RkUnhooker - самая мощная, на мой взгляд, программа для обнаружения руткитов и борьбы с другими вредоносными программами. Позволяет обнаружить и снять перехваты таблицы SDT и кода, показывает все скрытые драйвера, процессы и файлы. Через RkUnhooker можно убивать файлы запущенных процессов, в том числе с перезаписью пустыми данными для предотвращения их повторного запуска, снимать дампы памяти процессов для анализа и многое другое. Хорошо защищается от внешнего воздействия и модификации своего файла. Русский язык в наличии. К сожалению, в настоящее время проект закрыт.
Tuluka.Kernel.Inspector.1.0.394.77.zip (2,893,650 bytes)
Руткиты (rootkit) в мире компьютерных вирусов прослыли как самые отъявленные шпионы. Они умеют скрывать своё присутствие не только от пользователя, но и от многих антивирусных программ. Внедряются в системные процессы, файлы, память. Действуют на уровне ядра (в абсолютной «глубине» Windows). В их теле могут находиться другие зловреды - трояны, клавиатурные шпионы, сканнеры банковских карт, черви.
Эта статья расскажет вам о том, что можно предпринять рядовому пользователю, чтобы удалить руткит из ОС.
Первые помощники в детектировании и нейтрализации подобных цифровых инфекций из ПК - специальные утилиты. Ознакомимся с самыми популярными решениями, отлично зарекомендовавшими себя в борьбе с руткитами.
TDSSKiller
Продукт, созданный в лаборатории Касперского. Распространяется бесплатно. Находит и обезвреживает многие разновидности «штамма». В том числе: TDSS, SST, Pihar, Stoned, Сidox. А также отслеживает руткит-аномалии: скрытые/заблокированные сервисы и файлы, подменённые/модифицированные системные процессы, вредоносные настройки в MBR (загрузочном секторе дискового раздела).
Чтобы проверить ОС при помощи этой утилиты, выполните следующие действия:
1. Откройте в браузере страницу - support.kaspersky.ru/viruses/disinfection/5350 (официальный сайт компании Kaspersky).
2. Щёлкните мышкой по первому разделу «1. Как вылечить… ».
4. Запустите скачанный инсталлятор двойным щелчком мыши. В окне «Разрешить… ?» выберите «Да».
5. Под текстом лицензионного соглашения клацните по кнопке «Принять». Эти же действия выполните и в блоке «KSN-соглашение».
6. В панели антируткита откройте опцию «Изменить параметры».
7. В новом окне «Настройки», в разделе «Дополнительные опции», включите функцию «Проверять цифровые подписи… » (установите флажок).
Совет! Дополнительно в разделе «Объекты… » можно активировать проверку загруженных модулей (потребуется перезагрузка ОС).
8. Щёлкните «OK».
9. Нажмите кнопку «Начать проверку».
10. По завершении сканирования ознакомьтесь с отчётом. В нём будет указано, сколько удалено вредоносных объектов с компьютера.
Bitdefender Rootkit Remover
Простой в использовании антируткит (стартует по одному клику мышки). Разработан компанией Bitdefender’s LABS. Распознаёт множество актуальных угроз: TDL/SST/Pihar, Plite, Fips, MBR Locker, Ponreb, Mebroot и др. Является портативным приложением (не требует инсталляции). Молниеносно выполняет проверку. В каждом релизе утилиты обновляется и расширяется база зловредов.
Чтобы воспользоваться Rootkit Remover, выполните нижерасположенную инструкцию:
1. Откройте страницу для загрузки утилиты - abs.bitdefender.com/projects/rootkit-remover/rootkit-remover/ (офсайт разработчика).
2. Выберите дистрибутив, согласно разрядности установленной Windows (x86 или x64): щёлкните по соответствующей ссылке.
Совет! Узнать тип ОС можно в Панели управления: Система и безопасность → Система.
3. Запустите загруженный исполняемый файл от имени администратора.
4. Для запуска проверки в окне приложения клацните по кнопке «Start Scan».
AVZ
Мультифункциональный антивирусный сканер, созданный российским программистом Олегом Зайцевым. Способен найти и обезвредить вирус любого типа (включая модули SpyWare и Adware, трояны, черви). Оснащён специальным инструментом для эффективного выявления руткитов - настраиваемым модулем Anti-Rootkit.
