10-07-2009, 12:16
|
|
|
חבר מתאריך: 04.02.09
הודעות: 212
|
|
סיכום תהליך של הסרת הוירוס hacktool rootkit
את הוירוס הזה גיליתי על מחשבים בדומיין שיש להם אנטי וירוס, ואף נמצאים בהרשאות משתמש מוגבל.
נורטון מודיע על קובץ sysdrv32.sys זדוני.
האופן בו הסרתי את הוירוס לא בהכרח יעבוד עבור כולם, אז אני מסיר כל אחריות מהרצ"ב.
אופן תהליך ההסרה:
1. ניתור הסרביס\ים עליו יושב הוירוס (דרך מנהל משימות \ GOOGLE )
2. בעזרת התוכנה process monitor מצאתי את קבצי הDLL שקשורים לתהליך הנ"ל.
3. העתקה של אותם DLL ממקור "נקי" (מחשב אחר ברשת \ אינטרנט) לאמצעי איחסון זמני.
4. כניסה לסייפ-מוד ומחיקה של קבצי הauto run, וקבצי ההפעלה של הוירוס, ומחיקה מהרג'סטרי של הופעות קבצי ההפעלה של הוירוס.
5. החלפה של קבצי הDLL דרך "מנהל קבצים" מחוץ לXP (לדוגמא: דוס) בקבצים הנקיים.
5. אתחול המחשב, בדיקה שהסרביסים של הוירוס לא מופיעים יותר במנהל המשימות.
5.sfc /scannow
6. וccleaner של הכונן והרג'סטרי.
|