Rootkity.
Ak chcete pomerne ľahko odstrániť rootkity ručne,preštudujte tento návod.
Postup Windows XP.
1:Stlačme kláves s logom Windows + R
2:Napísať MSConfig, klikneme záložku Boot.ini,zaškrtneme /BOOTLOG.
3:Klikneme na gombík,Pouzit,ok,reštartovať počítač.
4:Po reštartu PC do Windows sa vytvorí C:\windows\ntbtlog.txt.
5:Nájdeme a otvoríme Ntbtlog.txt.
Windows7
1. Spustite počítač.
2. Pri štartovaní počítača stlačte a podržte stlačený kláves F8.Kláves F8 musíte stlačiť predtým,než sa zjaví logo systému Windows.
3. Na obrazovke vyberte pomocou klávesov so šípkami položku Povolenie zapisovania pri spúšťaní
a stlačte kláves ENTER.
4:Táto voľba je rovnaká ako normále spúšťať Windows, okrem toho,že Windows 7 Vytvorí súbor ntbtlog.txt,v ktorom sú uvedené všetky ovládače nainštalované pri spustení systému.
Diagnostika:
1:Nájdeme a otvoríme textový súbor C:\windows\ntbtlog.txt.
2:Hľadáme súbory náhodne vygenerovanými nezvyčajnými názvami,v našom prípade pre skúšku to bude
ovládač C:\WINDOWS\system32\drivers\uaxcdagbtpre.sys.
3:Otvoríme prehliadač a do okna Hľadať napíšeme názov ovládača,uaxcdagbtpre.sys a dáme hľadať.
4:Ak prehliadač nič nenájde,to znamená že Rootkita môžeme kľudne zmazať.
5:Ak spustíme program GMER.
ukáže nám tento nalez:
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\drivers\uaxcdagbtpre.sys (*** hidden *** ) <-- ROOTKIT !!!
Odstránenie:
1:Prihlásime sa pod účtom administrátora,správcu.
Windows xp:
a:)Zapneme zobrazovanie skrytých súborov.
b:)Otvoríme príkazový riadok.
c:)Stlačíte Kláves s logom Windows + R
d:)Napíšte CMD a potom stlačte kláves ENTER.
e:)Windows 7,pravý klik na CMD a spustite ako správca.
1:Zadáme nasledujúce príkaz:
cacls c:\windows\system32\drivers\uaxcdagbtpre.sys /d everyone
2:Stlačíme [enter]
3:Týmto príkazom dezaktivujeme Rootkita, /d everyone,odoberie Rootkitu všetky pravá.
4:Rootkit sa uz nebude skrývať,nebude mat žiadne práva, a nebude ani skrývať svoje služobníctvo,tj:)Odkryje svoje knižnice.
5:Spustíme diagnosticky program RSIT,uvidíme zaujímave súbory:
Rootkit ovládač:
c:\windows\system32\drivers\uaxcdagbtpre.sys
Knižnice:
c:\windows\system32\uaxciblhtprtl.dll
c:\windows\system32\uaxciimecxnkp.dll
Teraz môžeme kľudne zmazať:
1:Zmažeme ich ručne.
2:Alebo použijeme príkazový riadok:
DEL /F /Q /A "c:\windows\system32\drivers\uaxcdagbtpre.sys"
DEL /F /Q /A "c:\windows\system32\uaxciblhtprtl.dll "
DEL /F /Q /A "c:\windows\system32\uaxciimecxnkp.dll"
Spustíme programy:
1:GMER MBR
2:Malwarebytes.
3:TDSS Killer.
Poznámka:
Ak omylom sme odobrali práva legálnemu systémovému súboru,napr:)explorer.exe,môžeme vrátiť práva nasledujúcim príkazom.
cacls C:\Windows\explorer.exe /E /T /C /G System:F everyone:R Administrators:F
Veľa šťastia!!!
