Главная » Подключение » Как обнаружить руткиты. Что такое руткиты. Программы для удаления руткитов. Как маскируются руткиты

Как обнаружить руткиты. Что такое руткиты. Программы для удаления руткитов. Как маскируются руткиты

Агрессивное развитие руткитов до сих пор остается безнаказанным и продолжается столь же активно, не встречая никакого существенного сопротивления со стороны защитных технологий, большинство из которых хорошо работает только на словах и ловит общедоступные руткиты, взятые с rootkits.com или аналогичных ресурсов. Руткиты, написанные «под заказ», обнаруживаются значительно хуже, если вообще обнаруживаются. Причем даже такие продвинутые технологии детекции, как
удаленное сканирование портов , оказываются бессильными перед новейшими версиями руткитов, которые реально палятся только руками, хвостом и головой.

Мыщъх постоянно держит включенным honeypot на базе VMware, засасывающий кучу малвари. Ее анализ указывает на неуклонный рост количества руткитов, обитающих исключительно в памяти и не записывающих себя на диск, в результате чего у них отпадает необходимость в сокрытии файлов и ветвей реестра, прямо или косвенно ответственных за автозагрузку. Они не создают новых процессов, предпочитая внедряться в адресное пространство уже существующих. Они не открывают новых портов, перехватывая входящий трафик с помощью сырых сокетов или внедряясь в сетевые драйверы (например, в TCPIP.SYS или NDIS.SYS).

В результате ни в реестре, ни в файловой системе не происходит никаких изменений, а значит, ничего прятать не приходится! Естественно, перезагрузка убивает руткиты такого типа наповал, и потому многие администраторы полагают, что никакой опасности нет. Не так уж сложно перезагрузить сервер при возникновении подозрений на его компрометацию. Однако именно
установка факта компрометации является первоочередной и самой сложной задачей , стоящей перед администратором. Если сервер действительно был скомпрометирован, то необходимо выяснить, как именно он был скомпрометирован! В противном случае повторные атаки не заставят себя ждать, не говоря уже о том, что после удаления
требуется как
минимум изменить пароли на все ресурсы, иначе хакер сможет обойтись и без руткита, используя ранее перехваченные пассы.

Собственно говоря, при всем различии NT и Linux/BSD техника поиска руткитов одна и та же. Первым делом нам необходимо заполучить дамп ядра или запустить ядерный отладчик. Теоретически руткиты могут перехватывать любые операции, в том числе и попытку сохранения дампа. В NT для этого им достаточно перехватить NativeAPI-функцию KeBugCheckEx и, прежде чем возвратить ей управление, вычистить все следы своего пребывания в оперативной памяти. Технически реализовать это несложно. Понадобится не больше пары сотен строк ассемблерного кода, но… мне не известен ни один руткит, реально делающий это. Так же можно обхитрить и ядерный отладчик. Устанавливаем всем хакнутым страницам атрибут только на
исполнение (если ЦП поддерживает бит NX/XD) или ставим страницу в NO_ACCESS, а при возникновении исключения смотрим, пытаются ли нас прочесть или исполнить. И если нас читают, то это явно отладчик, для обмана которого временно снимаем перехват. Но это всего лишь теория. На практике она еще никем не реализована, и когда будет реализована - неизвестно.

Увы, абсолютно надежных способов детекции руткитов не существует, и на любую меру есть своя контрмера. Но не будем теоретизировать, вернемся к реально существующим руткитам, а точнее, к получению дампа памяти. В NT в «Свойствах системы» () необходимо выбрать «Полный дамп», затем запустить «Редактор реестра», открыть ветвь HKLM\System\CurrentControlSet\Services\i8042prt\Parameters и установить параметр CrashOnCtrlScroll (типа REG_DWORD) в любое ненулевое значение, после чего нажатие с последующим двойным нажатием Вызовет голубой экран с кодом E2h (MANUALLY_INITIATED_CRASH). К сожалению, чтобы изменения реестра вступили в силу, необходимо перезагрузить машину,
прибив при этом руткит, который мы пытаемся найти, так что эту операцию следует осуществлять заблаговременно.

