Ростелеком 

Программа от майкрософт для удаления руткитов. Ещё утилиты для поиска и удаления руткитов

Обзор программ для удаления руткитов

Бороться с руткитами сложно по причине их маскировки под другие вполне благонадежные программы и неактивности пока пользователь не откроет определенный файл, в котором и прячется руткит. Для удаления руткитов созданы специальные утилиты, которые помогают выявить эти вредоносные программы.

Программа Gmer

Gmer, это небольшая утилита, при помощи произвести удаление руткитов . Утилита просканирует все процессы, службы, реестр, файлы и в случае подозрения на обнаружения вредоносной программы даст знать пользователю. Программа не требует установки и имеет очень простой интерфейс, чтобы приступить к поиску руткитов необходимо в верхней панели выбрать вкладку Rootkit и нажать "Scan". Во время поиска программа будет писать лог прямо в окне программы, процессы и файлы будут отображаться в двух цветах. Черным цветом будут отображаться файлы, программы и процессы, которые вызывают подозрение у Gmer, но это могут быть, как и руткиты, так и вполне благонадежные программы. Особое внимание нужно уделить процессам и файлам, которые отмечены красным цветом, именно в них Gmer обнаружил следы деятельности руткитов и именно эти файлы необходимо уничтожить.

Программа SdFix

Бесплатная, но эффективная утилита для удаления руткитов . Кроме руткитов она успешно справляется с поиском и других шпионских программ, которые проникли на ваш компьютер: троянов, бэкдоров, ирцботов и кейллогеров. Программа запускается даже с флешки, сама обнаруживает и уничтожает шпионское ПО, единственное, перед удалением не забудьте сделать копию реестра, чтобы в случае удаления важных файлов, не потерять систему. Копию реестра можно сделать программой ERUNT.

Программа UnHackMe 5

Еще одна программа, которая легко произведет поиск и удаление руткитов . Утилита очень проста в использовании, не требует установки, запускается на любом съемном носителе, от CD-ROM до флешки.

Программа TDSSKiller

Бесплатная и еще другой разной заразы, быстро просканирует ваш компьютер на наличие шпионских программ, и если вы разрешите, очистит от них вашу систему. После удаления руткитов компьютер обязательно следует перегрузить. Программа имеет очень простой интерфейс на русском языке.

Чтобы защититься от руткитов, нужно знать, как они могут попасть на ваш компьютер, основных путей несколько. Самыми распространенным является попадание через вложения, которые приходят с электронной почтой. Тестовые вложения содержат руткиты, которые, активизируются после того как пользователь открывает файл. Также руткиты попадают на компьютер через зараженные web-страницы, используя уязвимости в веб-обозревателях, поэтому старайтесь использовать самые последние версии браузеров, в которых найденные дыры в безопасности разработчики стараются закрыть.

Опасность руткитов заключается еще и в том, что для их создания созданы уже «конструкторы», основой для которых служит Pinch Builder Trojan. При помощи такого «конструктора» любой злоумышленник может создать свой руткит, невидимый для обычных антивирусов.

При внедрении в систему он сможет красть пароли, вводимые через браузер или набранные на клавиатуре.

Итак, продолжим рассматривать приложения, которые могут помочь нам избавиться от руткитов на наших ПК. Предыдущую часть статьи можно .

Sophos Anti-Rootkit

Это довольно компактное приложение для борьбы с руткитами, обладающее простым и понятным интерфейсом (то, чего не хватает «профессиональным» утилитам). Утилита сканирует реестр и критические, по мнению разработчиков, каталоги системы, выявляя скрытые объекты. Sophos Anti-Rootkit требует установки в систему. В отличие от большинства других программ со сходными функциями это приложение предупреждает пользователя о возможности влияния на производительность и работоспособность ОС в случае удаления того или иного конкретного руткита.

При запуске программа предложит нам выбрать, что именно будет сканироваться. Откровенно говоря, лучше сканировать все. Исключение даже одного пункта (системный реестр, запущенные процессы и локальные диски) оставит лазейку для руткитов, окопавшихся в системе. После сканирования из обнаруженных Sophos Anti-Rootkit объектов (туда стабильно попадают модули Symantec Antivirus, Kaspersky Antivirus, драйверы виртуальных CD-ROM и т.п.) нужно выбрать те, которые вы решили удалить, согласившись с тем, что они крайне подозрительны.

Для облегчения принятия решения программа даже дает описания найденных объектов с рядом рекомендаций. Для того, чтобы прочитать его, нужно выделить найденный объект.

Кроме того, приложение дает полный путь к объекту и ряд дополнительной информации в его описании. Можно изучить найденный объект, посмотреть сведения о нем в интернете и только потом принять взвешенное решение. После совершения выбора остается только нажать на кнопку «Clean up checked items».

