Здравствуйте админ, к вам вопрос: Как удалить руткиты? Подозреваю, что у меня в операционной системе завелись подобные зверьки. Месяц назад установил Windows со всеми программами и работал всё это время без антивируса, всё выбирал, какой установить, платный или бесплатный.
Короче два месяца обходился тем, что периодически сканировал систему бесплатными антивирусными утилитами Dr.Web CureIt и Kaspersky Virus Removal Tool, а теперь вот не могу их запустить, выходят ошибки при запуске. Мало того, теперь антивирусник Касперского не устанавливается, компьютер зависает на половине установки и выходит критическая ошибка, далее синий экран. А вчера провайдер и вовсе отключил мне интернет, сказал, что мой компьютер рассылает спам. Вот такие дела!
Примечание : реальный пример вредоносной активности руткита маскирующего работу сетевого червя.
На форумах говорят, что если в системе находится руткит, то такую гадость может проделать он. Ему же нужно скрыть деятельность определённой вредоносной программы, которую сразу обнаружит антивирусный сканер или установленный антивирус. Какой программой можно удалить руткит или проще переустановить Windows?
Лучшая программа: Malwarebytes’ Anti-Malware для удаления вируса Восстановление FPS.
В интернете советуют много чего, непонятно что и выбрать. Например снять жёсткий диск, подключить к другому компьютеру и просканировать его хорошим антивирусом , но у меня только один компьютер (ноутбук). Ещё советуют проверить систему утилитой RootkitRevealer, но она вроде не работает с Windows 7.
Как удалить руткиты
- Друзья, открою Вам секрет, в настоящее время с руткитами идёт настоящая война, просто это не афишируется и если вам посчастливится словить серьёзный и только что написанный руткит, справиться с ним будет очень нелегко даже профессионалу. Поэтому, не забывайте создавать бэкапы операционной системы и не отключайте никогда восстановление системы. Устанавливайте только 64-разрядные Windows 7 или Windows 8, так как в 64-битной операционной системе руткиту сложнее закрепиться.
Что из себя представляет руткит? Руткит – это программа, маскирующая нахождение в операционной системе других вредоносных программ и всё, что относится к ним (процессы, ключи в реестре и так далее), происходит это путём перехвата и модификации низкоуровневых API-функций. Ну а работающая в нашей системе вредоносная программа может сделать много плохих дел, например ваш компьютер станет частью «ботнета» —компьютерной сети, состоящей из большого количества заражённых компьютеров. Злоумышленники могут использовать ресурсы заражённых компьютеров по своему усмотрению (рассылать спам, участвовать в DDoS-атаке на определённые сайты и так далее). Это скорее всего и произошло с компьютером нашего читателя.
Как удалить руткиты при помощи антивирусного диска
По моему мнению, очень хорошее оружие от руткитов, да и вообще от всех вирусов, это антивирусный диск. В первую очередь можно использовать антивирусный диск от Microsoft — Windows Defender Offline,
Руткиты. Внедрение в операционную систему.
он специально заточен для поиска и удаления руткитов и практически всех существующих вредоносных программ. Ещё бы я посоветовал антивирусный диск Kaspersky Rescue Disk от «Лаборатории Касперского».
Дело в том, что когда вы загружаете ваш компьютер с антивирусного диска и проверяете им заражённую систему, вредоносные программы никак не могут этому воспрепятствовать, так как Windows в это время находится в нерабочем состоянии и соответственно все вирусные, файлы, находящиеся в системе, видны как на ладони, а значит легче обнаруживаются и нейтрализуются.
Как скачать данные антивирусные диски в виде образа, прожечь на болванку, загрузить с них компьютер и удалить руткиты, вы можете прочесть в наших пошаговых статьях, ссылки приведены выше.
Как удалить руткиты с помощью бесплатных антивирусных утилит
Очень эффективны в борьбе с руткитами несколько бесплатных антивирусных утилит: TDSSKiller, Dr.Web, AVZ и GMER. Первая рассматриваемая нами утилита, это TDSSKiller от «Лаборатории Касперского», вторая Dr.Web CureIt и третья AVZ тоже от российских разработчиков антивирусных программ, четвёртая GMER.
Чтобы скачать TDSSKiller, идём по ссылке http://support.kaspersky.ru/5350?el=88446# , жмём «Как вылечить зараженную систему», нажимаем « Скачайте файл TDSSKiller.exe »
Запускаем его, можете обновить программу.
