Sikeres vírusirtás (autorun.INF), egy null ide

Ma belefutottam a szokásos jelenségbe: vírusirtó van, de nem frissít, a gép IP-t kap, pingelni lehet, FTP kapcsolat van, de a http blokkolva van, böngészők használhatatlanok. 

A partíciók gyökerei szokásos .exe kiterjesztésű fájloktól hemzsegnek.
Milyen jó, hogy korábban pont itt összeírtam a lehetőségeket, kicsit utánajárva az autorun.inf-típusú fertőzéseknek.
Eltávolítottam a kinyírt vírusirtót.
Immunizált pendrive mindig zsebben, rajta a Panda immunizáló programjával.
Szoftvert feltelepítettem, gépen az autorun funkciót letiltottam, újraindítás csökkentett módban.
Megnéztem, hogy melyik exe-re hivatkozott az autorun.inf fájl.
Ezután az autorun.inf fájlt töröltem a két partíció gyökeréből, majd kézzel létrehoztam a korábbi tanáccsal összhangban egy AUTORUN.INF könyvtárat.
Töröltem az összes .exe kiterjesztésű fájlt is a gyökérből (SHIFT+DEL-lel, hogy ne kerüljenek a Lomtárba).
Lomtárat kiürítettem mindkét partíción (Total Commander-rel, rejtett, rendszer fájlok megjelenítése nézetben, kézzel, hogy lássam, valóban eltűnik-e, ami benne van).
Ezután újraindítottam a gépet normál módban, és néztem a két partíció gyökerét, hogy visszatölti-e a vírus fájlokat.
Ebben az esetben az iménti erőfeszítések sikerrel jártak, nem kerültek vissza a fájlok.
Máskor ez nem ilyen egyszerű, mert módosított rendszerleíró adatbázis bejegyzéssel képes újra visszamásolni a fájlokat olyan rejtett helyről, ami előre meg lett határozva (pl. System Volume Information könyvtárból).
Itt most nem ez történt, bár azért megnéztem az automatikus indítást msconfig-gal, illetve a feladatkezelővel a futó folyamatokat.
Feltelepítettem a vírusirtót.
Szépen le is töltötte a frissítéseket, majd újraindítás után már a böngészők is feléledtek.
Most ennyi volt, sikerült.

-mono- vs. autorun.INF vírus: 1-0 Mosolygó arc

Advertisements

~ Szerző: monostori - 2009. október 9..

3 hozzászólás to “Sikeres vírusirtás (autorun.INF), egy null ide”

  1. Autorun for Windows: http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx 😉

  2. … mármint msconfig helyett.

  3. Köszi, hasznos utility.Itt ugye nem volt fent és leszedni sem lehetett volna, mert nem lehetett böngészőt használni.De immunizált pendrive-ra rá lehet tenni.Rá is fogom:)

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

 
%d blogger ezt kedveli: