Innledning
Rootkits er skummelt og bli en større og større trussel mot våre datamaskiner hver dag. I det siste hvis våre datamaskiner ble infisert med et stykke malware, vi bare fjernet det og vi var ren av infeksjonen. Nå som rootkits er ofte sammen med annen malware, har denne renseprosessen blir enda vanskeligere å gjøre. Denne opplæringen vil dekke hvordan du bruker F-Secure Blacklight for å skanne datamaskinen for rootkits og hjelpe deg å fjerne dem
. Merk: Blacklight er planlagt å ikke være tilgjengelig forbi 1 juni 2006. Det er rykter skjønt at det kan bli utvidet .
Bruke Blacklight for å fjerne rootkits fra datamaskinen
Det første trinnet er å laste ned Blacklight. Du kan laste ned Blacklight direkte fra F-Secure nettside på denne linken:
Blacklight Download Link
Når du klikker på linken over vil du bli presentert med en melding som spør hva du ønsker å gjøre med filen. Jeg foreslår at du lagrer filen direkte til ditt skrivebord der vi vil kjøre det derfra. Når filen er lastet ned, vil du se et ikon som ligner på den i figur 1 nedenfor.
Figur 1. F-Secure Blacklight Ikon
Slik starter du programmet bare å dobbeltklikke på blbeta.exe ikonet, og du vil bli presentert med lisensavtalen som vist i figur 2 nedenfor.
Figur 2. F-Secure Blacklight-avtalen
Velg alternativet som er merket Jeg godtar avtalen Hotell og trykk deretter på Neste-knappen . Du vil nå bli presentert med et skjermbilde som ligner på det som er vist i figur 3 nedenfor.
Figur 3. Begynn skanningen
Til begynne å skanne datamaskinen for mulige rootkits, trykk på Scan-knappen. Blacklight vil nå begynne å skanne datamaskinen for eventuelle skjulte filer eller prosesser. Som det skanner prosesser og filer vil den oppdatere sin status for å reflektere hva det er skanning, og hvis den har funnet noen skjulte elementer som vist i figur 4 nedenfor.
Figur 4. Skanning systemet for rootkit
Når skanning er gjort, vil knappen Neste blir tilgjengelig, og du skal klikke på den. Hvis Blacklight ikke finne noen skjulte elementer vil du se et skjermbilde som viser at ingen skjulte gjenstander ble funnet. Deretter kan du trykke på Avslutt-knappen for å avslutte programmet som Blacklight ikke fant noen rootkits på datamaskinen din. Hvis på den annen side, Blacklight fant noen skjulte gjenstander, vil du bli presentert med et skjermbilde som ligner på figur 5 nedenfor viser en liste over de prosesser og filer skjult på datamaskinen din.
Figur 5. Rengjør rootkits funnet av Blacklight
I Rene skjulte elementer
skjermen, som vist i Figur 5 ovenfor, vil du se en liste over prosesser og programmer som er skjult på datamaskinen. Ved siden av hver fil er et ikon som angir type element det er. Disse typene er forklart i tabell 1 nedenfor.