TDSSKiller обнаруживает нижеперечисленные подозрительные сервисы или файлы:
Скрытый сервис – скрытый ключ в реестре;
Заблокированный сервис – недоступный ключ в реестре;
Скрытый файл – скрытый файл на диске;
Заблокированный файл — файл на диске невозможно открыть обычным способом;
Подмененный файл — при чтении выходит подменное содержимое файла;
Rootkit.Win32.BackBoot.gen – возможно заражена загрузочная запись MBR.
Если у вас установлена программа Daemon tools, по окончании сканирования программа выдаст такое окно — Подозрительный объект, средняя опасность – Cервис: sptd.
Cервис: sptd является сервисом программы — эмулятора дисковода Daemon tools.
Чтобы точно убедиться в том, что обнаруженный файл не является руткитом или наоборот, скопируйте обнаруженные подозрительные объекты в карантин, выбрав действие Скопировать в карантин , файл при этом не удалится из системы.
Найти карантин можно здесь C:TDSSKiller_Quarantine
Затем открываем сайт VirusTotal.com , далее жмём Выберите файл, откроется проводник
Идём в карантин и выбираем файл для проверки. Открыть и Проверить.
Как видим, только одна антивирусная компания определила файл sptd.sys как вирус PAK_Generic.009.
Значит скорее всего данный файл вирусом не является и мы с вами это прекрасно знаем. В других, более спорных случаях, вы можете найти информацию в интернете или отправить файлы в Вирусную Лабораторию Касперского.
Как удалить руткиты с помощью утилиты Dr.Web CureIt
Утилиту Dr.Web CureIt скачиваем по этой ссылке http://www.freedrweb.com/cureit/ , продвигаемся вниз странички и жмём Скачайте бесплатно.
Скачать Dr.Web CureIt с функцией отправки статистики.
Отмечаем пункт «Я принимаю условия Лицензионного Соглашения» и жмём Продолжить.
Сохраняем и запускаем файл Dr.Web CureIt. Возникает окно «Запустить Dr.Web CureIt в режиме усиленной защиты, нажимаем «Отмена». В появившемся окне отмечаем пункт «Я согласен принять участие… Продолжить.
Выбрать объекты для проверки .
Отмечаем пункты Оперативная память и Руткиты и жмём Запустить проверку .
Если руткиты обнаружены не будут, советую вам отметить все пункты и проверить весь ваш компьютер на вирусы, лишним это не будет.
Как удалить руткиты с помощью утилиты AVZ
Хорошая и очень быстро работающая антивирусная утилита от Олега Зайцева, быстро найдёт и удалит различные SpyWare и руткиты в вашей операционной системе. Но предупреждаю Вас, программа работает жёстко и иногда может принять за вирус безобидный файл, поэтому перед применением AVZ, создайте точку восстановления системы. Если AVZ найдёт вредоносный файл, не торопитесь его удалять и прочтите все рекомендации из раздела Советы по лечению ПК http://z-oleg.com/secur/advice/
Переходим по ссылке http://z-oleg.com/secur/avz/download.php , нажимаем Скачать (8.4 Мб, базы от 30.01.2013).
Скачиваем архив программы и разархивируем его. После разархивации заходим в папку с программой и запускаем файл avz.exe .
Отмечаем для проверки диск с операционной системой, обычно C:, ещё отмечаем пункт Выполнить лечение , далее идём в Параметры поиска
и отмечаем пункт Детектировать перехватчики API и RooTkit и нажимаем Пуск , проверка началась.
Как удалить руткиты с помощью утилиты GMER
Утилита GMER применяется очень многими пользователями для борьбы с руткитами, утилита на английском, но мы с вами разберёмся. Также основываясь на личном опыте работы с программой, советую вам перед работой создать точку восстановления или сделать бэкап всей операционной системы, если GMER обнаружит серьёзную опасность, может вызвать огонь по своим или применить тактику выжженной земли.
Идём на сайт http://www.gmer.net/ , нажимаем Download.EXE
и скачиваем утилиту, если хотите, можете скачать её в архиве or ZIP archive: gmer.zip ( 369kB ). Не удивляйтесь, что при скачивании утилиты название у неё будет отличным от GMER , например p3f14z2c.exe, делается это специально, так как находящиеся в вашей системе руткиты могут распознать утилиту и вам не удастся её запустить.
Итак, скачали GMER и запускаем её. Сразу после запуска утилиты ваша операционная система зависнет на 5-10 секунд, происходит быстрое сканирование основных системных файлов и процессов.
