Поиск руткитов в Касперском — что это, как отключить
Компьютерным вирусом можно назвать программу, которая скрытно работает и наносит вред всей системе или какой-то отдельной ее части. Каждый второй программист сталкивался с данной проблемой. Не осталось уже ни одного пользователя ПК, который не знал бы, что такое компьютерные вирусы.
Виды компьютерных вирусов:
- Черви. Это программы, которые захламляют систему путём постоянного размножения, копирования самих себя. Чем больше их в системе, тем медленнее она работает. Червь никак не может слиться с любой безопасной программой. Он существует в виде самостоятельного файла(ов).
- Троянские программы сливаются с безвредными и маскируются в них. Они не наносят никакого ущерба компьютеру, пока пользователь не запустит файл, в котором находится троян. Эти вирусы используются для удаления и изменения данных.
- Шпионские программы занимаются сбором информации. Их цель — обнаружить коды, пароли и передать тому, кто создал их и запустил в интернет, проще говоря — хозяину.
- Зомби-вирусы дают возможность хакеру контролировать заражённый компьютер. Пользователь может вообще не знать, что его ПК заражен и кто-то его использует.
- Блокирующие программы не дают возможности вообще войти в систему.
Что такое руткит?
Руткит – это одна или несколько программ, которые скрывают присутствие нежелательных приложений на компьютере, помогая злоумышленникам действовать незаметно. Он содержит в себе абсолютно весь набор функций вредоносного ПО. Поскольку это приложение зачастую находится глубоко в недрах системы, обнаружить его при помощи антивируса или других средств безопасности крайне сложно. Руткит — это набор программных средств, которые могут считывать сохранённые пароли, сканировать различные данные, а также отключать защиту ПК. Вдобавок, здесь есть функция бэкдора, это значит, что программа предоставляет хакеру возможность подключиться к компьютеру на расстоянии.
Другими словами, руткит – это приложение, которое отвечает за перехват системных функций. Для операционной системы Windows можно выделить такие популярные руткиты: TDSS, Necurs, Phanta, Alureon, Stoned, ZeroAccess.
Разновидности
Существует несколько вариантов этих вирусных программ. Их можно разделить на две категории: user-mode (пользовательские) и kernel-mode (руткиты уровня ядра). Утилиты первой категории имеют те же возможности, что и обычные приложения, которые можно запустить на устройстве. Они могут использовать память уже запущенных программ. Это наиболее популярный вариант. Руткиты второй категории находятся глубоко в системе и имеют полный доступ к компьютеру. Если такая программа установлена, то хакер может делать с атакованным устройством практически все, что хочет. Руткиты такого уровня гораздо сложнее создать, поэтому первая категория и пользуется большей популярностью. Но вирусную программу уровня ядра совсем непросто найти и удалить, и защита от компьютерных вирусов зачастую здесь абсолютно бессильна.
Существуют и другие, более редкие варианты руткитов. Называют эти программы буткитами. Суть их работы заключается в том, что они получают контроль над устройством задолго до запуска системы. Совсем недавно были созданы руткиты, атакующие Android-смартфоны. Хакерские технологии развиваются так же, как лецинзионное ПО — идут в ногу со временем.
Bitdefender Rootkit Remover
Простой в использовании антируткит (стартует по одному клику мышки). Разработан компанией Bitdefender’s LABS. Распознаёт множество актуальных угроз: TDL/SST/Pihar, Plite, Fips, MBR Locker, Ponreb, Mebroot и др. Является портативным приложением (не требует инсталляции). Молниеносно выполняет проверку. В каждом релизе утилиты обновляется и расширяется база зловредов.
Чтобы воспользоваться Rootkit Remover, выполните нижерасположенную инструкцию:
1. Откройте страницу для загрузки утилиты — abs.bitdefender.com/projects/rootkit-remover/rootkit-remover/ (офсайт разработчика).
2. Выберите дистрибутив, согласно разрядности установленной Windows (x86 или x64): щёлкните по соответствующей ссылке.
Совет!
Узнать тип ОС можно в Панели управления: Система и безопасность → Система.
3. Запустите загруженный исполняемый файл от имени администратора.
4. Для запуска проверки в окне приложения клацните по кнопке «Start Scan».
