Addendum: The story below is somewhat dated….today I would use SDFix and the Microsoft Malicious Software Removal Tool to remove a rootkit infection.付録:この記事の下やや日付は...私は、ルートキットの感染の削除にSDFix および Microsoft 悪意のあるソフトウェアの削除ツールを使用します。今日。
At my work, had to repair WindowsXP machine infected with variant of the Win32/cutwail rootkit virus (among several others, as it turned out).私の仕事では、 WindowsXPマシンのルートキットWin32/cutwailウイルスの変種にいくつかの他の(後で分かったことだが)の間で感染を修復しなければならなかった。 First noticed the PC in my role as system administrator, because of increased network traffic which is to be expected, as this is a Trojan that sends mass-mail.として、これはトロイの木馬は、大量にメールを送信したことが予想される最初のネットワークトラフィックの増加のため、システム管理者には、私の役割で、パソコンに気づいた。
Running CA online virus scan detects the problem but is unable to remove the infection.カリフォルニアオンラインでウイルススキャンを実行しているが、感染症を削除することはできませんされている問題を検出します。 Repeated scans (after reboot) report the file ip6fw.sys (win firewall driver) as infected.再起動を繰り返しスキャン( )の後( )感染したとしてファイアウォールのドライバを勝ち取るのファイルip6fw.sys報告してください。 So upon boot the PC re-infects itself again.Also notice that the Win Firewall is turned off and can not be enabled.そのためには、 PCを再起動自体again.Also勝つことに注意してオフになっているファイアウォールや感染を有効にすることはできません。 Trying to enable the Windows Firewall returns “Firewall can not be started because of unknown error”. "ファイアウォールの未知のエラーのため、起動できないWindowsファイアウォールのリターンを有効にする"しようとしている。 Followed these instructions to get the Firewall to work again.これらの手順は、ファイアウォール、再び仕事に入手してください。
Next noticed that upon boot the message “Cannot lock volume for direct access” is returned from chkdsk when it tries to run.次は、ブート時のメッセージ" " chkdskのから返されるときに実行しようとするとダイレクトアクセスのボリュームをロックできないことに気づいた。 Microsoft has a KB out that describes the issue but states that installing the latest service pack should help.マイクロソフトでは、 外の問題がキロバイトしている状態を記述することに役立つはずの最新のService Packをインストールする。 It does not.れていない。
Additionally the process “csrss.exe” hogs the CPU by using 80% of CPU time without any programs running on the PC which is probably a side effect of the Trojan infestation.またすべてのプログラムはおそらく、このトロイの木馬の侵入の副作用は、 PC上で実行せずCPU時間の80 %を使用して、プロセスを" csrss.exe "豚は、 CPU 。 Also machine runs multiple instance of iExplorer.exe that "come and go" when viewed in the task manager.また、マシンiExplorer.exeの複数のインスタンスは、 "行ったり来たりする"タスクマネージャで表示するときに実行されます。 Use Windows Boot CD in repair mode and perform chkdsk “manually”.使用してWindowsブートCDの修復モードで実行CHKDSKを"手動" 。 Notice that the files core.sys and cache.core.sys in the windows/system32/drivers/ directory have a file date from around the time of the PC’s virus infection.通知は、ファイルcore.sysとcache.core.sysのwindows/system32/drivers /ディレクトリには、 PCのウイルス感染症の頃からのファイルの日付がある。 So take a chance and delete the files using the repair console (gotta have aWinXP installation disk for that). Now upon normal boot the chkdsk utility works again(!) and goes thru a long process of checking the HD.ので、チャンスをつかむと、ファイルを削除(ちゃコンソールを使用して、修復が)は、 chkdskユーティリティを再度作品を正常に起動します。今すぐに( ! )とHDチェックの長いプロセスを通過するためaWinXPインストールディスクがある。 Install McAfee AV but when trying to run McAfee for virus scan, get “Blue Screen” with message “irql_not_less_or_equal”, meaning that a kernel mode app tried to access memory outside of its scope.マカフィーのAVが、インストール時にマカフィーウイルススキャンを実行しようとして、得る"というメッセージがブルースクリーン" "でのIRQL_NOT_LESS_OR_EQUAL "のことで、カーネルモードのアプリの範囲外のメモリにアクセスしようとしたことを意味します。 Next try to boot in safe mode (F8), but then the system hangs upon loading “agpCQ.sys”, a video device driver.次のセーフモード( F8キー)を起動するが、その後、システムの読み込み時に、ビデオデバイスドライバ" agpCQ.sys "ハングアップしてください。
Next boot from CD again and rename the offending device driver from “”agpCQ.sys” to “agpCQ.sy$”.もう一度から次のCDからブートデバイスドライバの名前を変更するには、不快な" " agpCQ.sys " " " $ agpCQ.syしてください。 Now Safe Boot works and the system does not fail with “irql_not_less_or_equal” anymore, BUT the system refuses to execute McAfee virus scan in safe mode…any attempt to run McAfee is simply ignored…looks like removal of the cutwail virus is tricky.So boot system in safe mode with networking, run CA online virus scan , which now finds two infected files that I remove.現在、セーフブート機能とシステム"のIRQL_NOT_LESS_OR_EQUAL "もうと、システムはこれに失敗することはありません...セーフモードでスキャンを実行するすべての試みマカフィーマカフィーウイルスを実行するために、単に無視され、拒否... cutwailウイルスの除去のようになってブートtricky.Soですネットワークをセーフモードでシステムは、カリフォルニアオンラインウイルスは 、 現在、私は、感染したファイルを検出削除する2つのスキャンを実行します。 Next boot in normal mode.次の通常モードで起動してみましょう。 Now McAfee finds a rootkit infection and removes it…good.マカフィーは、ルートキットの感染を検出すると良いが...削除されます。 But McAfee says that a reboot is required…and upon rebooting the system shuts down with “irql_not_less_or_equal” again (!).しかし、マカフィーは、再起動が必要です...と、システムを再起動時にダウンした"とのIRQL_NOT_LESS_OR_EQUAL "再び閉じる( ! ) 。 So it looks like the McAfee virus scanner causes the “irql_not_less_or_equal” blue screen when it tries to clean up the rootkit virus…ので、 McAfeeのウイルススキャナのように見えるときには、ルートキットのウイルスを一掃しようとすると、 "のIRQL_NOT_LESS_OR_EQUAL "ブルースクリーンが発生する...