Кстати говоря, последовательность срабатывает, даже если машина ушла в нирвану и уже не реагирует на . Причем, в отличие от RESET, комбинация выполняет сброс дисковых буферов, что уменьшает риск потери данных, поэтому CrashOnCtrlScroll стоит настроить и в том случае, когда мы не собираемся охотиться на руткиты.

В тех случаях, когда CrashOnCtrlScroll не настроен, а перезагрузка не приемлема, можно взять любой драйвер из NTDDK и вставить в начало DriverEntry какую-нибудь недопустимую операцию: деление на ноль, обращение к памяти по нулевому указателю и т.д. Тогда при загрузке драйвера немедленно вспыхнет голубой экран, а на диск будет сброшен полный дамп памяти ядра со всей малварью, в нем содержащейся.

В Linux ручной сброс дампа осуществляется при нажатии (при этом ядро должно быть откомпилировано с параметром CONFIG_MAGIC_SYSRQ, равным «yes», или должна быть выполнена команда «echo 1 > /proc/sys/kernel/sysrq»).

В xBSD-системах комбинация (кстати говоря, измененная в некоторых раскладках клавиатуры) вызывает всплытие ядерного отладчика (аналог для SoftICE в NT), который, к сожалению, по умолчанию не входит в ядро, и потому его необходимо предварительно перекомпилировать, добавив строки «options DDB» и «options BREAK_TO_DEBUGGER» в файл конфигурации ядра. Если же последняя опция не обозначена (о ней часто забывают), то в отладчик можно войти из консоли командой «sysctl debug.enter_debugger=ddb».

Полученный дамп ядра можно анализировать любой сподручной утилитой, благо недостатка в них ощущать не приходится. Например, в NT для этой цели обычно используется
WinDbg , но мыщъх предпочитает исследовать систему вживую с помощью SoftICE, ближайшим аналогом которого в мире Linux является
LinICE .

Значит, нажимаем мы (SoftICE), (LinICE) или (xBSD) и оказываемся в ядре. Далее пишем «u имя_функции» и последовательно перебираем имена всех функций (ну или не всех, а самых соблазнительных для перехвата), список которых под NT можно получить командой «dumpbin.exe ntoskrnl.exe /export > output.txt» (где dumpbin.exe – утилита, входящая в состав Microsoft Visual Studio и Platform SDK). А под Linux/xBSD эту же задачу можно решить, изучив символьную информацию несжатого и нестрипнутого ядра.

В начале нормальных, неперехваченных функций должен находиться стандартный пролог вида «PUSH EBP/MOV EBP, ESP» или типа того. Если же туда воткнут JMP или CALL, то с вероятностью, близкой к единице, данная функция кем-то перехвачена. А вот кем — это вопрос. Кроме руткитов перехватом занимаются антивирусы, брандмауэры и другие программы, поэтому, прежде чем отправляться на поиск малвари, необходимо хорошо изучить особенности своей системы со всеми установленными приложениями.

Продвинутые руткиты внедряют JMP/CALL не в начало функции, а в ее середину, чтобы не вызывать подозрений. На самом деле, проанализировав код хакнутой функции, легко убедиться в некоторой его ненормальности. Левый JMP/CALL просто не вписывается в алгоритм! Однако, чтобы прийти к подобному заключению, необходимо не только знать ассемблер, но и иметь опыт дизассемблирования. К счастью, продвинутые руткиты встречаются достаточно редко, и подавляющее большинство из них внедряется в самое начало.