RootRepeal

Это приложение почему-то довольно редко используют и описывают. Между тем, RootRepeal очень хороший и эффективный инструмент, позволяющий обнаруживать множество вариантов руткитов.

Эта программа портативна, хотя и не так наглядна, как Sophos Anti-Rootkit, однако при приложении минимальных усилий со стороны пользователя способна оказать огромную помощь в обнаружении вредоносного ПО. Однако она не указывает пользователю автоматически, что именно в этом месте сидит руткит, а предоставляет информацию (запущенные процессы, используемые файлы, скрытые процессы, хуки, информация о ядре системы и т.п.), которую пользователю придется проанализировать и оценить самому.

После анализа и обнаружения подозрительных процессов можно отыскать в интернет их описания и, при необходимости, воспользоваться инструментарием RootRepeal для стирания файлов, завершения процессов или редактирования ключей реестра.

AVZ

Последней я оставил хорошо знакомую многим утилиту AVZ - антивирус Зайцева. Это инструмент с огромным количеством функций, который, среди всего прочего, может помочь в борьбе с руткитами. AVZ не требует установки (портативна). Обновляется она достаточно регулярно.

Для выполнения сканирования и обнаружения притаившихся в недрах системы руткитов, нужно выбрать нужный диск или директории в «Области поиска». AVZ прекрасно распознает руткиты, которые можно удалить автоматически или же может принимать решение в каждом отдельном случае (примечание редактора: можно задать в настройках программы варианты действий AVZ в тех или иных случаях) .

Поиск руткитов происходит в AVZ на основании исследования базовых системных библиотек на предмет перехвата их функций, то есть без использования сигнатур. Что ценно в данном приложении, оно может производить корректную блокировку работы ряда возможных противодействий со стороны руткитов. Поэтому сканер утилиты может обнаруживать замаскированные процессы и ключи реестра.

Разумеется, возможны и ложные срабатывания. Поэтому внимательно смотрите, что вы стираете с помощью AVZ. С помощью AVZ возможно также восстановления ряда системных функций после атаки вирусов и руткитов. Это также весьма полезно.

Подводим итоги

Мы рассмотрели ряд программ, которые помогут обнаружить руткиты на компьютерах и ноутбуках. Следует отметить, что большинство коммерческих, да и бесплатных антивирусов обзавелись уже достаточно мощными блоками обнаружения и удаления руткитов. Более того, в ближайшей перспективе я прогнозирую значительное снижение интереса обычных пользователей к антируткитным решениям, так как соответствующие модули антивирусных решений будут улучшаться, а среднему пользователю вовсе нет никакого интереса самому копаться в процессах, драйверах и файлах. Ему интересен быстрый и желательно без лишних усилий результат. Пока традиционные антивирусные программы далеко не эталон в поиске руткитов, для такого рода пользователей я бы рекомендовал Sophos Anti-Rootkit. А вот для сложных случаев все равно придется использовать GMER или AVZ и повышать квалификацию. Эти инструменты еще не скоро окончательно сойдут со сцены.

Странное поведение операционной системы на моём домашнем компьютере в последние дни, заставило меня задуматься о её проверке на наличие руткит (Rootkit), то есть таких вредоносных программ, которые успешно могут скрывать от пользователя своё присутствие в системе.

Почему я сразу подумал о руткитах? А потому, что полная проверка системы на вирусы бесплатным антивирусом (не буду конкретизировать каким), который успешно боролся с ними на протяжении всего года, никаких результатов не дала.

Якобы и вирусов никаких нет и компьютер продолжает работать неправильно! Уверен почти на все 100%, что в инфицировании системы активно принимали участие мои дети, которым очень нравятся онлайн-игры и нажать какую-нибудь лишнюю кнопку на сайтах с играми для них не проблема.

А как известно, rootkit в первую очередь попадает на компьютер пользователя, используя уязвимости браузеров или плагинов. Поиск утилиты для борьбы с руткитами я начал, конечно же, на сайте Лаборатории Касперского и на нём свой поиск закончил, так как необходимый инструмент под названием «TDSSKiller» был найден сразу.

Особенности антируткит утилиты «Kaspersky TDSSKiller» :

  • эффективное обнаружение и удаление всего семейства известных руткитов и буткитов;
  • бесплатная, имеет графический интерфейс и небольшой размер;
  • поддерживает 32-х и 64-х рязрядные ОС Windows, включая и Windows 10;
  • умеет работать в безопасном режиме и т.д.

Теперь с её помощью приступим к поиску rootkit в системе. Переходим на сайт:

Https://support.kaspersky.ru/viruses/disinfection/5350

Сохраняем файл на компьютер.

РУТКИТ

Запускаем скачанный файл. Установка не требуется и желательно иметь активное подключение к интернету.

Нажимаем кнопку «Принять» два раза.

