Rootkit Virus. Ένας κακός βραχνάς και πώς να τον αντιμετωπίσετε.


Rootkit Virus. Ένας κακός βραχνάς και πώς να τον αντιμετωπίσετε.

 

Χρόνια πολλά – Καλή χρονιά με αγάπη, υγεία, ευτυχία και πρόοδο.

 

Κάποιοι από εσάς αυτή τη στιγμή που διαβάζετε αυτό το άρθρο ίσως να έχετε ήδη πρόβλημα και να μην ξέρετε πώς θα το λύσετε. Οι υπόλοιποι απλά διαβάσετε για να ενημερωθείτε και να έχετε το νου σας.

Μέσα στις γιορτές «είχαμε θέμα» διότι κάποιοι επιτήδειοι αποφάσισαν να παίξουν με τα νεύρα και τους υπολογιστές του κόσμου. Μέρες γιορτινές καθώς ήταν «τι καλύτερο από το να δημιουργήσουμε αναστάτωση και πανικό» θα σκέφτηκαν υποθέτω. Και έτσι έκαναν.

 

Όσοι υπολογιστές προσβλήθηκαν από αυτό το rootkit κάθε φορά που χρησιμοποιούσαν το Google για να κάνουν μια αναζήτηση διαπίστωναν ότι σε όποιο αποτέλεσμα και αν πατούσαν ο browser τους έκανε ανακατεύθυνση στις διευθύνσεις 95P.COM και MEDIASHIFTING.COM

 

Φυσικά επειδή ο ιος είναι καινούριος κανένα antivirus δεν τον έπιανε όσο ενημερωμένο και αν ήταν.

 

Όμως ακόμα και αν γίνει χρήση των κατάλληλων εργαλείων για την αφαίρεση τους πολύ συχνά οι ρυθμίσεις εκκίνησης των Windows καταστρέφονται!

Έτσι, αμέσως μετά την αφαίρεση του ιού και την απαραίτητη επανεκκίνηση, στην οθόνη του υπολογιστή εμφανίζεται η γνωστή, αποκρουστική “μπλε οθόνη” (blue screen of death)

 

Έτσι θα πρέπει να σας δείξουμε τη δημιουργία εκ νέου των ρυθμίσεων εκκίνησης (bootloade records). Μιας και η επόμενη «λύση» είναι το format. Και, όσοι με διαβάζετε τακτικά, ξέρετε ήδη πολύ καλά, πόσο απεχθάνομαι το format και πόσο εναντίων αυτής της πρακτικής είμαι.

 

Εδώ θα πρέπει να κάνω μια απαραίτητη παρένθεση και να πω ότι οι χρήστες του Malwarebytes είχανε ακόμα μία έκπληξη. Στο τελευταίο update, η κωδικοποίηση των ελληνικών έγινε «μαλλιά κουβάρια» με αποτέλεσμα το πρόγραμμα να μην δουλεύει και να βγάζει ένα runtime error ‘383’.

 

Αρκετά όμως με την απαρίθμηση και την περιγραφή των προβλημάτων. Πάμε να τα λύσουμε ένα-ένα.

 

ΕΠΑΝΑΦΟΡΑ ΤΟΥ Malwarebytes: Καταρχήν θα πρέπει να κατεβάσετε μια σωστή έκδοση του προγράμματος π.χ. Malwarebytes 1.51.2 και να το ξανακάνετε εγκατάσταση (από «πάνω»). Επιλέξτε για γλώσσα Ελληνικά στην αρχή. Αν στην πορεία εμφανίσει το μήνυμα λάθους, αγνοήστε το και συνεχίστε την εγκατάσταση. Προσοχή στην τελευταία οθόνη της εγκατάστασης, ξετικάρετε την επιλογή της ενημέρωσης του προγράμματος.

Μόλις ανοίξετε το πρόγραμμα, στην ερώτηση για ενημέρωση της βάσης δεδομένων πατήστε ΟΧΙ. Ανοίξτε το πρόγραμμα και πηγαίνετε στην καρτέλα Ρυθμίσεις, και μετά Ρυθμίσεις ενημέρωσης. Εκεί ξετικάρετε όλες τις επιλογές. Κλείστε και ξανανοίξτε το πρόγραμμα. Τώρα μπορείτε να πατάτε ΝΑΙ στην ερώτηση για την ενημέρωση της βάσης άφοβα και να λειτουργείτε το πρόγραμμα κανονικά όπως κάνατε και παλιά. (σημείωση: αν κάτι πάει στραβά μπορείτε πάντα να ξανακάνετε τη διαδικασία από την αρχή.)