Самодельные руткиты
Огромное количество зараженных компьютеров находятся в так называемой зомби-сети и используются для того, чтобы рассылать спам-сообщения. При этом пользователи этих ПК ничего не подозревают о такой «деятельности». До сегодняшнего дня было принято думать, что создавать упомянутые сети могут лишь профессиональные программисты. Но совсем скоро все может кардинально измениться. В сети реально найти всё больше инструментов для создания вирусных программ. Например, при помощи набора под названием Pinch можно легко создать руткит. Основой для этого вредоносного ПО будет Pinch Builder Trojan, который можно дополнить различными функциями. Это приложение с лёгкостью сможет считывать пароли в браузерах, распознавать вводимые данные и отправлять их аферистам, а также ловко прятать свои функции.
Способы заражения устройства
Изначально руткиты внедряются в систему точно так же, как и другие вирусные программы. При уязвимости плагина или браузера попасть на компьютер для приложения не составит никакого труда. Часто для этих целей используют флеш-накопители. Иногда хакеры просто бросают флешки в местах скопления людей, где человек может забрать зараженное устройство с собой. Так на компьютер жертвы попадает руткит. Это приводит к тому, что приложение использует слабые стороны системы и с легкостью получает доминирующее положение в ней. Затем программа проводит установку вспомогательных компонентов, которые используются для управления компьютером на расстоянии.
UnHackMe
Условно-бесплатное решение (триал — 180 дней) от отечественного разработчика Greatis Software. Одинаково успешно борется как с руткитами, так и с угонщиками браузеров, рекламным ПО. Поддерживает безопасный режим. Совместим с Windows 10.
Чтобы задействовать утилиту:
1. Скачайте инсталлятор с офсайта (greatis. com/unhackme/): щёлкните на странице кнопку «Download».
2. Распакуйте загруженный архив (клик правой кнопкой → Извлечь всё).
3. Запустите файл unhackme_setup. Следуйте указаниям установщика.
4. Кликните ярлык утилиты на рабочем столе.
5. В окне приложения, в разделе «Настройки», в блоке «Поиск руткитов… », проверьте, включена ли опция «Активен».
6. Перейдите на вкладку «Проверить» и нажмите с таким же названием красную кнопку.
7. В отрывшемся меню выберите режим сканирования:
- «Онлайн проверка… » — подключение баз, находящихся на сервере разработчика;
- «… тест» — оперативное тестирование;
- «Сканирование… » — детектирование и обезвреживание в безопасном режиме.
Фишинг
Нередко система заражается посредством фишинга. Существует большая возможность попадания кода на компьютер в процессе скачивания нелицензированных игр и программ. Очень часто его маскируют под файл, который называется Readme. Никогда нельзя забывать об опасности софта и игр, скачиваемых с непроверенных сайтов. Чаще всего пользователь запускает руткит самостоятельно, после чего программа сразу же прячет все признаки своей деятельности, и обнаружить ее потом очень непросто.
Dr.Web Cureit
Данная утилита работает прямо из-под системы Windows. Не так давно я уже рассказывал о ее использовании в статье, посвященной .
Она бесплатная, поэтому, ее достаточно скачать с официального сайта и запустить процесс сканирования. По завершению процесса вы увидите подробный отчет с имеющимися руткитами, отметьте угрозы галочками и удалите их.
Кстати, Доктор Веб нередко находит угрозу в файле hosts с уведомлением « ». Лечить которую, нужно не во всех случаях.
Почему руткит тяжело обнаружить?
Эта программа занимается перехватом данных различных приложений. Иногда антивирус засекает эти действия сразу. Но зачастую, когда устройство уже подвергнуто заражению, вирус с лёгкостью прячет всю информацию о состоянии компьютера, при этом следы деятельности уже исчезли, а сведения обо всём вредном софте удалены. Очевидно, что в такой ситуации у антивируса нет возможности найти какие-либо признаки руткита и попытаться устранить его. Но, как показывает практика, антивирусные программы способны сдержать такие атаки. А компании, которые занимаются производством защитного ПО, регулярно обновляют продукцию и добавляют в неё необходимую информацию о новых уязвимостях.