Просмотрев все функции и убедившись в отсутствии следов явного перехвата, приступаем к изучению таблицы системных функций, которая под SoftICE вызывается командой NTCALL, а под Lin-Ice – командой D sys_call_table. Поскольку функции, перечисленные в таблице, не экспортируются ядром NT, то в отсутствие символьной информации (которую можно получить с сервера Microsoft с помощью утилиты SymbolRetriver от NuMega) SoftICE отображает имя ближайшей экспортируемой функции плюс смещение. А потому мы не можем быстро сказать: перехвачена данная функция или нет, и нам придется набирать команду «u адрес_функции», чтобы посмотреть, что там находится: нормальный, неперехваченный пролог или JMP/CALL. В
никсах информация о символах присутствует по умолчанию и подобных проблем не возникает.

Естественно, помимо описанных существуют и другие методики перехвата, используемые руткитами, однако они довольно сложны для понимания и требуют предварительной подготовки, а потому здесь не рассматриваются.

Компьютерным вирусом можно назвать программу, которая скрытно работает и наносит вред всей системе или какой-то отдельной ее части. Каждый второй программист сталкивался с данной проблемой. Не осталось уже ни одного пользователя ПК, который не знал бы, что такое

Виды компьютерных вирусов:

  1. Черви. Это программы, которые захламляют систему путём постоянного размножения, копирования самих себя. Чем больше их в системе, тем медленнее она работает. Червь никак не может слиться с любой безопасной программой. Он существует в виде самостоятельного файла(ов).
  2. сливаются с безвредными и маскируются в них. Они не наносят никакого ущерба компьютеру, пока пользователь не запустит файл, в котором находится троян. Эти вирусы используются для удаления и изменения данных.
  3. Шпионские программы занимаются сбором информации. Их цель - обнаружить коды, пароли и передать тому, кто создал их и запустил в интернет, проще говоря - хозяину.
  4. Зомби-вирусы дают возможность хакеру контролировать заражённый компьютер. Пользователь может вообще не знать, что его ПК заражен и кто-то его использует.
  5. Блокирующие программы не дают возможности вообще войти в систему.

Что такое руткит?

Руткит - это одна или несколько программ, которые скрывают присутствие нежелательных приложений на компьютере, помогая злоумышленникам действовать незаметно. Он содержит в себе абсолютно весь набор функций вредоносного ПО. Поскольку это приложение зачастую находится глубоко в недрах системы, обнаружить его при помощи антивируса или других средств безопасности крайне сложно. Руткит - это набор программных средств, которые могут считывать сохранённые пароли, сканировать различные данные, а также отключать защиту ПК. Вдобавок, здесь есть функция бэкдора, это значит, что программа предоставляет хакеру возможность подключиться к компьютеру на расстоянии.

Другими словами, руткит - это приложение, которое отвечает за перехват системных функций. Для операционной системы Windows можно выделить такие популярные руткиты: TDSS, Necurs, Phanta, Alureon, Stoned, ZeroAccess.

Разновидности

Существует несколько вариантов этих вирусных программ. Их можно разделить на две категории: user-mode (пользовательские) и kernel-mode (руткиты уровня ядра). Утилиты первой категории имеют те же возможности, что и обычные приложения, которые можно запустить на устройстве. Они могут использовать память уже запущенных программ. Это наиболее популярный вариант. Руткиты второй категории находятся глубоко в системе и имеют полный доступ к компьютеру. Если такая программа установлена, то хакер может делать с атакованным устройством практически все, что хочет. Руткиты такого уровня гораздо сложнее создать, поэтому первая категория и пользуется большей популярностью. Но вирусную программу уровня ядра совсем непросто найти и удалить, и защита от компьютерных вирусов зачастую здесь абсолютно бессильна.

Существуют и другие, более редкие варианты руткитов. Называют эти программы буткитами. Суть их работы заключается в том, что они получают контроль над устройством задолго до запуска системы. Совсем недавно были созданы руткиты, атакующие Android-смартфоны. Хакерские технологии развиваются так же, как лецинзионное ПО - идут в ногу со временем.