Отмечаем для сканирования диск C: и нажимаем Scan , начнётся сканирование Windows на предмет нахождения руткитов. Если запустить GMER по умолчанию в режиме «Quick Scan» (быстрое сканирование), произойдёт сканирование основных системных файлов на диске с операционной системой, в первую очередь можете воспользоваться им.
Когда сканирование закончится, программа выдаст вам результат, если руткиты будут найдены, они будут отмечены красным шрифтом. Если вы захотите удалить какой-либо файл, щёлкните на нём правой мышью и выберите в появившемся меню нужное действие.
Источник: remontcompa.ru
Список бесплатного программного обеспечения Rootkit Remover для Windows
Anti-Malware
Вирус руткитов – это скрытый тип вредоносного ПО, который предназначен для того, чтобы скрыть существование определенных процессов или программ на вашем компьютере от обычных методов обнаружения, чтобы предоставить ему или другому вредоносному процессу привилегированный доступ к вашему компьютеру. , Иногда руткит может даже обмануть ваше антивирусное программное обеспечение и избежать его обнаружения. В такие моменты вам может понадобиться помощь специальных средств для удаления или удаления Rootkit.
Rootkit Remover
Вот список нескольких средств для удаления руткитов, большинство из которых мы уже рассмотрели на этом сайте.
Kaspersky TDSSKiller
«Лаборатория Касперского» разработала утилиту TDSSKiller для удаления вредоносных руткитов. Это один из лучших инструментов для борьбы с руткитами и может обнаруживать и удалять большинство руткитов.
Bitdefender Rootkit Remover
Средство удаления руткитов Bitdefender удаляет все известные руткиты. Это переносной инструмент, который можно запустить немедленно, без необходимости сначала загружаться в безопасном режиме, хотя для полной очистки может потребоваться перезагрузка.
McAfee Rootkit Remover
McAfee Rootkit Remover – это инструмент командной строки-look-alike, который можно использовать для обнаружения и удаления сложных руткитов и связанных вредоносных программ. Для запуска McAfee Rootkit Remover перейдите в папку, содержащую загруженный файл RootkitRemover.exe. Запустите инструмент от имени администратора для достижения наилучших результатов. Инструмент не имеет пользовательского интерфейса.
Malwarebtytes Anti-Rootkit
Malwarebytes Anti-Rootkit – это также автономный портативный инструмент, который поможет пользователям Windows обнаруживать и удалять самые вредоносные руткиты со своих компьютеров. После того, как вы загрузили инструмент, вам нужно будет извлечь содержимое zip-файла, и из папки запустите mbar.exe.
Утилита для удаления Sophos Rootkit
Утилита для удаления Sophos Rootkit сканирует, обнаруживает и удаляет любой руткит, который скрыт на вашем компьютере, с использованием передовой технологии обнаружения руткитов. Руткиты могут скрываться на компьютерах и оставаться незамеченными антивирусным программным обеспечением. Хотя новые руткиты могут быть защищены от заражения системы, любые руткиты, присутствующие до установки антивируса, могут никогда не быть обнаружены. Вы можете скачать это здесь. Этот инструмент требует установки.
Оши Unhooker
Oshi Unhooker – это бесплатный сканер руткитов, который сканирует и удаляет все скрытые руткиты с вашего компьютера. Просто запустите исполняемый файл и нажмите «Начать проверку». Всего одним щелчком мыши Oshi Unhooker может определить и удалить все руткиты, найденные на вашем ПК, и предотвратить их кражу или передачу вашей личной информации.
стой! Сканер руткитов aswMBR
стой! aswMBR – это бесплатный сканер руткитов, который сканирует TDL4/3, MBRoot (Sinowal), Whistler и другие руткиты.
Trend Micro RootkitBuster
Trend Micro RootkitBuster – это бесплатный портативный инструмент, который сканирует скрытые файлы, записи реестра, процессы, драйверы и основную загрузку. Trend Micro RootkitBuster может находить руткиты, проверяя основную загрузочную запись (MBR), файлы, записи реестра, исправления кода ядра, служебные хуки операционной системы, файловые потоки, драйверы, порты, процессы и службы.
Также ознакомьтесь с Детектором и извлечением руткитов GMER .
Сообщите нам, если мы пропустили упоминание о некоторых других бесплатных инструментах для удаления руткитов.
Вам нужно второе мнение о состоянии безопасности вашего компьютера? Вы можете проверить эти бесплатные автономные антивирусные сканеры по требованию для Windows. Если вы ищете бесплатное анти-исполняемое программное обеспечение для защиты вашего ПК с Windows от вредоносных программ, взгляните на VoodooShield.