Поиск руткитов на компьютере
Для поиска этих вредоносных программ можно использовать различные утилиты, специально созданные для этих целей. Неплохо справляется с этой задачей «Антивирус Касперского». Следует просто проверять устройство на наличие всякого рода уязвимостей и вредоносных программ. Такая проверка очень важна для защиты системы от вирусов, в том числе и от руткитов. При помощи сканирования обнаруживается вредоносный код, который не смогла засечь защита от нежелательных программ. Вдобавок поиск помогает найти уязвимые места операционной системы, через которые злоумышленники могут заниматься распространением вредоносных программ и объектов. Вы ищете подходящую защиту? Вам вполне подойдет «Касперский». Руткит можно обнаружить, просто включив периодический поиск этих вирусов в вашей системе.
Для более детального поиска подобных приложений необходимо настроить антивирус на проверку работы важнейших файлов системы на самом низком уровне. Также очень важно гарантировать высокий уровень самозащиты антивируса, так как руткит может запросто вывести его из строя.
Обнаружение и борьба
Напрашивается вопрос о том, как удалить руткиты. Сложности в борьбе присутствуют начиная с обнаружения. Поиск обычным средством не даст результата. В арсенале руткитов есть различные методы маскировки: сокрытие файлов, ключей реестра и пр
. Как правило, для поиска вредителей необходимы специальные программы. Некоторые из них предназначены для обнаружения и удаления только одного определенного вида руткитов, другие — многих, в том числе — неизвестных. К первым относится, например, TDSSkiller («Касперский»). Поиск обычно производится с помощью:
- сигнатурного анализа;
- поведенческого анализа;
- узконаправленных методов.
Удалять их также непросто. Нередко процесс включает несколько этапов. В результате, как правило, удаление затрагивает множество файлов. Если системные ресурсы повреждены слишком сильно, иногда приходится переустанавливать операционную систему. Для более простых случаев вполне подойдет, например, стандартная процедура лечения в Kaspersky Internet Security
. Для отключения регулярного поиска руткитов в продуктах «Лаборатории Касперского» обычно достаточно открыть настройки и снять соответствующую галочку в пункте меню «Производительность». Хотя делать это не рекомендуется.
Проверка накопителей
Для того чтобы быть уверенным в безопасности компьютера, необходимо проверять при включении все переносные накопители. Руткиты могут легко проникнуть в вашу операционную систему через съемные диски, флешки. «Антивирус Касперского» подвергает моноторингу абсолютно все съемные информационные носители при подключении их к устройству. Для этого нужно просто настроить проверку накопителей и обязательно следить за обновлением вашего антивируса.
Удаление руткита
В борьбе с этими вредоносными приложениями существует много сложностей. Главная проблема заключается в том, что они довольно успешно противостоят обнаружению путём сокрытия ключей реестра и всех своих файлов таким образом, что антивирусные программы не в силах их найти. Существуют вспомогательные программы для удаления руткитов. Эти утилиты были созданы для поиска вредоносного ПО при помощи различных методов, в том числе и узкоспециальных. Можно скачать довольно эффективную программу Gmer. Она поможет уничтожить большинство известных руткитов. Еще можно посоветовать программу AVZ. Она успешно обнаруживает почти любой руткит. Как удалить опасное ПО с помощью этой программы? Это несложно: выставляем нужные настройки (утилита может как отправлять зараженные файлы на карантин, так и самостоятельно их удалять), далее выбираем вид проверки — полный моноторинг ПК или частичный. Затем запускаем саму проверку и ждем результатов.
Специальная программа TDSSkiller эффективно борется с приложением TDSS. AVG Anti-Rootkit поможет убрать оставшиеся руткиты. Очень важно после работы подобных помощников проверить систему на наличие заражения при помощи любого антивируса. Kaspersky Internet Security прекрасно справится с этой задачей. Более того, эта программа способна удалять более простые руткиты посредством функции лечения.
Нужно помнить о том, что при поиске вирусов любым защитным ПО не следует открывать никаких приложений и файлов на компьютере. Тогда проверка будет более эффективной. Естественно, необходимо не забывать регулярно обновлять антивирусное ПО. Идеальный вариант — ежедневное автоматическое (устанавливается в настройках) обновление программы, которое происходит при подключении к Сети.
Применение TDSSKiller
Одной из программ, способных отыскать руткиты, является утилита TDSSKiller. Выпускается известной «Лабораторией Касперского», поэтому в ее качестве сомневаться не приходится. Как видно из названия, проверка направлена на поиск одного из распространенных видов руткитов — TDSS. Проверить свой компьютер с ее помощью можно бесплатно. Для этого достаточно найти ее на официальном сайте.