Самодельные руткиты

Огромное количество зараженных компьютеров находятся в так называемой зомби-сети и используются для того, чтобы рассылать спам-сообщения. При этом пользователи этих ПК ничего не подозревают о такой «деятельности». До сегодняшнего дня было принято думать, что создавать упомянутые сети могут лишь профессиональные программисты. Но совсем скоро все может кардинально измениться. В сети реально найти всё больше инструментов для создания вирусных программ. Например, при помощи набора под названием Pinch можно легко создать руткит. Основой для этого вредоносного ПО будет Pinch Builder Trojan, который можно дополнить различными функциями. Это приложение с лёгкостью сможет считывать пароли в браузерах, распознавать вводимые данные и отправлять их аферистам, а также ловко прятать свои функции.

Способы заражения устройства

Изначально руткиты внедряются в систему точно так же, как и другие вирусные программы. При уязвимости плагина или браузера попасть на компьютер для приложения не составит никакого труда. Часто для этих целей используют флеш-накопители. Иногда хакеры просто бросают флешки в местах скопления людей, где человек может забрать зараженное устройство с собой. Так на компьютер жертвы попадает руткит. Это приводит к тому, что приложение использует слабые стороны системы и с легкостью получает доминирующее положение в ней. Затем программа проводит установку вспомогательных компонентов, которые используются для управления компьютером на расстоянии.

Фишинг

Нередко система заражается посредством фишинга. Существует большая возможность попадания кода на компьютер в процессе скачивания нелицензированных игр и программ. Очень часто его маскируют под файл, который называется Readme. Никогда нельзя забывать об опасности софта и игр, скачиваемых с непроверенных сайтов. Чаще всего пользователь запускает руткит самостоятельно, после чего программа сразу же прячет все признаки своей деятельности, и обнаружить ее потом очень непросто.

Почему руткит тяжело обнаружить?

Эта программа занимается перехватом данных различных приложений. Иногда антивирус засекает эти действия сразу. Но зачастую, когда устройство уже подвергнуто заражению, вирус с лёгкостью прячет всю информацию о состоянии компьютера, при этом следы деятельности уже исчезли, а сведения обо всём вредном софте удалены. Очевидно, что в такой ситуации у антивируса нет возможности найти какие-либо признаки руткита и попытаться устранить его. Но, как показывает практика, способны сдержать такие атаки. А компании, которые занимаются производством защитного ПО, регулярно обновляют продукцию и добавляют в неё необходимую информацию о новых уязвимостях.

Поиск руткитов на компьютере

Для поиска этих можно использовать различные утилиты, специально созданные для этих целей. Неплохо справляется с этой задачей "Антивирус Касперского". Следует просто проверять устройство на наличие всякого рода уязвимостей и вредоносных программ. Такая проверка очень важна для защиты системы от вирусов, в том числе и от руткитов. При помощи сканирования обнаруживается вредоносный код, который не смогла засечь защита от нежелательных программ. Вдобавок поиск помогает найти уязвимые места операционной системы, через которые злоумышленники могут заниматься распространением вредоносных программ и объектов. Вы ищете подходящую защиту? Вам вполне подойдет "Касперский". Руткит можно обнаружить, просто включив периодический поиск этих вирусов в вашей системе.

Для более детального поиска подобных приложений необходимо настроить антивирус на проверку работы важнейших файлов системы на самом низком уровне. Также очень важно гарантировать высокий уровень самозащиты антивируса, так как руткит может запросто вывести его из строя.

Проверка накопителей

Для того чтобы быть уверенным в безопасности компьютера, необходимо проверять при включении все переносные накопители. Руткиты могут легко проникнуть в вашу операционную систему через съемные диски, флешки. "Антивирус Касперского" подвергает моноторингу абсолютно все съемные при подключении их к устройству. Для этого нужно просто настроить проверку накопителей и обязательно следить за обновлением вашего антивируса.