Tabell 1. Ulike typer funnet objekter i Blacklight
Ikon Beskrivelse Dette ikonet representerer en fil som blir skjult. Dette ikonet representerer en prosess som blir skjult. Denne prosessen representerer en prosess og dens tilhørende filen som blir skjult. For å merke en bestemt fil eller en prosess som du ønsker å rengjøre, må du venstreklikke en gang på en post med musen, slik at det er uthevet, og trykk deretter på knappen Gi nytt navn. Når du gjør dette, vil handlingen endre fra None
til Endre navn
. Når du setter en fil til Endre navn
, du kan untag det ved å trykke på None knappen slik at ingen handling er utført på dette elementet.
Hvis du ønsker mer informasjon om oppføringen, kan du doble -klikk på det med musen. Dette vil få opp en liten skjerm som viser deg mer detaljert informasjon om filen eller prosess slik som plassering av filen, beskrivelsen informasjon, og selskapsinformasjon. Det er vanlig for beskrivelse og firmainformasjon til å være tom, så ikke vær bekymret hvis det er ingenting oppført der.
Det er viktig å merke seg at rootkits kan skjule legitime prosesser og filer. For eksempel rootkit i skjermbildet ovenfor skjuler Explorer.EXE og Winlogon.exe som begge er legitime Microsoft Windows filer og prosesser. Så når du velger filene du ønsker å endre navn må sørge for at du bare døpe malware filer som døpe feil filer kan føre til problemer med Windows-installasjonen. Når du har valgt alle filene du ønsker å endre navn, må du trykke på knappen Neste. En advarsel skjermen vil nå vise om at døpe legitime filer kan føre til at Windows ikke virker som det skal. Hvis du likevel ønsker å fortsette døpe filene, sette en hake i avkrysningsruten Jeg har forstått advarselen og ønsker å fortsette Hotell og trykk deretter på OK-knappen. Du skal da trykke på Start på nytt nå, og deretter på OK-knappen igjen for å starte datamaskinen på nytt og endre navn på enkelte filer

For avanserte brukere. Når Blacklight omdøper en fil den gjør dette ved å legge det til følgende register nøkkel: [HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Session Manager] " PendingFileRenameOperations "

Når Windows starter det sjekker dette registeret verdi og vil enten slette eller endre navn på filer som er oppført i denne verdien basert på instruksjonene. Dessverre er det noen malware som meningsmåling denne verdien, og når de finner noen data i det, fjerner denne verdien, slik at Windows ikke vil utføre den ønskede operasjonen ved oppstart. Når dette skjer, må du kanskje bruke alternative metoder for å fjerne rootkit eksempel en boot cd eller annen offline fjerningen.
Når datamaskinen starter på nytt vil det endre navn på filene med en .ren forlengelse. Fordi disse filene er ikke lenger lastes ved oppstart, vil de nå bli synlige, slik at du kan slette dem. For eksempel, hvis vi hadde omdøpt filene:
klgcptini.dat fux87.ini
De ville nå bli kåret:
klgcptini.dat.ren fux87.ini.ren
Så lenge disse filene er bekreftet som malware, kan du slette dem fra datamaskinen. Blacklight når den utfører en skanning vil opprette en loggfil i samme mappe som du kjørte programmet fra. Hvis du har fulgt trinnene i denne opplæringen, vil denne mappen være Windows-skrivebordet. Filnavnet til loggfilen vil starte med fsbl- fulgt av dataene og noen andre tall. Et eksempel er fsbl-20060518203951.log.
Når disse rootkit filene har blitt slettet, er det anbefales at du skanner datamaskinen med antivirus og en antispionprogramvare for å fjerne eventuelle leftover filer. De fleste av programmene nedenfor har en gratis prøve bruk som utløper etter en viss tid
Anerkjente antispionprogrammer er:
Ad-Aware [Tutorial] Spybot - Search and Destroy [Tutorial] SpySweeper
Anbefalt antimalware. og antivirus-programvare er:

AVG Antivirus (gratis versjon tilgjengelig for personlig bruk) Avast (gratis versjon tilgjengelig for personlig bruk) [Avast Tutorial] Panda Activescan (Gratis online antivirus skanner) Trendmicro Housecall (Gratis online antivirus skanner) Kaspersky Antivirus Nod32 Ewido antimalware
Konklusjon
Nå som du vet hvordan du bruker Blacklight du har et annet verktøy i arsenalet ditt i den voksende trusselen om rootkits. Som rootkits er nå ofte sammen med andre malware, hvis du blir smittet med en spyware, ormer eller annen malware, bør du kjøre dette programmet og la det se etter rootkits også. Hvis du har spørsmål om å gi nytt navn til og slette noen filer som er funnet selv, gjerne poste loggen fra skanningen som tema i vår Am jeg smittet? Hva gjør jeg? forum. Noen vil undersøke loggen og deretter fortelle deg hva som bør gjøres Anmeldelser - Lawrence Abrams piper Computer Advanced Internet Security Concept serien BleepingComputer.com. Computer Hjelp & Spyware fjerning