Программа не требует установки, после загрузки можно сразу запускать проверку. Перед работой придется принять условия использования. После этого есть возможность изменить параметры проверки соответствующей командой. Если дополнительных пожеланий нет, следует оставить все по умолчанию и нажать кнопку для начала проверки в том же окне.
Дальше потребуется немного подождать, пока программа будет осуществлять проверку заданных элементов системы. При обнаружении опасные приложения отключаются, предусмотрена возможность лечения. Для того чтобы они удалились, перезагружать компьютер необязательно.
Существуют и другие эффективные антируткиты. Главное, не забыть ими воспользоваться. При выборе антивируса желательно сразу обращать внимание на возможность борьбы с таким типом приложений. К сожалению, большинство стандартных программ-защитников не имеют подобной функции либо она недостаточно эффективна. В этом случае желательно заменить антивирус или воспользоваться специализированной программой для удаления. Только так можно обезопасить себя от нежелательных последствий, вызываемых руткитами.
Поиск и удаление руткитов на компьютере с помощью программ
Не так давно я уже писал статью о руткитах «Rootkit» и рассказывал, что это такое, перечислял основные симптомы заражения и давал рекомендации для обеспечения безопасности компьютера. Если вы не читали ее, обязательно с ней ознакомьтесь. Ведь как говорится, предупрежден – значит вооружен.
Потому как сегодня мы уже будем говорить о том, как удалить руткиты благодаря использованию специальных антивирусных программ. Все действия будут выполняться вручную.
Утилиты, рассмотренные ниже абсолютно бесплатны и не конфликтуют с установленным антивирусным ПО. Поэтому смело их используйте. Желательно предварительно загрузившись через безопасный режим.
Содержание статьи
- Kaspersky Rescue Disk
- Dr. Web Live Disk
- Dr.Web Cureit
- Kaspersky Virus Removal Tool
- AVZ
- TDSSKiller
- Malwarebytes Anti-Rootkit
- Trend Micro RootkitBuster
- Sophos Anti-Rootkit
- Наглядное видео по теме
- Комментарии пользователей
Kaspersky Rescue Disk
Пожалуй, самым лучшим способом лечения ПК является использование загрузочных антивирусных дисков. Связано это с тем, что при загрузке с такого диска вирусы будут неактивны, а значит их можно будет легко найти и обезвредить.
Аварийный диск от Касперского показал хорошую эффективность в восстановлении работоспособности компьютера после заражения самыми разными угрозами. Поэтому, если у вас есть подозрение на заражение ПК вредоносным ПО, обязательно его используйте.
А вот инструкция по работе с Kaspersky Rescue Disk.
Dr.Web Live Disk
Своеобразный аналог предыдущей утилиты от Касперского. Используется для восстановления системы после заражения вирусами. Ему практически нет равных в поиске и удалении руткитов.
Live Disk полностью бесплатен, можно записать как на флешку, так и на диск. Процедура записи будет аналогична по сравнению с Live CD от Касперского.
Dr.Web Cureit
Данная утилита работает прямо из-под системы Windows. Не так давно я уже рассказывал о ее использовании в статье, посвященной Dr.Web Cureit.
Она бесплатная, поэтому, ее достаточно скачать с официального сайта и запустить процесс сканирования. По завершению процесса вы увидите подробный отчет с имеющимися руткитами, отметьте угрозы галочками и удалите их.
Кстати, Доктор Веб нередко находит угрозу в файле hosts с уведомлением «suspicious url». Лечить которую, нужно не во всех случаях.
Kaspersky Virus Removal Tool
Еще одна программа от разработчиков антивируса Касперского. Ее также можно использовать для поиска и удаления как руткитов, так и любого другого вредоносного ПО. По своим возможностям утилита схожа с Cureit, но немного уступает ей в плане эффективности (говорю по личному опыту). Поэтому могу порекомендовать брать ее на вооружение только в качестве дополнительного средства.
Она весьма проста в использовании. Чтобы начать с ней работать, нужно:
- Скачать ее отсюда и запустить, приняв соглашение.
- Войдите в раздел изменения параметров.
- Щелкните по кнопке «Добавить объект», откройте «Компьютер» и добавьте в Касперский каждый из локальных дисков. Для этого выделите его мышкой и добавьте в список.Если нужно отключить поиск руткитов в каких-либо разделах, достаточно убрать галочку с нужного диска.