Удаление руткита

В борьбе с этими вредоносными приложениями существует много сложностей. Главная проблема заключается в том, что они довольно успешно противостоят обнаружению путём сокрытия ключей реестра и всех своих файлов таким образом, что антивирусные программы не в силах их найти. Существуют вспомогательные программы для удаления руткитов. Эти утилиты были созданы для поиска вредоносного ПО при помощи различных методов, в том числе и узкоспециальных. Можно скачать довольно эффективную программу Gmer. Она поможет уничтожить большинство известных руткитов. Еще можно посоветовать программу AVZ. Она успешно обнаруживает почти любой руткит. Как удалить опасное ПО с помощью этой программы? Это несложно: выставляем нужные настройки (утилита может как отправлять зараженные файлы на карантин, так и самостоятельно их удалять), далее выбираем вид проверки - полный моноторинг ПК или частичный. Затем запускаем саму проверку и ждем результатов.

Специальная программа TDSSkiller эффективно борется с приложением TDSS. AVG Anti-Rootkit поможет убрать оставшиеся руткиты. Очень важно после работы подобных помощников проверить систему на наличие заражения при помощи любого антивируса. Kaspersky Internet Security прекрасно справится с этой задачей. Более того, эта программа способна удалять более простые руткиты посредством функции лечения.

Нужно помнить о том, что при поиске вирусов любым защитным ПО не следует открывать никаких приложений и файлов на компьютере. Тогда проверка будет более эффективной. Естественно, необходимо не забывать регулярно обновлять антивирусное ПО. Идеальный вариант - ежедневное автоматическое (устанавливается в настройках) обновление программы, которое происходит при подключении к Сети.

Странное поведение операционной системы на моём домашнем компьютере в последние дни, заставило меня задуматься о её проверке на наличие руткит (Rootkit), то есть таких вредоносных программ, которые успешно могут скрывать от пользователя своё присутствие в системе.

Почему я сразу подумал о руткитах? А потому, что полная проверка системы на вирусы бесплатным антивирусом (не буду конкретизировать каким), который успешно боролся с ними на протяжении всего года, никаких результатов не дала.

Якобы и вирусов никаких нет и компьютер продолжает работать неправильно! Уверен почти на все 100%, что в инфицировании системы активно принимали участие мои дети, которым очень нравятся онлайн-игры и нажать какую-нибудь лишнюю кнопку на сайтах с играми для них не проблема.

А как известно, rootkit в первую очередь попадает на компьютер пользователя, используя уязвимости браузеров или плагинов. Поиск утилиты для борьбы с руткитами я начал, конечно же, на сайте Лаборатории Касперского и на нём свой поиск закончил, так как необходимый инструмент под названием “TDSSKiller” был найден сразу.

Особенности антируткит утилиты “Kaspersky TDSSKiller” :

  • эффективное обнаружение и удаление всего семейства известных руткитов и буткитов;
  • бесплатная, имеет графический интерфейс и небольшой размер;
  • поддерживает 32-х и 64-х рязрядные ОС Windows, включая и Windows 10;
  • умеет работать в безопасном режиме и т.д.

Теперь с её помощью приступим к поиску rootkit в системе. Переходим на сайт:

Https://support.kaspersky.ru/viruses/disinfection/5350

Сохраняем файл на компьютер.

РУТКИТ

Запускаем скачанный файл. Установка не требуется и желательно иметь активное подключение к интернету.

Нажимаем кнопку “Принять” два раза.

В окне “Всё готово к проверке” кликаем по кнопке “Начать проверку”. Опцию “Изменить параметры” можно не трогать и ждём окончания процесса сканирования и нейтрализации найденных угроз.

На этом статья заканчивается для тех пользователей, у которых руткит в был найден и успешно нейтрализован. А у меня, после завершения сканирования оказалось, что предположение о внедрении в операционную систему руткитов первоначально было не верно. Антируткит утилита никаких угроз не обнаружила.

Если вы оказались в похожей ситуации, в первую очередь прогоните ОС антируткит утилитой, а потом, если ничего не помогло, поменяйте свой антивирус. Только если он не Антивирус Касперского, а какой-либо из бесплатных.

Не всегда бесплатно, значит лучше. Спасибо за внимание!

