterSpy de Sunbelt Software. Exécuter un système de balayage avec CounterSpy. It detects several threads but is unable to clean system. Il détecte plusieurs threads, mais est incapable de nettoyer système.

Next download F-Secure Rootkit removal tool Blacklight-Beta . Suivant télécharger F-Secure Rootkit outil de suppression Blacklight-Beta. It finds the hidden process iExplore.exe in the  c:\Program Files\Internet Explorer directory. Il estime que le processus iexplore.exe caché dans le répertoire c: \ Program Files \ Internet Explorer répertoire. This file is locked so the only way to rename it is to rename the directory that contains the file, thereby blocking access to it. Ce fichier est verrouillé de sorte que la seule façon de le renommer est de renommer le répertoire qui contient le fichier, empêchant ainsi l'accès à celui-ci. After that, the file unlocks and can be renamed. Après cela, ouvre le fichier et peuvent être renommés.

The key to finally cleaning up the system is to delete the Windows\Temp directory. La clé pour enfin nettoyer le système est de supprimer le dossier Windows \ Temp. Notice that this directory contains a lot of suspisiously named files that can not be removed during normal operation, so use the Repair Console to do this. Notez que ce répertoire contient beaucoup de suspisiously nom de fichiers qui ne peuvent pas être enlevés pendant le fonctionnement normal, utilisez la console de réparation pour ce faire. After deleting the Temp direcory do not forge to create a new (empty) Windows\Temp directory or Windows will not work correctly. Après avoir supprimé le répertoire Temp de ne pas faire nouer de créer un nouveau (vide) Windows \ Temp ou répertoire Windows ne fonctionnera pas correctement.

So in summary this worked: Donc, en résumé, cette travaillé:

  • re-instate windows firewall …this was probably deactivated by the Trojan-Proxy.Win32.Xorpix backdoor virus found by CounterSpy Re-activer le Pare-feu Windows ... ce qui a probablement été désactivée par le Trojan-Backdoor Proxy.Win32.Xorpix virus trouvé par CounterSpy
  • manually delete core.sys and core.cache.sys in the system32 directory using the Windows Repair console to get chkdsk to work again supprimer manuellement core.sys et core.cache.sys dans le répertoire system32 de Windows à l'aide de la console de réparation chkdsk pour obtenir de nouveau au travail
  • rename offending agpCQ.sys to be able to do a safe boot (F8 key) agpCQ.sys renommer la délinquance d'être en mesure de faire d'un coffre-fort de démarrage (touche F8)
  • rename folder that contains iExplore.exe (gotta do this in Safe Mode from Command prompt, else folder is locked) to prevent multiple instance of iExplore.exe that eat up processor time Renommer le dossier qui contient iexplore.exe (faut le faire en mode sans échec à partir de l'invite de commande, d'autre dossier est verrouillé) afin d'empêcher plusieurs instance de iexplore.exe qui se nourrissent de temps processeur
  • In Safe Mode with Command Prompt, delete \Windows\Temp\ folder. En mode sans échec avec l'invite de commande, supprimer \ Windows \ Temp \ dossier. This folder contains Rootkit Win32.Agent.eq virus which is detected by CounerSpy but NOT removed. Ce dossier contient Rootkit Win32.Agent.eq virus qui est détecté par CounerSpy mais pas supprimé.
  • Boot normally and run CounterSpy again to make sure all infections are gone. Démarrer et exécuter CounterSpy de nouveau pour s'assurer que toutes les infections ont disparu.
  • Re-create Windows\Temp folder as it is being used by Windows for temporary storage when programms are executed. Re-créer dossier Windows \ Temp comme il est utilisé par Windows pour le stockage temporaire où sont exécutés programs.

It took one full day of work to get the PC (a Dell Lattitude Laptop) back to normal. Il a fallu une journée entière de travail pour obtenir le PC (un ordinateur portable Dell Lattitude) retour à la normale.