Показано с 1 по 7 из 7.

Rootkit.Win32.Agent.aaba (cwsfkwdh.sys) (заявка № 63811)

  1. #1
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    30
    Вес репутации
    26

    Exclamation Rootkit.Win32.Agent.aaba (cwsfkwdh.sys)

    Здравствуйте!

    На компьютер со всеми обновлениями от MS и обновляемым антивирусом DrWeb залезло много вирусов.
    Сначала был File Downloader с окном на пол экрана и предложением отправить смс, его я победил удалив не помню какой .sys файл из system32\drivers\.

    Потом был siszyd32.exe. Его победил AVZ отложенным удалением этого файла. После этого система перестала загружаться (SafeMode тоже), вываливался синий экран о обращении к неверной странице или что-то вроде того.

    С livecd запустил восстановление системы Windows, выбрал дату несколько дней назад. После перезагрузки система загрузилась, но выдала ошибку о том что восстановление не удалось.

    Теперь при загрузке выпадает сообщение с ошибкой от службы печати, ругается на spool-чего-то. Служба печати недоступна.

    AVPTool нашел:
    Trojan-Spy.Win32.BZub.hqx C:\WINDOWS\system32\winsrv.exe --- это он вылечил.

    и

    Rootkit.Win32.Agent.aaba C:\WINDOWS\system32\drivers\cwsfkwdh.sys --- вот с ним сейчас проблемы. AVPTool предложил его удалить, я согласился. AVP сказал что удалил и перезагрузился.

    После перезагрузки опять таже ошибка с печатью, и ошибки при запуске других приложений. AVP опять находит Rootkit.Win32.Agent.aaba.

    Надеюсь на помощь.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Восстановление системы отключить.

    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('d2d5436');
     QuarantineFile('C:\WINDOWS\system32\Drivers\cwsfkwdh.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\cwsfkwdh.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\d2d5436.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте еще такой лог:
    http://virusinfo.info/showthread.php?t=40118


    Сделайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    30
    Вес репутации
    26
    Восстановление системы отключил.
    Скрипт выполнился без ошибок.
    После перезагрузки синий экран PAGE_FAULT_IN_NONPAGED_AREA.
    Еще перезагрузка в обычном режиме, на этот раз удачно.

    Снова ошибка spoolsv.exe, принтеров нет.

    В карантине нет файлов, хотя папки созданы.

    Сделал новые логи.

    AVPTool всё еще видит Rootkit.Win32.Agent.aaba C:\WINDOWS\system32\drivers\cwsfkwdh.sys
    Вложения Вложения
    Последний раз редактировалось ant0n; 15.12.2009 в 20:06. Причина: Добавил результат AVPTool

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
    Код:
    08o8g937.exe -del service cwsfkwdh
    08o8g937.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cwsfkwdh"
    08o8g937.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cwsfkwdh"
    08o8g937.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cwsfkwdh"
    08o8g937.exe -reboot
    Сделайте новый лог gmer.

  6. #5
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    30
    Вес репутации
    26
    Во время работы скрипта выводились ошибки "Gmer. DeleteKey: не найден указанный модуль" (то же для DeleteService). По окончании в gmer было написано что скрипт выполнился успешно.

    Вирус на месте.

    Новый лог сделал.
    Вложения Вложения
    • Тип файла: log gmer2.log (64.7 Кб, 4 просмотров)
    Последний раз редактировалось ant0n; 16.12.2009 в 16:23. Причина: Поправил сообщение об ошибке которую выдавал gmer

  7. #6
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    30
    Вес репутации
    26
    Загрузивишись с livecd удалил
    Код:
    C:\WINDOWS\system32\drivers\cwsfkwdh.sys
    (этот файл я сохранил, если надо могу выслать)
    и из реестра
    Код:
    HKLM\SYSTEM\ControlSet003\Services\cwsfkwdh
    HKLM\SYSTEM\ControlSet002\Services\cwsfkwdh
    HKLM\SYSTEM\ControlSet001\Services\cwsfkwdh
    AVPTool и GMER проблем вроде не видят, но при попытке печати на принтере возникает ошибка и служба отваливается. Восстановление файлов с помощью
    Код:
    sfc \scannow
    не помогло. Иногда, после ручных перезапусков службы можно напечатать несколько страниц. Можно это как-то исправить?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Цитата Сообщение от ant0n Посмотреть сообщение
    (этот файл я сохранил, если надо могу выслать)
    Загрузите в zip-архиве с паролем virus через ссылку Прислать запрошенный карантин вверху этой темы.
    Установите надежные пароли на учетные записи пользователей с правами администратора.

  • Уважаемый(ая) ant0n, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 22.12.2009, 23:11
    2. Ответов: 9
      Последнее сообщение: 19.12.2009, 14:52
    3. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    4. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    5. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
      От clyde в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00834 seconds with 21 queries