P.S. Если вас интересует видео инструкция о том, как установить ОС Ubuntu рядом с Windows, тогда перейдите по .

Симптомы заражения руткитом

На практике обнаружение руткита не всегда возможно из-за того что данный вид взлома системы в большинстве случаев достаточно эффективно замаскирован в ее недрах, но в том случае, если начинаются активные действия злоумышленника типа передачи больших массивов информации, подозрительных подключений, изменений файлов, внешним необычным и нехарактерным для самой ОС проявлениям, поддающимся идентификации антивирусным ПО, то именно так и чаще всего пользователь может узнать об этом. Иными словами симптома всего два - подозрительные процессы в системе и результаты сканирование антивируса. В ряде же случаев выявить руткит в системе можно с помощью узконаправленного специализированного ПО, достаточных для того знаний и опыта.

Каким образом руткиты попадают в компьютер?

Чаще всего руткиты проникают в ПК посредством инфицированного пиратского или вредоносного ПО. "Широко распахнутыми воротами" для руткитов являются дыры и уязвимости в системе и приложениях, появляющиеся в результате повреждения другими вредоносными программами или несвоевременном обновлении таковых приложений до актуальных безопасных версий. Обнаружив такие уязвимости, руткит получает доступ к системным файлам, модифицирует их и устанавливает необходимые компоненты для получения скрытого удаленного доступа к системе, который часто достаточно сложно поддается обнаружению.

Как самостоятельно удалить руткит, если он обнаружен?

Самостоятельные и неумелые попытки удаления руткитов могут привести к сбоям в работе системы и ее приложений. Чаще всего удалением пары тройки файлов не обойтись, так как руткиты хорошо себя маскируют. Требуется комплексная проверка модификации файлов, файлов реестра, приложений, процессов, служб и других действий. Если же ваш антивирус, к примеру, антивирус Касперского все же обнаружил подозрительные файлы в компьютере, прежде чем их удалять сделайте на всякий случай их копии, чтобы потом при сбоях восстановить их для последующих попыток лечения.

Как и с помощью каких антивирусных антируткит программ найти/обнаружить руткиты?

Выбор программного обеспечения для обнаружения руткитов достаточно большой. Степень обнаружения ими руткитов разная, стопроцентного результата обнаружения и удаления, к сожалению, нет ни у одной. Приведем лишь список тех антивирусных программ и утилит антируткитов, которые ищут и удаляют их более менее прилично:

  • AVG Anti-Rootkit
  • Avira Rootkit Detection
  • Dr.Web
  • F-Secure
  • Kaspersky
  • Kaspersky TDSSKiller
  • KernelDetective
  • McAfee
  • Online Solutions Autorun Manager
  • Panda Anti-Rootkit
  • Rootkit Unhooker
  • RootRepeal
  • Sophos Anti-Rootkit
  • Symantec
  • Sys Reveal
  • Trend Micro RootkitBuster
  • VBA32
  • XueTr

Именно эти программы мы используем для автоматического поиска/обнаружения руткитов. Все они в той или иной мере позволяют найти и удалить различные разновидности руткитов.

Основные советы о том, как защитить компьютер от руткитов

Вот несколько простых правил, соблюдая которые вы сможете существенно повысить уровень антивирусной безопасности и снизить риск проблемных случаев:

  • Используйте только лицензионное программное обеспечение;
  • Пользуйтесь последними версиями операционных систем;
  • Регулярное обновляйте программное обеспечение;
  • Не пользуйтесь административной учетной записью;
  • Обязательно используйте эффективное и корректно настроенное антивирусное программное обеспечение;
  • Оградите свой компьютер от сторонних лиц;
  • Проверяйте съемные носители информации на наличие вредоносных программ;
  • Не скачивайте и не открывайте подозрительные файлы, полученные из ненадежных источников;
  • Закажите у нас услуги по обеспечению качественной антивирусной безопасности.

Почему иногда обнаруженный руткит не удаляется антивирусом?

Это достаточно распространенная ситуация, возникающая из-за того что обнаружена лишь часть вредоносного кода, после удаления которой ядро руткита восстанавливает эту часть. В данном случае требуется поиск ядра. Подобное случается также из-за того, что были поражены файлы операционной системы и их удаление может привести к сбоям работы системы и именно поэтому, заложенный в антивирусы алгоритм не может удалить эти файлы из-за ограничений самой системы на манипуляции с такими файлами, т.е. у антивируса недостаточно прав на подобные действия.

Руткит - это вредоносная программа, которая скрывает следы присутствия каких-либо сторонних программ, вредоносных программ в операционной системе. На наш взгляд руткит является наиболее опасной вредоносной программой из-за возможности скрытия любых следов настоящего или предыдущего присутствия кого или чего либо в системе и производимых действий. Обнаружить руткит – задача очень сложная, требующая профессиональных знаний и большого опыта. Злоумышленник может посредством вируса, червя или другого вида вредоносной программы и закрепиться там. Если компьютер подключен к сети интернет, то в зависимости от руткита, злоумышленник де-факто может получить абсолютный доступ ко всей вашей системе, он может изменять любые параметры системы, получать всю необходимую информацию, использовать ресурсы вашего компьютера для своих целей и так далее. Из-за своего скрытого присутствия рядовой пользователь даже не сможет предположить, что в его системе присутствует такая разновидность вредоносной программы, а злоумышленник в это время в меру своих способностей и знаний будет использовать ваш компьютер в своих целях или получать всю необходимую информацию. Мы постараемся максимально обезопасить ваш компьютер от присутствия вредоносных программ.

В данной категории рассматриваются различные программы для поиска и удаления руткитов. Наибольшая опасность таких вредоносных программ заключается в том, что они получают контроль на уровне ядра операционной системы. Проще говоря, они становятся частью операционной системы, и могут делать что угодно. Скрывать процессы, блокировать доступ, использовать ваш компьютер для работы сети ботнета, загружать различные программы и много другого. При этом вы можете даже и не подозревать, что у вас находится руткит. Потому что их основная задача не сломать или каким-то образом засорить систему (хотя и такие бывают), а скрытно действовать в течении длительного времени. Некоторые из таких руткитов даже способны блокировать работу антивирусных программ .

Обзор бесплатных программ для удаления руткитов

Существует много программ для борьбы с руткитами. Но, большинство из них предназначены для технически подкованных пользователей, которые хорошо знают особенности работы операционных систем. Такие программы вряд ли подойдут обычным пользователям. Однако, в данном классе программ есть и несколько вариантов, которые не потребуют от пользователей особых технических знаний, при этом они будут столь же эффективны.

Программа удаления руткитов Kaspersky TDSSKiller от одноименной компании

Одним из лучших решений можно назвать . Данная программа имеет достаточно простой и понятный интерфейс. Она достаточно быстро работает, и способна обнаружить достаточно большое число руткитов.

На самом деле сложно их порекомендовать обычным пользователям, ведь результаты для них могут показаться просто набором непонятных символов (результаты имеют чисто технических характер, т.е. полное отсутствие красивых фраз "Утилита все сама очистила", "Вам не о чем беспокоиться" и т.д.). Обычно действовать необходимо быстро, поэтому эти программы вы вспомните в последнюю очередь. Но, если все же вы каким-то образом поймали особо редкий и сложно очищаемый руткит, то они станут неоценимыми помощниками в борьбе за свой компьютер, ведь вам будет предоставлен огромный спектр полезной информации.

Программа удаления руткитов Avast Anti-Rootkit от известного производителя

Интерфейс напоминает окно командной строки, но не надо пугаться, ведь интерфейс очень простой и понятный в использовании. Эта программа может сканировать компьютер и MBR на наличие руткитов, а так же фиксировать ряд проблем. Обычным пользователям может быть немного не просто понять результаты работы программы, но тем не менее, программа свою задачу выполняет хорошо. Она так же хорошо нашла TDSS и ряд других современных руткитов, как и TDSS Killer. Но, были небольшие проблемы при их удалении. Зато у данной программы есть одна важная функциональность, без которой порой сложно обойтись при удалении руткитов. Это возможность выполнить FixMBR прямо из Windows. Обычно для этого нужно загрузиться с диска восстановления Windows или LiveCD. А в данной программе для этого надо всего лишь кликнуть на кнопке FixMBR. Именно поэтому такую программу стоит всегда держать при себе.