В окне «Всё готово к проверке» кликаем по кнопке «Начать проверку». Опцию «Изменить параметры» можно не трогать и ждём окончания процесса сканирования и нейтрализации найденных угроз.

На этом статья заканчивается для тех пользователей, у которых руткит в был найден и успешно нейтрализован. А у меня, после завершения сканирования оказалось, что предположение о внедрении в операционную систему руткитов первоначально было не верно. Антируткит утилита никаких угроз не обнаружила.

Если вы оказались в похожей ситуации, в первую очередь прогоните ОС антируткит утилитой, а потом, если ничего не помогло, поменяйте свой антивирус. Только если он не Антивирус Касперского, а какой-либо из бесплатных.

Не всегда бесплатно, значит лучше. Спасибо за внимание!

P.S. Если вас интересует видео инструкция о том, как установить ОС Ubuntu рядом с Windows, тогда перейдите по .

Руткиты (rootkit) в мире компьютерных вирусов прослыли как самые отъявленные шпионы. Они умеют скрывать своё присутствие не только от пользователя, но и от многих антивирусных программ. Внедряются в системные процессы, файлы, память. Действуют на уровне ядра (в абсолютной «глубине» Windows). В их теле могут находиться другие зловреды - трояны, клавиатурные шпионы, сканнеры банковских карт, черви.

Эта статья расскажет вам о том, что можно предпринять рядовому пользователю, чтобы удалить руткит из ОС.

Первые помощники в детектировании и нейтрализации подобных цифровых инфекций из ПК - специальные утилиты. Ознакомимся с самыми популярными решениями, отлично зарекомендовавшими себя в борьбе с руткитами.

TDSSKiller

Продукт, созданный в лаборатории Касперского. Распространяется бесплатно. Находит и обезвреживает многие разновидности «штамма». В том числе: TDSS, SST, Pihar, Stoned, Сidox. А также отслеживает руткит-аномалии: скрытые/заблокированные сервисы и файлы, подменённые/модифицированные системные процессы, вредоносные настройки в MBR (загрузочном секторе дискового раздела).

Чтобы проверить ОС при помощи этой утилиты, выполните следующие действия:

1. Откройте в браузере страницу - support.kaspersky.ru/viruses/disinfection/5350 (официальный сайт компании Kaspersky).

2. Щёлкните мышкой по первому разделу «1. Как вылечить… ».

4. Запустите скачанный инсталлятор двойным щелчком мыши. В окне «Разрешить… ?» выберите «Да».

5. Под текстом лицензионного соглашения клацните по кнопке «Принять». Эти же действия выполните и в блоке «KSN-соглашение».

6. В панели антируткита откройте опцию «Изменить параметры».

7. В новом окне «Настройки», в разделе «Дополнительные опции», включите функцию «Проверять цифровые подписи… » (установите флажок).

Совет! Дополнительно в разделе «Объекты… » можно активировать проверку загруженных модулей (потребуется перезагрузка ОС).

8. Щёлкните «OK».

9. Нажмите кнопку «Начать проверку».

10. По завершении сканирования ознакомьтесь с отчётом. В нём будет указано, сколько удалено вредоносных объектов с компьютера.

Bitdefender Rootkit Remover

Простой в использовании антируткит (стартует по одному клику мышки). Разработан компанией Bitdefender’s LABS. Распознаёт множество актуальных угроз: TDL/SST/Pihar, Plite, Fips, MBR Locker, Ponreb, Mebroot и др. Является портативным приложением (не требует инсталляции). Молниеносно выполняет проверку. В каждом релизе утилиты обновляется и расширяется база зловредов.

Чтобы воспользоваться Rootkit Remover, выполните нижерасположенную инструкцию:

1. Откройте страницу для загрузки утилиты - abs.bitdefender.com/projects/rootkit-remover/rootkit-remover/ (офсайт разработчика).

2. Выберите дистрибутив, согласно разрядности установленной Windows (x86 или x64): щёлкните по соответствующей ссылке.

Совет! Узнать тип ОС можно в Панели управления: Система и безопасность → Система.

3. Запустите загруженный исполняемый файл от имени администратора.

4. Для запуска проверки в окне приложения клацните по кнопке «Start Scan».

AVZ

Мультифункциональный антивирусный сканер, созданный российским программистом Олегом Зайцевым. Способен найти и обезвредить вирус любого типа (включая модули SpyWare и Adware, трояны, черви). Оснащён специальным инструментом для эффективного выявления руткитов - настраиваемым модулем Anti-Rootkit.

Чтобы проверить Windows на наличие вирусов утилитой AVZ, выполните нижеприведённое руководство:

1. Перейдите на страницу для скачивания - z-oleg.com/secur/avz/download.php (официальный веб-ресурс разработчика).

