Добавление: История ниже некоторой от .... Сегодня я хотел бы использовать SDFix и Microsoft Средство удаления вредоносных программ для удаления руткит-инфекции.
На мою работу, пришлось ремонт WindowsXP машина инфицированных вариант Win32/cutwail руткит-вирусов (в том числе нескольких других, как выяснилось). Первым заметил PC в моей роли в качестве системного администратора, из-за увеличения трафика, который и следовало ожидать, так как это троянец, который передает масс-почты.
Запуск CA сети на наличие вирусов обнаруживает проблему, но не в состоянии устранить инфекцию. Повторное сканирование (после перезагрузки) сообщают файл ip6fw.sys (WIN брандмауэр водителя), как инфицированы. Поэтому при загрузке компьютера повторно инфицирует сам again.Also заметить, что Вин брандмауэр выключен и не может быть включен. Попытка включить брандмауэр Windows возвращает "Брандмауэр не может быть запущена из-за неизвестной ошибки". Затем эти инструкции для получения брандмауэра на работу снова.
Далее заметил, что при загрузке сообщение "Не удается заблокировать объем прямого доступа" возвращается из CHKDSK, когда он пытается запустить. Microsoft имеет KB, что описывается проблема, но заявляет, что при установке последней версии пакета обновлений должна помочь. Это не так.
Кроме того, процесс "Csrss.exe" свиней CPU с помощью 80% процессорного времени без каких-либо программ, запущенных на компьютере, который, вероятно, побочный эффект троянского вредителей. Кроме того, машина работает несколько экземпляра iexplorer.exe, что "приходят и уходят", если рассматривать в Task Manager. Использование загрузочного CD Windows в режиме ремонта и выполнить CHKDSK "вручную". Заметьте, что файлы core.sys и cache.core.sys в windows/system32/drivers / каталоге есть файл с даты во время ПК вирус инфекции. Поэтому принимать шанс и удалять файлы, используя ремонт консоли (надо иметь aWinXP установочный диск для этого). Теперь при нормальной загрузке CHKDSK Утилита работает снова (!) И проходит через долгий процесс проверки HD. Установить McAfee А.В., но при попытке запуска McAfee для сканирования вирусов, получают "голубой экран" с сообщением "IRQL_NOT_LESS_OR_EQUAL", что означает, что ядра в режиме зап попытке доступа к памяти за пределами сферы его применения. Далее попробуйте загрузиться в безопасном режиме (F8), но затем система зависает при загрузке "agpCQ.sys", видео драйвер устройства.
Далее загрузиться с CD и вновь переименовали нарушителя драйвер с "" agpCQ.sys "на" agpCQ.sy $ ". Теперь Safe Boot работает и система отнюдь не с "IRQL_NOT_LESS_OR_EQUAL" больше, но система отказывается выполнять McAfee на наличие вирусов в безопасном режиме ... любая попытка запустить McAfee просто проигнорировали ... выглядит как устранение cutwail вирус tricky.So загрузочный систему в безопасном режиме с загрузкой сети, запустите CA сети на наличие вирусов, которые в настоящее время находит две зараженные файлы, которые я удалить. Далее загрузиться в обычном режиме. Теперь McAfee считает, руткит-инфекции и удаляет его ... хорошо. Но McAfee говорит, что требуется перезагрузка ... и после перезагрузки система выключается с "IRQL_NOT_LESS_OR_EQUAL" еще раз (!). Так она выглядит McAfee антивирусные причин "IRQL_NOT_LESS_OR_EQUAL" голубой экран, когда он пытается очистить руткит вирус ...
Поэтому решение о загрузке, как правило, в учетной записи администратора, затем запустите CA сети на наличие вирусов временно отключить активную cutwail руткит вирус, запустите McAfee антивирусного сканера. Не идти ... еще получить "IRQL_NOT_LESS_OR_EQUAL" сообщение с голубым экраном. Ergo: McAfee наличие вирусов драйвер вызывает синий экран при попытке к чистой PC, вероятно, при попытке сделать руткит часть ее очистки подпрограмм.
Далее решите скачать новый вирус скан утилиты: CounterSpy из Sunbelt программного обеспечения. Выполнить полную проверку системы с CounterSpy. Он обнаружил несколько нитей, но не в чистую систему.
Далее загрузить F-Secure Rootkit Removal Tool Blacklight-Beta. Он считает, что скрытый процесс iexplore.exe в C: \ Program Files \ Internet Explorer каталоге. Данный файл заблокирован тем единственным способом, чтобы переименовать это для переименования каталога, который содержит файл, тем самым блокирует доступ к нему. После этого файл открывает и могут быть переименованы.
Ключ к наконец очистки системы заключается в том, чтобы удалить Windows \ Temp каталога. Отметим, что этот каталог содержит много suspisiously им файлы, которые не могут быть устранены в ходе нормальной эксплуатации, так что используйте Ремонт консоли сделать это. После удаления Temp direcory не установить, чтобы создать новый (пустой) Windows \ Temp или каталога Windows не будет работать корректно.
Так что в резюме этого работали:
- вновь вводить в брандмауэре Windows ... это был, вероятно отключается Trojan-Proxy.Win32.Xorpix бэкдор вирус обнаружен CounterSpy
- вручную удалить core.sys и core.cache.sys system32 в каталог с помощью консоли Windows Ремонт получить CHKDSK на работу опять
- переименовать нарушителя agpCQ.sys чтобы иметь возможность сделать безопасную загрузку (F8 ключ)
- переименуйте папку, которая содержит iexplore.exe (нужно делать это в безопасном режиме из командной строки, иначе папку заблокирован) для предотвращения нескольких экземплярах iexplore.exe, которые съедают процессорного времени
- В безопасном режиме с поддержкой командной строки, удалить \ Windows \ Temp \ папка. Эта папка содержит вирусы Win32.Agent.eq Rootkit, который выявляется на CounerSpy, но не удаляются.
- Загрузки и запуска, как правило, CounterSpy снова, чтобы убедиться, что все инфекции исчезли.
- Re создать Windows \ Temp папку, как оно используется в Windows для временного хранения, когда программы исполняются.
Он занимает один полный день работы, чтобы получить компьютер (ноутбук Dell Lattitude) вернуться к нормальной жизни.