- После того как разделы будут добавлены, можно начинать проверку.
Остается только дождаться завершения проверки и удалить найденные угрозы.
AVZ
Весьма эффективная программа для обнаружения и удаления руткитов, троянов, шпионского ПО и прочих угроз. Главными плюсами AVZ являются высокая результативность и регулярное обновление баз. В общем, обойти ее стороной никак нельзя.
Чтобы начать ей пользоваться, нужно:
- Скачать с сайта разработчиков и запустить. Установки она не требует.
- Щелкнуть по синему значку «обновление баз» в правой нижней части экрана.
- Запустить процесс обновления, нажав «Пуск».
- Теперь нужно переместиться во вкладку «Область поиска», отметить галочками имеющиеся локальные диски компьютера и щелкнуть по кнопке «Пуск». Также можно настроить функцию автоматического удаления руткитов, установив галочку напротив пункта «Выполнять лечение».
- По завершению поиска, в нижней части программы нажмите на значок «очки», чтобы увидеть найденные опасные файлы.
- Проставьте галочки на против всех файлов, затем щелкните «Удалить» и кнопку «ОК».
По окончании очистки компьютера вы можете закрыть окно утилиты.
TDSSKiller
Программа TDSSKiller изначально была разработана для поиска руткитов и троянов различных модификаций. Ее любезно и на бесплатной основе предоставляют нам разработчики Касперского. Поэтому скачать утилиту можно с официального сайта.
Запустить проверку на руткиты с ее помощью достаточно просто:
- После того, как загрузите программу, запустите ее и войдите в раздел изменения параметров.
- Отметьте все пункты и нажмите «ОК».
- Щелкните по кнопке запуска проверки.
Дождитесь завершения сканирования и удалите найденные rootkit вирусы.
Malwarebytes Anti-Rootkit
Широко известная компания разработчик антивирусного ПО «Malwarebytes» предоставляет своим пользователям отличный инструмент для поиска руткитов. Программа портативна и не конфликтует с установленными антивирусами.
Как ей пользоваться:
- Для начала загрузите ее с официального сайта и запустите.
- Нажмите «Next».
- Выполните обновление баз, нажав «Update», после чего щелкните «Next».
- Выставляем галочки на всех пунктах и нажимаем «Scan».
- Дожидаемся завершения процедуры проверки и жмем «Cleanup».
На этом процедура очистки от вирусов rootkit будет завершена.
Trend Micro RootkitBuster
Еще одна бесплатная программа, созданная специально для борьбы с вирусами типа Rootkit. Выполняет тщательную проверку системы на наличие опасного ПО и удаляет его.
Разберем процесс очистки более подробно:
- Загружаем актуальную версию «RootkitBuster», выбрав нужную разрядность по сравнению с вашей операционной системой.
- Запускаем, приняв условия соглашения и жмем «Next».
- Отмечаем галочками предлагаемые пункты и жмем «Scan Now».
- По завершению проверки, программа выведет списком найденные на компьютере руткиты, отмечаем их и удаляем.
После этого можно закрывать окно утилиты.
Sophos Anti-Rootkit
Популярная программа, используемая для поиска скрытых в системе руткитов. И, пожалуй, это единственная утилита из рассмотренных выше, которую нужно устанавливать. Но это однозначно стоит сделать, поскольку результативность «Sophos Anti-Rootkit» очень высока.
Для начала работы с утилитой нужно:
- Загрузить, установить и запустить ее. Хочу заметить, что для начала нужно заполнить форму с вашими данными на официальном сайте, затем принять соглашение и только после этого появится кнопка для скачивания утилиты.
- Запустите ПО и дождитесь, пока завершится процедура обновления.
- Щелкните «Start scanning», дождитесь окончания проверки и избавьтесь от найденного опасного ПО.
Как вы видите, все предельно просто.
Если вам удалось найти и избавиться от вирусов, это значит, что статья удалась, если же нет и ваш случай уникален, можете описать его в комментариях, помогу, чем смогу.
Наглядное видео по теме
Что такое руткит и как его удалить
Руткиты существуют уже почти 20 лет, позволяя злоумышленникам получать доступ к компьютерам пользователей и красть данные с них, не будучи обнаруженными в течение длительного периода времени. Этот термин широко применяется к подмножеству вредоносных инструментов, разработанных специально для того, чтобы оставаться незамеченными на зараженных компьютерах и позволять злоумышленнику удаленно управлять ПК. Чтобы помочь пользователям понять, что такое руткит и как он работает, мы составили объяснение этого типа вредоносного ПО и что делать, если оно заразило ваш компьютер.
