1. Pokusíme se soubor smazat ručně. Nejprve je ale třeba tento proces ukončit v Task Manageru - tedy Správci úloh:
Stiskneme najednou CTRL+ALT+DELETE, objeví se okno, klikneme na záložku procesy, kde najdeme jméno souboru, který nejde smazat; klikneme na něj pravým tl. a zvolíme ukončit proces.Poté by měl jít soubor normálně smazat.
2. Zkusit štěstí v nouzovém režimu; podle typu operačního systému držte při startu F8 nebo Ctrl a zvolit stav nouze. V tomto režimu je úspěšnost výmazu malware daleko vyšší než ve standardním, není totiž zavedena spousta driverů ani dll knihoven
3. Soubor se ale může stále objevovat, pokud máme spouštěnou i službu - pokud chceme nějakou zastavit, pak po cestě Start/Spustit/do okénka napsat services.msc, otevře se Správce služeb. Najdeme příslušnou službu, klikneme na ni pravým myšítkem, zvolíme vlastnosti, službu nejprve zastavíme a pak v typu spouštění nastavíme typ Zakázáno a pokusíme se dle bodu 1 a 2 soubor smazat:
4. Pokud selžou předchozí pokusy pomůžeme si např. utilitou Hijackthis.. Spustíme HJ Config/Misc Tools/Delete file on reboot - poté vybereme soubor který chceme smazat a restartujeme PC:
5. Pokud se ani v Hijackthisu nezadaří, pozveme si na pomoc Killbox:
6. Když na smazání odolné obludy nestačí Killbox, lze aplikovat Avenger; ; nyni ve verzi V2
na nějž naleznete podrobný návod ZDE
7. Dalším odstraňovačem je OTM:
8. Pokud se vám podaří vlastnit natolik tuhou potvoru, že si v systému zamkne registr či cestu, aplikujte Unlocker dle tohoto návodu
9. Pokud nelze smazat klíč v registrech nebo službu která nejde zafixovat v Hijackthis, máte dvě možnosti - buď natvrdo smazat soubor, který služba používá, jedním z postupů, uvedených výše. Pokud je totiž proces stále spuštěn, dáváte mu šanci se neustále starat o to, aby po smazání klíče okamžitě zapsal do registrů nový. Jakmile bude soubor natvrdo smazán po restartu, nejspíš naskočí chybová hláška o chybějícím souboru - můžeme jí v klidu ignorovat a zafixujeme klíč v HJT, který vede ke smazanému souboru; tím se zbavíme chybové hlášky při příštím restartu.
10.Mazani pomoci Konzole pro zotaveni je pravdepodobne nejucinnejsi a nejbrutalnejsi zpusob vymazu svinstva ve vasem stroji se nachazejicim. Ucinnost a brutalita je dana "praci s mrtvym systemem", ostatne kolega kozan se o tom rozepsal ve velmi povedenem navodu
Casto se stava, ze konzole pro zotaveni neni nainstalovana a ted co s tim?
Zcela urcite budete potrebovat ono instalacni CD Windows, o kterem se pise jiz v prechozim navode na aplikaci konzole, strcit jej do mechaniky a pak se jiz staci drzet nasledujiciho navodu:
Timto zpusobem mame tedy konzoli pro zotaveni nainstalovanu a muzeme napr. mazat svinstvo dle vyse uvedeneho navodu; mame vsak k dispozici i dalsi prikazy:Microsoft píše:Instalace Konzoly pro zotavení systému Windows do počítače s již nainstalovaným systémem Windows
1. Klepněte na tlačítko Start a na příkaz Spustit a pak do pole Otevřít zadejte příkaz písmeno jednotky CD-ROM:\i386\winnt32.exe /cmdcons, kde písmeno jednotky CD-ROM představuje písmeno přiřazené jednotce CD-ROM.
2. Klepněte na tlačítko OK, dokončete instalaci podle pokynů na obrazovce a pak restartujte počítač.
Poznámka: Chcete-li Konzolu pro zotavení použít pro instalaci, potřebujete heslo místního správce. U řadičů domény potřebujete heslo správce, které se používá v režimu obnovení adresářové služby.
Microsoft píše:
• Attrib
Změní atributy souboru nebo adresáře.
• Batch
Provede příkazy zadané v textovém souboru.
• Bootcfg
Slouží ke konfiguraci a obnovení spouštěcího souboru (boot.ini).
• Chdir (Cd)
Zobrazí název aktuálního adresáře nebo aktuální adresář změní.
• Chkdsk
Zkontroluje disk a zobrazí zprávu o stavu.
• Cls
Vymaže obrazovku.
• Copy
Zkopíruje jeden soubor do jiného umístění.
• Delete (Del)
Odstraní jeden nebo více souborů.
• Dir
Zobrazí seznam souborů a podadresářů, které adresář obsahuje.
• Disable
Zakáže systémovou službu nebo ovladač zařízení.
• Diskpart
Spravuje oddíly na pevných discích.
• Enable
Spustí nebo povolí systémovou službu nebo ovladač zařízení.
• Exit
Ukončí konzolu pro zotavení a restartuje počítač.
• Expand
Extrahuje soubor z komprimovaného souboru.
• Fixboot
Zapíše do systémového oddílu nový spouštěcí sektor oddílu.
• Fixmbr
Opraví hlavní spouštěcí záznam spouštěcího sektoru oddílu. (velmi pouzitelne v pripade infekce MBR Rootkitem!!!!)
• Format
Zformátuje disk.
• Help
Zobrazí seznam příkazů, které lze použít v konzole pro zotavení.
• Listsvc
Zobrazí seznam služeb a ovladačů, které jsou v počítači k dispozici.
• Logon
Umožní přihlášení k instalaci operačního systému Windows.
• Map
Zobrazí mapování písmen jednotky.
• Mkdir (Md)
Vytvoří adresář.
• More (Type)
Zobrazí textový soubor.
• Rename (Ren)
Přejmenuje jeden soubor.
• Rmdir (Rd)
Odstraní adresář.
• Set
Zobrazí a nastaví systémové proměnné.
• Systemroot
Nastaví aktuální adresář na kořenovou složku systému, ke které jste právě přihlášeni.
Chcete-li o jednotlivých příkazech zobrazit další informace, zadejte do konzoly pro zotavení název příkazu s parametrem /?.
Pri tvorbe tohoto dokumentu bylo vyuzito puvodniho konceptu, jehoz autorem byl Arcisit.
Přispějete na provoz fóra?