Антивирусное средство Dr.Web CureIt! профилактика полезна

Следующий продукт, который входит в обзор - это . Его всегда стоит держать при себе. CureIt! не является полноценным инструментом для поиска и удаления руткитов, как другие программы, о которых шла речь ранее. Это скорее бесплатный сканер вредоносных программ , по сути, миниантивирус. Но, он достаточно эффективен при борьбе с рядом руткитов. Правда, гарантировать, что он сможет выловить все руткиты тоже нельзя. Его скорее стоит применять как дополнение к основному средству по борьбе с руткитами. Тем не менее, стоит отметить, что на время своего сканирования он создает достаточно безопасную среду исполнения. Тот факт, что он останавливает все процессы делает ему только плюс, так как вредоносные программы могут попытаться блокировать его работу. Он так же может производить глубокое сканирование вашего диска. Так же позволяет перезагрузиться в безопасный режим для поиска и удаления вредоносных программ.

Ещё утилиты для поиска и удаления руткитов

Sophos Anti-Rootkit (теперь называется Sophos Virus Removal Tool, к сожалению стала триальной, возможно, старые версии еще можно найти на файловых хранилищах) - неплохая и простая в использовании программа, без возможности указывать тип сканирования (она сканирует все). Но, также как и CureIt!, ее сложно назвать специализированной программой для поиска и удаления руткитов. Т.е. тоже можно использовать как дополнение к основному средству, правда в отличие от CureIT! она требует установки. Процесс работы очень прост. Вы просто запускаете сканирование и ожидаете результатов. После окончания поиска в интерфейсе появляется список обнаруженных угроз. При этом вы можете развернуть каждую угрозу и посмотреть где именно располагаются хвосты каждой конкретной угрозы. Возможно она была бы отличной утилитой по поиску и удалению руткитов, если бы она не была переориентирована со специализированного средства до миниантивируса.

F-Secure Blacklight (к сожалению, сайт недоступен, необходимо искать версию на файловых хранилищах) это еще один отличный инструмент для удаления руткитов. К сожалению, его поддержка закончилась пару лет назад, и теперь его даже не найти на их сайте. Тем не менее, он все же есть на просторах интернета и совместим с Windows Vista и XP. Если вы попытаетесь запустить его на Windows 7, то будьте готовы увидеть диалоговое окно с сообщением "несовместимая ошибка".

BlackLight хорошо находит и удаляет старые руткитами, но рассчитывать на то, что он сможет обнаружить самые современные руткиты - будет грубой ошибкой. Именно поэтому все же рекомендуется использовать другие программы.

Руководство по быстрому выбору (ссылки для скачивания бесплатных программ для удаления руткитов)

Kaspersky TDSSKiller

Простой и понятный интерфейс. Быстро работает. Справляется с известными современными руткитами.
Очень похоже, что программа распознает только небольшой диапазон руткитов.

GMER

Отличный инструмент с подробными техническими отчетами о сканировании.
Нет файла справки, но информация есть в интернете. Не подходит для обычных пользователей.

Avast Anti-Rootkit

Хорошо работает. Обнаруживает большинство руткитов. Проста в использовании. Возможность "Fixmbr "в Windows - неоценимо.
Результаты иногда трудно понять. При попытке удалить некоторые руткиты зависала.

Dr.Web CureIt!

Останавливает процессы. Создает собственную среду исполнения.
Нельзя использовать как основное средство по борьбе с руткитами.


Предыдущая статья: Следующая статья:

© 2015 .
О сайте | Контакты
| Карта сайта