Определение руткита
Руткит — это термин, применяемый к типу вредоносных программ, предназначенных для заражения целевого ПК и позволяющих злоумышленнику установить набор инструментов, предоставляющих ему постоянный удаленный доступ к компьютеру. Вредоносное ПО, как правило, будет скрыто глубоко в операционной системе и будет разработано таким образом, чтобы избежать обнаружения приложениями для защиты от вредоносных программ и другими инструментами безопасности. Руткит может содержать любое количество вредоносных инструментов, таких как регистратор нажатий клавиш, похититель паролей, модуль для кражи информации о кредитных картах или онлайн-банкинге, бот для DDoS-атак или функции, которые могут отключать защитное программное обеспечение. Руткиты обычно действуют как бэкдор, который дает злоумышленнику возможность удаленно подключаться к зараженной машине, когда он захочет, и удалять или устанавливать определенные компоненты.
Варианты руткитов
Существует два основных типа руткитов: руткиты режима пользователя и руткиты режима ядра. Руткиты пользовательского режима предназначены для работы в той же части операционной системы компьютера, что и приложения. Они выполняют свое злонамеренное поведение, перехватывая процессы приложений, запущенные на машине, или перезаписывая память, которую использует приложение. Это более распространенный из двух типов. Руткиты режима ядра работают на самом низком уровне операционной системы ПК и предоставляют злоумышленнику самый мощный набор привилегий на компьютере. После установки руткита режима ядра злоумышленник получит полный контроль над скомпрометированным компьютером и сможет выполнять на нем любые действия по своему выбору. Руткиты режима ядра обычно более сложны, чем руткиты пользовательского режима, и поэтому менее распространены.
Этот вид руткитов также труднее обнаружить и удалить.Руткит — это термин, применяемый к типу вредоносных программ, предназначенных для заражения целевого ПК и позволяющих злоумышленнику установить набор инструментов, предоставляющих ему постоянный удаленный доступ к компьютеру.
Существует также несколько менее распространенных вариантов руткитов, таких как буткиты, предназначенные для изменения загрузчика компьютера — низкоуровневого программного обеспечения, которое запускается до загрузки операционной системы. В последние годы появился новый класс мобильных руткитов для атаки на смартфоны, особенно на устройства Android. Эти руткиты часто связаны с вредоносным приложением, загруженным из стороннего магазина приложений или с форума.
Метод заражения
Руткиты устанавливаются различными способами, но наиболее распространенным вектором заражения является использование уязвимости в операционной системе или приложении, работающем на компьютере. Злоумышленники нацелены на известные и неизвестные уязвимости в ОС и приложениях и используют код эксплойта, чтобы получить привилегированное положение на целевой машине.
Затем они устанавливают руткит и настраивают компоненты, обеспечивающие удаленный доступ к компьютеру. Код эксплойта для конкретной уязвимости может быть размещен на законном веб-сайте, который был скомпрометирован. Еще один вектор заражения — зараженные USB-накопители. Злоумышленники могут оставлять USB-накопители со спрятанными на них руткитами в местах, где они могут быть обнаружены и подхвачены жертвами, например, в офисных зданиях, кафе и конференц-центрах. В некоторых случаях установка руткита может по-прежнему основываться на уязвимостях в системе безопасности, но в других случаях вредоносное ПО может устанавливаться как часть, казалось бы, законного приложения или файла на USB-накопителе.Удаление
Обнаружение наличия руткита на компьютере может быть затруднено, так как этот тип вредоносного ПО предназначен для того, чтобы оставаться скрытым и работать в фоновом режиме. Существуют утилиты, предназначенные для поиска известных и неизвестных типов руткитов различными методами, в том числе с помощью сигнатур или поведенческого подхода, который пытается обнаружить руткит путем поиска известных моделей поведения. Удаление руткита — сложный процесс, обычно требующий использования специализированных инструментов, таких как утилита TDSSKiller от «Лаборатории Касперского», которая может обнаруживать и удалять руткит TDSS. В некоторых случаях жертве может потребоваться переустановка операционной системы, если компьютер слишком поврежден.