3. После загрузки распакуйте архив: щелчок правой кнопкой → Извлечь всё.

4. Запустите с правами администратора файл AVZ (иконка «щит и меч»).

5. Обновите сигнатурные базы утилиты: в вертикальной панели кнопок, расположенной в правой нижней части окна, кликните по кнопке «земной шар». В новом окне нажмите «Пуск».

6. Выполните предварительные настройки на вкладках:

  • «Область поиска» - установите флажки возле разделов диска, которые необходимо проверить;
  • «Типы файлов» - включите опцию «Все файлы»;
  • «Параметры поиска» : в блоке «Эвристический анализ» передвиньте регулятор порога вверх (до значения «Максимальный уровень»), включите функцию «Расширенный анализ»; в «Anti-Rootkit» установите флаги возле всех надстроек (детектировать перехватчики, блокировать работу Rootkit User-Mode и Kernel-Mode).

7. Чтобы началась проверка разделов, нажмите по кнопке «Пуск».

Условно-бесплатное решение (триал - 180 дней) от отечественного разработчика Greatis Software. Одинаково успешно борется как с руткитами, так и с угонщиками браузеров, рекламным ПО. Поддерживает безопасный режим. Совместим с Windows 10.

Чтобы задействовать утилиту:

1. Скачайте инсталлятор с офсайта (greatis.com/unhackme/): щёлкните на странице кнопку «Download».

2. Распакуйте загруженный архив (клик правой кнопкой → Извлечь всё).

3. Запустите файл unhackme_setup. Следуйте указаниям установщика.

4. Кликните ярлык утилиты на рабочем столе.

5. В окне приложения, в разделе «Настройки», в блоке «Поиск руткитов… », проверьте, включена ли опция «Активен».

6. Перейдите на вкладку «Проверить» и нажмите с таким же названием красную кнопку.

7. В отрывшемся меню выберите режим сканирования:

  • «Онлайн проверка… » - подключение баз, находящихся на сервере разработчика;
  • «… тест» - оперативное тестирование;
  • «Сканирование… » - детектирование и обезвреживание в безопасном режиме.

Trend Micro RootkitBuster

Свободно распространяется. Проверяет файлы, реестр, службы, драйверы, загрузочные сектора, перехватчики (service hooks), порты и многие другие важные составляющие ОС. Детектирует широкий спектр руткитов.

Чтобы «вылечить» ПК утилитой RootkitBuster:

1. Откройте офсайт компании - trendmicro.com/us/index.html.

2. Перейдите в раздел «Download».

3. В списке программных продуктов, в разделе «Other», щёлкните «RootkitBuster».

4. Выберите релиз (для 32 или 64-битной системы).

5. Запустите скачанный антируткит от имени администратора.

6. Включите проверку всех элементов (Master Boot Records, Services, Kernel Code).

7. Нажмите «Scan Now» для старта сканирования.

Безусловно, есть и другие антируткиты. Применяйте только действенные и удобные в пользовании решения от известных разработчиков. Также «не списывайте со счетов» лечащие утилиты (Dr.Web CureIt!, Kaspersky Virus Removal Tool, Malwarebytes Anti-Malware) и антивирусные загрузочные диски (Avira, Panda, Kaspersky и др.), выполняющие проверку без запуска ОС.

Удачной охоты на руткитов! И помните, что в борьбе с ними все средства хороши.

Безопасности много не бывает. Я повторял эту фразу и буду повторять всегда. Но компьютерная безопасность состоит из множества различных параметров и рубежей, одно только их перечисление займет немало времени, не говоря уже о длинном списке программного и аппаратного обеспечения. В этой статье я собрал несколько наиболее, на мой взгляд, эффективных утилит для обнаружения и удаления руткитов и прочей хитрой вирусни под Windows. Это далеко не полный список, а, скорее, он-лайновый резерв на всякий случай. Обычно я таскаю их все на дежурной флешке, но мало ли, вдруг где понадобится, а чудо-флешки под рукой не будет. Сразу предупреждаю, что это достаточно специфический инструментарий, поэтому если не уверены в своих силах или не знаете что это и зачем, то просто проходите мимо.



RkUnhooker - самая мощная, на мой взгляд, программа для обнаружения руткитов и борьбы с другими вредоносными программами. Позволяет обнаружить и снять перехваты таблицы SDT и кода, показывает все скрытые драйвера, процессы и файлы. Через RkUnhooker можно убивать файлы запущенных процессов, в том числе с перезаписью пустыми данными для предотвращения их повторного запуска, снимать дампы памяти процессов для анализа и многое другое. Хорошо защищается от внешнего воздействия и модификации своего файла. Русский язык в наличии. К сожалению, в настоящее время проект закрыт.

Tuluka.Kernel.Inspector.1.0.394.77.zip (2,893,650 bytes)




Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить