Показано с 1 по 7 из 7.

Rootkit.Win32.Agent.aaba (cwsfkwdh.sys) (заявка № 63811)

  1. #1
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    30
    Вес репутации
    53

    Exclamation Rootkit.Win32.Agent.aaba (cwsfkwdh.sys)

    Здравствуйте!

    На компьютер со всеми обновлениями от MS и обновляемым антивирусом DrWeb залезло много вирусов.
    Сначала был File Downloader с окном на пол экрана и предложением отправить смс, его я победил удалив не помню какой .sys файл из system32\drivers\.

    Потом был siszyd32.exe. Его победил AVZ отложенным удалением этого файла. После этого система перестала загружаться (SafeMode тоже), вываливался синий экран о обращении к неверной странице или что-то вроде того.

    С livecd запустил восстановление системы Windows, выбрал дату несколько дней назад. После перезагрузки система загрузилась, но выдала ошибку о том что восстановление не удалось.

    Теперь при загрузке выпадает сообщение с ошибкой от службы печати, ругается на spool-чего-то. Служба печати недоступна.

    AVPTool нашел:
    Trojan-Spy.Win32.BZub.hqx C:\WINDOWS\system32\winsrv.exe --- это он вылечил.

    и

    Rootkit.Win32.Agent.aaba C:\WINDOWS\system32\drivers\cwsfkwdh.sys --- вот с ним сейчас проблемы. AVPTool предложил его удалить, я согласился. AVP сказал что удалил и перезагрузился.

    После перезагрузки опять таже ошибка с печатью, и ошибки при запуске других приложений. AVP опять находит Rootkit.Win32.Agent.aaba.

    Надеюсь на помощь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Восстановление системы отключить.

    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('d2d5436');
     QuarantineFile('C:\WINDOWS\system32\Drivers\cwsfkwdh.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\cwsfkwdh.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\d2d5436.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте еще такой лог:
    http://virusinfo.info/showthread.php?t=40118


    Сделайте новые логи.

  4. #3
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    30
    Вес репутации
    53
    Восстановление системы отключил.
    Скрипт выполнился без ошибок.
    После перезагрузки синий экран PAGE_FAULT_IN_NONPAGED_AREA.
    Еще перезагрузка в обычном режиме, на этот раз удачно.

    Снова ошибка spoolsv.exe, принтеров нет.

    В карантине нет файлов, хотя папки созданы.

    Сделал новые логи.

    AVPTool всё еще видит Rootkit.Win32.Agent.aaba C:\WINDOWS\system32\drivers\cwsfkwdh.sys
    Последний раз редактировалось ant0n; 15.12.2009 в 20:06. Причина: Добавил результат AVPTool

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
    Код:
    08o8g937.exe -del service cwsfkwdh
    08o8g937.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cwsfkwdh"
    08o8g937.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cwsfkwdh"
    08o8g937.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cwsfkwdh"
    08o8g937.exe -reboot
    Сделайте новый лог gmer.

  6. #5
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    30
    Вес репутации
    53
    Во время работы скрипта выводились ошибки "Gmer. DeleteKey: не найден указанный модуль" (то же для DeleteService). По окончании в gmer было написано что скрипт выполнился успешно.

    Вирус на месте.

    Новый лог сделал.
    Последний раз редактировалось ant0n; 16.12.2009 в 16:23. Причина: Поправил сообщение об ошибке которую выдавал gmer

  7. #6
    Junior Member Репутация
    Регистрация
    15.12.2009
    Сообщений
    30
    Вес репутации
    53
    Загрузивишись с livecd удалил
    Код:
    C:\WINDOWS\system32\drivers\cwsfkwdh.sys
    (этот файл я сохранил, если надо могу выслать)
    и из реестра
    Код:
    HKLM\SYSTEM\ControlSet003\Services\cwsfkwdh
    HKLM\SYSTEM\ControlSet002\Services\cwsfkwdh
    HKLM\SYSTEM\ControlSet001\Services\cwsfkwdh
    AVPTool и GMER проблем вроде не видят, но при попытке печати на принтере возникает ошибка и служба отваливается. Восстановление файлов с помощью
    Код:
    sfc \scannow
    не помогло. Иногда, после ручных перезапусков службы можно напечатать несколько страниц. Можно это как-то исправить?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от ant0n Посмотреть сообщение
    (этот файл я сохранил, если надо могу выслать)
    Загрузите в zip-архиве с паролем virus через ссылку Прислать запрошенный карантин вверху этой темы.
    Установите надежные пароли на учетные записи пользователей с правами администратора.

  • Уважаемый(ая) ant0n, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 22.12.2009, 23:11
    2. Ответов: 9
      Последнее сообщение: 19.12.2009, 14:52
    3. Ответов: 11
      Последнее сообщение: 22.02.2009, 02:51
    4. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:43
    5. Rootkit.win32.Agent.jp Trojan-Downloader.Win32.Agent.acl
      От clyde в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00580 seconds with 17 queries