Советы
Cybersecure Christmas
Во время рождественских праздников началось множество взломов. Несколько простых советов снизят шансы вашей компании стать следующей жертвой.
Безопасно ли использовать Avast в 2023 году?
Решения Avast имеют довольно хорошую репутацию, но несколько инцидентов ставят под сомнение их безопасность. Читайте дальше, чтобы узнать, можно ли доверять Avast.
Подпишитесь, чтобы получать наши заголовки на свой почтовый ящик
- Адрес электронной почты*
- *
- Я согласен предоставить свой адрес электронной почты АО «Лаборатория Касперского» для получения информации о новых сообщениях на сайте. Я понимаю, что я могу отозвать это согласие в любое время по электронной почте, щелкнув ссылку «отписаться», которую я нахожу внизу любого электронного письма, отправленного мне для целей, упомянутых выше.
Скачать TDSSKiller
BleepingКомпьютерный обзор:
TDSSKiller — утилита, созданная «Лабораторией Касперского», предназначенная для удаления руткита TDSS. Этот руткит известен под другими именами, такими как Rootkit.Win32.TDSS, Tidserv, TDSServ и Alureon. TDSSKiller также попытается удалить другие руткиты, такие как руткит ZeroAccess или ZeroAccess, если он будет обнаружен.
Руткит — это вредоносная программа, предназначенная для сокрытия себя или других компьютерных инфекций на вашем компьютере. Эти типы программ, как правило, сложнее удалить, чем общие вредоносные программы, поэтому были разработаны автономные утилиты, такие как TDSSKiller.
Инструкции по использованию
TDSSKiller можно загрузить в виде файла EXE или ZIP, содержащего исполняемый файл. При использовании программы проще загрузить EXE-файл напрямую и загрузить ZIP-файл только в том случае, если программное обеспечение вашего компьютера или подключение к Интернету не позволяют прямую загрузку исполняемых файлов.
Важно отметить, что многие руткиты нацелены на имя исполняемого файла TDSSKiller, поэтому он завершается при попытке его запуска. Поэтому после загрузки или извлечения исполняемого файла вы должны переименовать его в iexplore.exe , чтобы упростить обход любых процедур защиты, которые может использовать конкретный руткит.
TDSSKiller имеет следующие аргументы командной строки:
-l — Сохраните TDSSKiller для записи в файл с указанным именем. Если вы не укажете полный путь, TDSSKiller сохранит журнал в той же папке, в которой находится исполняемый файл.
-qpath — Укажите путь к папке, которую TDSSKiller должен использовать в качестве папки Карантина. Если этой папки не существует, TDSSKiller создаст ее.
-h — Показать список аргументов командной строки.
-sigcheck — Обнаруживает все драйверы, не содержащие цифровую подпись, как подозрительные.
-tdlfs — Обнаружение наличия файловой системы TDLFS, которую руткиты TDL 3/4 создают в последних секторах жестких дисков для хранения своих файлов. Все эти файлы могут быть помещены в карантин.
Следующие аргументы заставляют действия выполняться без запроса пользователя:
-qall — Копировать все объекты в папку карантина (очень агрессивно).
-qsus — Копировать в папку карантина только подозрительные объекты. (безопаснее)
-qboot — Поместить в карантин все загрузочные сектора.
-qmbr — Сделайте копию всех основных загрузочных записей и сохраните их в папке карантина.
-qcsvc
— Скопировать указанную службу в папку карантина.-dcsvc — Удалить указанную службу. Используйте только в том случае, если вы уверены, что сервис должен быть удален.
-silent — Сканировать компьютер в тихом режиме. Это не будет отображать никаких окон и позволит использовать программу централизованно по сети.
-dcexact — Автоматически обнаруживать и устранять любые известные угрозы.
Например, вы можете использовать следующую команду для сканирования вашего ПК, а также создать подробный журнал, записанный в файл с именем report.txt. Этот отчет будет создан в той же папке, в которой находится TDSSKiller.
TDSSKiller.exe -l отчет.txt
Подробное руководство по сканированию компьютера и удалению руткитов с помощью TDSSKiller см. в этом руководстве:
Как удалить Google Redirects или руткит TDSS, TDL3 или Alureon с помощью TDSSKiller
Основные характеристики
- Обнаруживает и удаляет семейство вредоносных программ Rootkit.