Wirusy oraz rozwiązania

W sekcji tej znajdują się zalecenia dotyczące zwalczania szkodliwych programów, których nie można wyleczyć za pomocą produktów firmy Kaspersky Lab. Aby wyleczyć/usunąć szkodliwe programy, zmodyfikuj rejestr systemu lub użyj dodatkowego narzędzia. Jeżeli odnalezienie informacji nie zostanie zakończone pomyślnie czy też zalecenia, okażą się zbyt skomplikowane lub nieodpowiednie, wyślij zapytanie do działu pomocy technicznej za pośrednictwem formularza HelpDesk.

Jak wyleczyć komputer z Backdoor.Win32.Sinowal.deg
ID artykułu: 2727	Inne języki: Tłumaczenie pojawi się wkrótce:	35	10.11.2009 16:22	Wersja do druku

Dostępne jest narzędzie, które może wykryć i usunąć Backdoor.Win32.Sinowal.deg oraz niektóre jego modyfikacje nawet w przypadku aktywnego zakażenia.

Ta rodzina złośliwego oprogramowania ma ukryte zachowanie i przy użyciu standardowych metod nie może być wykryte na zainfekowanym komputerze. Zagrożenie to ukrywa zainfekowane obiekty “za” ich oryginalnymi kopiami.

Poza tym, główna część złośliwego programu (poziom sterownika jądra) nie występuje w systemie plików. Znajduje się ona w nie używanych obszarach poza ostatnią partycją twardego dysku. Ten złośliwy program do uruchomienia swojego sterownika nie używa systemu operacyjnego. Jego sterownik uruchamiany jest niezależnie, więc system operacyjny nie odczuwa jego obecności.

Mimo, że objawy są prawie nie widoczne mogą być bardzo szkodliwe dla użytkownika, złośliwy program należy do rodziny Backdoor.Win32.Sinowal i stanowi poważne zagrożenie dla użytkownika, ponieważ otwiera hakerom zdalny dostęp do zainfekowanego komputera.

Aby wykryć i usunąć Backdoor.Win32.Sinowal.deg z systemu:

Pobierz narzędzie antiboot.zip. Wypakuj pliki z archiwum, przy użyciu narzędzia (na przykład, WinZip).
Uruchom plik antiboot.exe.
Plik antiboot.exe uruchomiony na zainfekowanym komputerze wyświetli następujące wiadmości:
Wciśnij y when prompted to cure the system.

The utility will perform disinfection and prompt for a reboot:

Jeśli pojawi się zapytanie o wyleczenie systemu wciśnij y a następnie Enter aby uruchomić komputer ponownie.

Ze względu na specyfikę tego szkodliwego programu, jego usuwanie odbywa się w momencie ponownego uruchomienia komputera.
Możesz opóźnić restart komputera. Wówczas złośliwy program będzie nadal aktywny dopóki system operacyjny nie zostanie zrestartowany lub wyłączony (Start > Wyłącz > Uruchom ponownie). Komputer wyleczony zostanie po uruchomieniu.

Podczas uruchomienia na NIE zainfekowanym komputerze, narzędzie wyświetli komunikat No infected disks found.

Opcjonalne parametry wiersza poleceń narzędzia antiboot.exe:

-l <file_name>, gdzie file_name nazwą pliku raportu narzędzia.

Narzędzie generuje zrzuty boot sectora (MBR) z dysków zainfekowanych złośliwym programem.

Nazwy plików zrzutów to <file_name>.origmbrXX i <file_name>.curedmbrXX.

Pliki *. origmbrXX zawierają oryginalne kopie MBR (przed wyleczeniem).

Pliki *.curedmbrXX zawierają bieżące kopie MBR.

Numer XX zależy od zależy od lokalizacji dysku twardego na magistrali komputera.

–p <nazwa_foldera> - użyj go do utworzenia pliki zrzutu MBR z wszystkich dysków twardych.