-
Junior Member
- Вес репутации
- 53
Rootkit.Win32.Agent.aaba (cwsfkwdh.sys)
Здравствуйте!
На компьютер со всеми обновлениями от MS и обновляемым антивирусом DrWeb залезло много вирусов.
Сначала был File Downloader с окном на пол экрана и предложением отправить смс, его я победил удалив не помню какой .sys файл из system32\drivers\.
Потом был siszyd32.exe. Его победил AVZ отложенным удалением этого файла. После этого система перестала загружаться (SafeMode тоже), вываливался синий экран о обращении к неверной странице или что-то вроде того.
С livecd запустил восстановление системы Windows, выбрал дату несколько дней назад. После перезагрузки система загрузилась, но выдала ошибку о том что восстановление не удалось.
Теперь при загрузке выпадает сообщение с ошибкой от службы печати, ругается на spool-чего-то. Служба печати недоступна.
AVPTool нашел:
Trojan-Spy.Win32.BZub.hqx C:\WINDOWS\system32\winsrv.exe --- это он вылечил.
и
Rootkit.Win32.Agent.aaba C:\WINDOWS\system32\drivers\cwsfkwdh.sys --- вот с ним сейчас проблемы. AVPTool предложил его удалить, я согласился. AVP сказал что удалил и перезагрузился.
После перезагрузки опять таже ошибка с печатью, и ошибки при запуске других приложений. AVP опять находит Rootkit.Win32.Agent.aaba.
Надеюсь на помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы отключить.
Выполните скрипт в avz
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('d2d5436');
QuarantineFile('C:\WINDOWS\system32\Drivers\cwsfkwdh.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\cwsfkwdh.sys');
DeleteFile('C:\WINDOWS\System32\drivers\d2d5436.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=40118
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Восстановление системы отключил.
Скрипт выполнился без ошибок.
После перезагрузки синий экран PAGE_FAULT_IN_NONPAGED_AREA.
Еще перезагрузка в обычном режиме, на этот раз удачно.
Снова ошибка spoolsv.exe, принтеров нет.
В карантине нет файлов, хотя папки созданы.
Сделал новые логи.
AVPTool всё еще видит Rootkit.Win32.Agent.aaba C:\WINDOWS\system32\drivers\cwsfkwdh.sys
Последний раз редактировалось ant0n; 15.12.2009 в 20:06.
Причина: Добавил результат AVPTool
-
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
Код:
08o8g937.exe -del service cwsfkwdh
08o8g937.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cwsfkwdh"
08o8g937.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cwsfkwdh"
08o8g937.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cwsfkwdh"
08o8g937.exe -reboot
Сделайте новый лог gmer.
-
-
Junior Member
- Вес репутации
- 53
Во время работы скрипта выводились ошибки "Gmer. DeleteKey: не найден указанный модуль" (то же для DeleteService). По окончании в gmer было написано что скрипт выполнился успешно.
Вирус на месте.
Новый лог сделал.
Последний раз редактировалось ant0n; 16.12.2009 в 16:23.
Причина: Поправил сообщение об ошибке которую выдавал gmer
-
Junior Member
- Вес репутации
- 53
Загрузивишись с livecd удалил
Код:
C:\WINDOWS\system32\drivers\cwsfkwdh.sys
(этот файл я сохранил, если надо могу выслать)
и из реестра
Код:
HKLM\SYSTEM\ControlSet003\Services\cwsfkwdh
HKLM\SYSTEM\ControlSet002\Services\cwsfkwdh
HKLM\SYSTEM\ControlSet001\Services\cwsfkwdh
AVPTool и GMER проблем вроде не видят, но при попытке печати на принтере возникает ошибка и служба отваливается. Восстановление файлов с помощью
не помогло. Иногда, после ручных перезапусков службы можно напечатать несколько страниц. Можно это как-то исправить?
-
Сообщение от
ant0n
(этот файл я сохранил, если надо могу выслать)
Загрузите в zip-архиве с паролем virus через ссылку Прислать запрошенный карантин вверху этой темы.
Установите надежные пароли на учетные записи пользователей с правами администратора.
-