So decide to boot normally into administrator account, then run CA online virus scan to temporarily deactivate the active cutwail rootkit virus, then run McAfee virus scanner.管理者のアカウントに正常に起動するので、その後に一時的には、マカフィーウイルススキャンを実行し、アクティブなcutwailルートキットのウイルススキャンを無効にカリフォルニアオンラインウイルスを実行することを決意する。 No go…still get “irql_not_less_or_equal” message with blue screen.いいえ...まだ"ブルースクリーンでのIRQL_NOT_LESS_OR_EQUAL "メッセージが表示される。 Ergo: McAfee virus scan driver causes blue screen when trying to clean PC, probably when trying to do the rootkit part of its cleanup routines.エルゴ:マカフィーウイルススキャンドライバーのブルースクリーンがきれいにしようとしているパソコンは、おそらくそのときにクリーンアップルーチンの部分をしようとしているルートキットの原因となる。
Next decide to download new virus scan utility: CounterSpy from Sunbelt Software. Run a full system scan with CounterSpy.次のページをダウンロードして新種のウイルスをスキャンするユーティリティを決める:対諜報サンベルトソフトウェアから実行してシステム全体の対諜報をスキャンしてください。 It detects several threads but is unable to clean system.それが、システムをきれいにすることはできませんが、いくつかのスレッドを検出します。
Next download F-Secure Rootkit removal tool Blacklight-Beta .次のページをダウンロードしてルートキット駆除ツールのF - Secureブラックライトのベータ版 。 It finds the hidden process iExplore.exe in the c:\Program Files\Internet Explorer directory.これは、 C言語では、隠しプロセスiExplore.exe : \プログラムファイル\ Internet Explorerのディレクトリを検索します。 This file is locked so the only way to rename it is to rename the directory that contains the file, thereby blocking access to it.ので、このファイルは、ファイルが含まれているディレクトリの名前を変更しているの名前を変更する唯一の方法、それへのアクセスをブロックロックされている。 After that, the file unlocks and can be renamed.その後、ファイルをロック解除の名前を変更することができます。
The key to finally cleaning up the system is to delete the Windows\Temp directory.最終的にシステムを洗浄するキーは、 Windows \ Tempディレクトリを削除することです。 Notice that this directory contains a lot of suspisiously named files that can not be removed during normal operation, so use the Repair Console to do this.注意点は、このディレクトリsuspisiouslyという名前のファイルは、通常の操作中に削除することはできませんが多く含まれていますので、これを行うには、修復コンソールを使用しています。 After deleting the Temp direcory do not forge to create a new (empty) Windows\Temp directory or Windows will not work correctly. Windowsは新しい(空の偽造を作成していない気温direcory削除)した後\ TempディレクトリまたはWindowsが正常に動作しません。
So in summary this worked:だから、この仕事の概要:
- re-instate windows firewall …this was probably deactivated by the Trojan-Proxy.Win32.Xorpix backdoor virus found by CounterSpy Windowsファイアウォールの再任命する... ...これはおそらく、このトロイの木馬、ウイルス対諜報Proxy.Win32.Xorpixバックによって発見によって無効にされた
- manually delete core.sys and core.cache.sys in the system32 directory using the Windows Repair console to get chkdsk to work again system32ディレクトリにコンソールを手動で再び仕事にchkdskを取得するには、 Windowsの修復を使用してcore.sysとcore.cache.sys削除
- rename offending agpCQ.sys to be able to do a safe boot (F8 key)怒らagpCQ.sys名前の変更を安全な起動( F8キー)を行うことができて
- rename folder that contains iExplore.exe (gotta do this in Safe Mode from Command prompt, else folder is locked) to prevent multiple instance of iExplore.exe that eat up processor timeそのiExplore.exe (ちゃが含まれてフォルダの名前を変更セーフモードでプロンプトで、他のフォルダをコマンドからロックされている)は、時間のプロセッサを食べるIexplore.exeの複数のインスタンスを防ぐためにこれを行う
- In Safe Mode with Command Prompt, delete \Windows\Temp\ folder.セーフモードとコマンドプロンプトで、削除\ Windowsの\気温\フォルダにコピーします。 This folder contains Rootkit Win32.Agent.eq virus which is detected by CounerSpy but NOT removed.このフォルダはCounerSpyが削除されないでウイルスが検出されたルートキットWin32.Agent.eq含まれています。
- Boot normally and run CounterSpy again to make sure all infections are gone.ブートは通常と逆スパイを再度実行するすべての感染症はなくなっていることを確認します。
- Re-create Windows\Temp folder as it is being used by Windows for temporary storage when programms are executed. Windowsの再作成\ Tempフォルダに一時記憶programms実行されるときには、 Windowsで使用されています。
It took one full day of work to get the PC (a Dell Lattitude Laptop) back to normal.それは、 PC ( Lattitude Dellのラップトップ)を正常にする作業の1つの丸一日かかった。