 

ΑΦΑΙΡΕΣΗ ΤΟΥ ROOTKIT 95P.COM

(πρόκειται για το Rootkit.ZeroAccess rootkit, ένα BackDoor Trojan.)

 

Προσοχή οι παρακάτω κινήσεις ενδέχεται να βλάψουν τον υπολογιστή σας, ή να χάσετε τη σύνδεση με το Internet. Προχώρησε μόνο αν είστε σίγουροι – με δική σας ευθύνη.

 

Κατεβάστε το πρόγραμμα ComboFix και το πρόγραμμα Security Check.

  1. Κλείστε όλους τους ανοιχτούς browsers και όλες τις ανοιχτές εφαρμογές.

  2. Κλείστε και απενεργοποιήστε εντελώς όλα τα anti virus και anti malware προγράμματα που έχετε εγκατεστημένα στον υπολογιστή σας. (το κάθε anti-virus/malware πρόγραμμα έχει ξεχωριστή επιλογή απενεργοποίησης, παρόλα αυτά σχεδόν όλες μοιάζουν μεταξύ τους, αν χρειάζεστε επιπλέον βοήθεια δείτε πως απενεργοποιω το antivirus – Αναζήτηση Google)

  3. Μην εγκαταστήσετε κανένα άλλο πρόγραμμα μέχρι να τελειώσει η διαδικασία.

  4. Κάντε διπλό αριστερό κλικ στο εικονίδιο ComboFix.exe και ακολουθήστε τα βήματα του οδηγού. Μην διακόψετε τη διαδικασία έως ότου εμφανιστεί η αναφορά C:\ComboFix.txt (κρατήστε κάπου την αναφορά αυτή, ίσως χρειαστεί να τη δείξετε σε κάποιον εξειδικευμένο τεχνικό ή να μας τη στείλετε στην PC-NEWS)

  5. Τρέξτε το SecurityCheck.exe και αποθηκεύεστε την αναφορά checkup.txt, αντίστοιχα.

 

Αν σας εμφανίσει μήνυμα λάθους στη Registry, κάντε επανεκκίνηση.

 

Εάν ως εδώ είναι όλα καλά, τώρα τρέξτε πρώτα το πρόγραμμα SAS_FixHosts.exe και μετά το TDSSKiller.exe.

 

Αν όμως ο υπολογιστής σας δεν ανοίγει και σας βγάζει μπλε οθόνη, τότε σημαίνει ότι έχει χαλάσει το bootrecord και θα πρέπει να bootάρετε από CD σε Windows Recovery Environment (περιβάλλον κονσόλας/εντολών) επιλέγοντας Repair από το CD των windows. (ή με τη χρήση ενός Windows ERD/MS DART disc αν έχετε).

 

Ανοίξτε το Command Prompt και πληκτρολογήστε πολύ προσεκτικά τις παρακάτω εντολές.

bootrec.exe /fixmbr

bootsect.exe /nt60 all /force

attrib -h -s C:\boot\BCD

del C:\boot\BCD

bcdedit /createstore c:\boot\bcd.temp

bcdedit.exe /store c:\boot\bcd.temp /create {bootmgr} /d “Windows Boot Manager”

bcdedit.exe /import c:\boot\bcd.temp

bcdedit.exe /set {bootmgr} device partition=C:

bcdedit.exe /timeout 10

attrib -h -s C:\boot\bcd.temp

del c:\boot\bcd.temp

bcdedit.exe /create /d “Windows 7″ /application osloader

 

Σε αυτό το σημείο, προσέξτε και σημειώστε το κείμενο-συμβολοσειρά που εμφανίζεται μέσα στις αγκύλες {……..}

Αντικαταστήστε τις αγκύλες με το συγκεκριμένο κείμενο καθώς πληκτρολογείτε τις παρακάτω εντολές.

bcdedit.exe /set {…..} device partition=C:

bcdedit.exe /set {…..} osdevice partition=C:

bcdedit.exe /set {…..} path \Windows\system32\winload.exe

bcdedit.exe /set {…..} systemroot \Windows

bcdedit.exe /displayorder {…..}

bcdedit.exe /default {…..}

 

Η παραπάνω διαδικασία διορθώνει το bootloader και ο υπολογιστής θα πρέπει να ξεκινήσει και πάλι κανονικά.

 

Εφόσον είναι όλα καλά Κατεβάστε και τρέξτε και το Download SUPERAntiSpyware FREE Edition, καθώς και το Dr.Web CureIt σε προηγμένη λειτουργεία (συμπληρωματικά)

 

Αν το πρόβλημα δεν λυθεί Επαναλάβετε το σκανάρισμα με τα Malwarebytes και SUPERAntiSpyware αφού πρώτα θα τα έχετε ενημερώσει.

 

Καλή επιτυχία

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *