-
specialista #5705 Ez a Win32/Mebroot.K trójai,másnéven Backdoor Sinowal egy rootkit.Még a nyáron rukkoltak elő ezzel a variánsal.Azota persze van frissebb változata is.A Nod heurisztikája ismeri,igy gyakorlatilag nulla az esélye annak,hogy egy ilyen ritka kártevő a Nod védelme mellet a rendszerbe kerüljön.
A merevlemez fö inditórekordjába(Master Boot Record)irja be magát.Ez a terület elég kényes összetevője a rendszernek.Sérülése esetén a Windows nem indítható,rosszabb esetben egyes particiók elérhetetlenné válhatnak.A virusirtó észlelni fogja a rootkitet az MBR-en,de akciót,törlés,megtisztitás nem fog végrehajtani.Egyrészt azért mert fut az operációs rendszer,(igen még csökkentett módban is),másrészt ha hozzá is férne még mindíg ott van a törlés,megtisztítással járó adatvesztés lehetősége.
Mivel a Mebroot a rendszer inditásakor még az operációs rendszer,és az ezután induló vírusvédelem előtt betölti a szükséges komponenseit,ezért el lehet felejteni a Csökkentett módot,a rendszervisszaállítás kikapcsolását és a már betöltődött operációs rendszer alatt végzett víruskeresést.
Három módszert tudok javasolni:
1.Javitókonzolon a FIXBOOT és FIXMBR parancsal új rendszerindító szektort és indító rekordot irni a merevlemezen.
2.A merevlemezt egy másik gépbe berakva,egy másik operácios rendszer alól elvégezni a viruskeresést.
3.Avira Rescue System.Egy cd lemezre kell kiírni és erről indítva a rendszert elvégezhető a virumentesítés.
Mivel nálam a tesztelés céljából felrakott rootkitek eltávolitása után a kék képernyős a Windows nem indítható üzenet borzolta a kedélyállapotomat,ezért előtte mindenképpen javaslom a C:meghajtón lévő fontos adatok biztonságba helyezését.
Megjegyzem még nem találkoztam olyan rootkittel,ami az Acronis True Image által elmentett partició visszatöltését túl élte volna.Ett tartom a legbiztonságosabb megoldásnak és a leggyorsabnak.Már ha valaki veszi a fáradságot és van biztonsági mentése a rendszerről.