Источник: techarks.ru
Лучшая программа от руткитов
Программы для обнаружения и удаления руткитов
Безопасности много не бывает. Я повторял эту фразу и буду повторять всегда. Но компьютерная безопасность состоит из множества различных параметров и рубежей, одно только их перечисление займет немало времени, не говоря уже о длинном списке программного и аппаратного обеспечения.
В этой статье я собрал несколько наиболее, на мой взгляд, эффективных утилит для обнаружения и удаления руткитов и прочей хитрой вирусни под Windows. Это далеко не полный список, а, скорее, он-лайновый резерв на всякий случай. Обычно я таскаю их все на дежурной флешке, но мало ли, вдруг где понадобится, а чудо-флешки под рукой не будет. Сразу предупреждаю, что это достаточно специфический инструментарий, поэтому если не уверены в своих силах или не знаете что это и зачем, то просто проходите мимо.
Скриншот программы RkUnhooker
RkUnhooker — самая мощная, на мой взгляд, программа для обнаружения руткитов и борьбы с другими вредоносными программами. Позволяет обнаружить и снять перехваты таблицы SDT и кода, показывает все скрытые драйвера, процессы и файлы.
Через RkUnhooker можно убивать файлы запущенных процессов, в том числе с перезаписью пустыми данными для предотвращения их повторного запуска, снимать дампы памяти процессов для анализа и многое другое. Хорошо защищается от внешнего воздействия и модификации своего файла. Русский язык в наличии. К сожалению, в настоящее время проект закрыт.
RkUnhooker 3.8.389.593 SR2
Скриншот программы GMER
GMER — еще одна неплохая утилита, имеет на борту такие инструменты, как мощный редактор реестра, показывающий скрытые ветки, редактор жесткого диска, просмотрщик и редактор секции автозапуска системы. Вместе с RkUnhooker получается отличная команда, дополняющая друг друга. GMER время от времени обновляется, так что самая последняя версия доступна по ссылке с офсайта.
GMER 2.1.18952
Скриншот программы Kernel Detective
Kernel Detective — интересная утилита от крякерской команды AT4RE. Находится в стадии разработки, поэтому иногда на некоторых компьютерах может выбить систему в «экран смерти». Список доступного инструментария можно посмотреть на вкладках. Kernel Detective взаимодействует с системой через свой драйвер, который очень не нравится некоторым антивирусам.
Но это ложная тревога, все проверено и абсолютно безопасно. Из недостатков хочу отметить полное отсутствие самозащиты, процесс Kernel Detective можно обнаружить простейшим поиском по заголовку окна, а затем автоматически его прибить.
Kernel Detective 1.4.1
Скриншот программы PowerTool
PowerTool — очень хороший инструмент, удачно объединяющий в себе функции предыдущих программ, а также расширяющие их новыми возможностями. Получился бы отличный инструмент, если бы не недостатки самозащиты. Но программа развивается, я уверен, что у этого проекта все еще впереди.
PowerTool 4.3
Скриншот программы Tuluka Kernel Inspector
Tuluka Kernel Inspector — сравнительно новая отечественная разработка. Эта утилита позволяет просматривать установленные системные хуки, изменения в SSDT, скрытые процессы, сервисы и драйвера, позволяет снимать дампы с процессов, в том числе и системных. Самозащита, к сожалению, полностью отсутствует.
Но если активного противодействия со стороны вредоносов нет, то Tuluka Kernel Inspector станет неплохим помощником при анализе зараженной системы. Русский язык в наличии. Последнюю версию можно скачать с офсайта.
Tuluka Kernel Inspector 1.0.394.77
Скриншот программы XueTr
XueTr — китайский антируткит. Задумка хорошая, но реализация, на мой взгляд, слабовата. Можно использовать как запасной или вспомогательный вариант, если все вышеперечисленное не дало результата. Последняя версия на офсайте.
Скриншот программы IceSword
IceSword — китайская поделка, одна из самых первых программ такого типа. Работоспособна только на старых системах до Windows 7. Это, впрочем, можно даже считать плюсом, ведь современные инструменты не рассчитаны на работу, например, в Windows 2000. Так что может однажды пригодиться не только для пополнения коллекции.
IceSword 1.22
Повторюсь, что это далеко не самая полная коллекция антируткитов. И надеюсь, что ни вам, ни мне не придется ими воспользоваться. Но, как поется в песне: «Мы мирные люди, но наш бронепоезд стоит на запасном пути».
Источник: www.manhunter.ru