W32.Ramnit Eltávolító Program

Összefoglalás

Felfedezés ideje: 2010. Jan. 19.

Típus: Eltávolítási információ

A programot a W32.Ramnit fertőzés eltávolítására tervezték.

Hogyan töltsük le és futtassuk a W32.Ramnit eltávolító eszközt

Fontos: A „futtatás rendszergazdaként” opció választása esetén a kártevő nem kerül teljes eltávolításra. A program helyes működéséhez endszergazdaként kell bejelentkezni, valamint a gépre más felhasználó nem lehet bejelentkezve.

Megjegyzés hálózati adminisztrátorok számára: MS Exchange 2000 Szerver futtatása esetén azt javasoljuk, hogy az ellenőrzés alól vonjuk ki az M meghajtót, oly módon, hogy a programot parancssorból indítsuk az „exclude” kapcsoló használatával. További információ a Microsoft Tudásbázis alábbi cikkében található: Issues caused by a back up or a scan of the Exchange 2000 M drive

A program letöltéséhez és futtatásához a következő lépések szükségesek:

  • Töltse le az FxRamnit.exe programot, mely 32 és 64 bites számítógépeken is fut.

  • Mentse a fájlt egy megfelelő helyre, mint pl. a Windows asztal.

  • Ha ön biztos abban, hogy a programot a Symantec biztonsági oldaláról tölti le, akkor ezt a lépést kihagyhatja. Ha nem biztos benne, vagy ön hálózati adminisztrátor, akinek a programot telepítés előtt authentikálni kell, akkor hajtsa végre a Digitális Aláírás rész lépéseit, mielőtt a következő ponttal folytatná. A digitális aláírás szekció az eredeti dokumentumban olvasható:

http://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99

 

  • Zárjon be minden futó programot.

  • Ha Windows XP-t futtat, akkor kapcsolja ki a Rendszer Helyreállítás opciót. Ehhez a Windows dokumentációban talál segítséget.

  • Kattintson az FxRamnit.exe-re a program indításához.

  • Kattintson az „Elfogadom” gombra az EULA elfogadásához, majd a „Start” gombra a program indításához.

  • A program lefutása után egy üzenetet ír ki, ami a keletkezett naplófájl /FxRamnit.log/ elolvasására figyelmeztet. A naplófájl ugyanabban a mappában található, ahonnan a programot indítottuk.

  • Bizonyos esetekben a gép újraindítása szükséges a Ramnit minden példányának eltávolításához.

A Ramnit eltávolító program működésének részleteiről az eredeti cikkben olvashatunk.

http://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99

Kapcsolók

Hálózati adminisztrátorok a következő kapcsolókat használhatják:

  • Segítség megjelenítése: /HELP, /H, /?

  • Csendes mód engedélyezése: /SILENT, /S

  • Csendes mód engedélyezése esetén a gép újraindulásának megakadályozása: /NOSILENTREBOOT

  • Naplófájl létrehozása a [PATH NAME] mappában: /LOG=[PATH NAME]. Alapesetben a naplófájl abban a mappában keletkezik, ahonnan a programot indítottuk.

  • A csatlakoztatott hálózati meghajtók vizsgálata: /MAPPED . (A Symantec nem javasolja ennek a kapcsolónak a használatát.)

Hálózati meghajtók

Fontos megjegyezni, hogy a /MAPPED kapcsoló használata nem biztosítja a W32.Ramnit teljes eltávolítását a feltört távoli gépről. Ennek az az oka, hogy a hálózati meghajtók vizsgálatakor csak a csatlakoztatott mappák kerülnek ellenőrzésre, és ez nem feltétlenül a távoli gép összes mappája. Ez a helyzet azt eredményezheti, hogy az eszköz nem detektálja a távoli gépen lévő fertőzést. Ha a csatlakoztatott hálózati meghajtón a vírusfájl detektálásra került, a javítás akkor is meghiúsulhat, ha a távoli gép éppen használja a fájlt.

Windows Vista vagy Windows 7 számítógépeken a hálózati meghajtók vizsgálata meghiúsulhat, ha az eltávolító eszközt nem a rendszergazda futtatja, még akkor is, ha az adott felhasználó tagja a rendszergazdák csoportnak. Ezekben az esetekben a hálózati meghajtó az eszköz futtatása után nem csatlakoztatottnak látszik. További információ az alábbi Microsoft Tudásbázis cikkből nyerhető:

Programs may be unable to access some network locations after you turn on User Account Control in Windows Vista or newer operating systems

Azt javasoljuk, hogy futtassák az eltávolító eszközt minden számítógépen.