Чтобы проверить Windows на наличие вирусов утилитой AVZ, выполните нижеприведённое руководство:
1. Перейдите на страницу для скачивания - z-oleg.com/secur/avz/download.php (официальный веб-ресурс разработчика).
3. После загрузки распакуйте архив: щелчок правой кнопкой → Извлечь всё.
4. Запустите с правами администратора файл AVZ (иконка «щит и меч»).
5. Обновите сигнатурные базы утилиты: в вертикальной панели кнопок, расположенной в правой нижней части окна, кликните по кнопке «земной шар». В новом окне нажмите «Пуск».
6. Выполните предварительные настройки на вкладках:
- «Область поиска» - установите флажки возле разделов диска, которые необходимо проверить;
- «Типы файлов» - включите опцию «Все файлы»;
- «Параметры поиска» : в блоке «Эвристический анализ» передвиньте регулятор порога вверх (до значения «Максимальный уровень»), включите функцию «Расширенный анализ»; в «Anti-Rootkit» установите флаги возле всех надстроек (детектировать перехватчики, блокировать работу Rootkit User-Mode и Kernel-Mode).
7. Чтобы началась проверка разделов, нажмите по кнопке «Пуск».
Условно-бесплатное решение (триал - 180 дней) от отечественного разработчика Greatis Software. Одинаково успешно борется как с руткитами, так и с угонщиками браузеров, рекламным ПО. Поддерживает безопасный режим. Совместим с Windows 10.
Чтобы задействовать утилиту:
1. Скачайте инсталлятор с офсайта (greatis.com/unhackme/): щёлкните на странице кнопку «Download».
2. Распакуйте загруженный архив (клик правой кнопкой → Извлечь всё).
3. Запустите файл unhackme_setup. Следуйте указаниям установщика.
4. Кликните ярлык утилиты на рабочем столе.
5. В окне приложения, в разделе «Настройки», в блоке «Поиск руткитов… », проверьте, включена ли опция «Активен».
6. Перейдите на вкладку «Проверить» и нажмите с таким же названием красную кнопку.
7. В отрывшемся меню выберите режим сканирования:
- «Онлайн проверка… » - подключение баз, находящихся на сервере разработчика;
- «… тест» - оперативное тестирование;
- «Сканирование… » - детектирование и обезвреживание в безопасном режиме.
Trend Micro RootkitBuster
Свободно распространяется. Проверяет файлы, реестр, службы, драйверы, загрузочные сектора, перехватчики (service hooks), порты и многие другие важные составляющие ОС. Детектирует широкий спектр руткитов.
Чтобы «вылечить» ПК утилитой RootkitBuster:
1. Откройте офсайт компании - trendmicro.com/us/index.html.
2. Перейдите в раздел «Download».
3. В списке программных продуктов, в разделе «Other», щёлкните «RootkitBuster».
4. Выберите релиз (для 32 или 64-битной системы).
5. Запустите скачанный антируткит от имени администратора.
6. Включите проверку всех элементов (Master Boot Records, Services, Kernel Code).
7. Нажмите «Scan Now» для старта сканирования.
Безусловно, есть и другие антируткиты. Применяйте только действенные и удобные в пользовании решения от известных разработчиков. Также «не списывайте со счетов» лечащие утилиты (Dr.Web CureIt!, Kaspersky Virus Removal Tool, Malwarebytes Anti-Malware) и антивирусные загрузочные диски (Avira, Panda, Kaspersky и др.), выполняющие проверку без запуска ОС.
Удачной охоты на руткитов! И помните, что в борьбе с ними все средства хороши.
Итак, продолжим рассматривать приложения, которые могут помочь нам избавиться от руткитов на наших ПК. Предыдущую часть статьи можно .
Sophos Anti-Rootkit
Это довольно компактное приложение для борьбы с руткитами, обладающее простым и понятным интерфейсом (то, чего не хватает «профессиональным» утилитам). Утилита сканирует реестр и критические, по мнению разработчиков, каталоги системы, выявляя скрытые объекты. Sophos Anti-Rootkit требует установки в систему. В отличие от большинства других программ со сходными функциями это приложение предупреждает пользователя о возможности влияния на производительность и работоспособность ОС в случае удаления того или иного конкретного руткита.
При запуске программа предложит нам выбрать, что именно будет сканироваться. Откровенно говоря, лучше сканировать все. Исключение даже одного пункта (системный реестр, запущенные процессы и локальные диски) оставит лазейку для руткитов, окопавшихся в системе. После сканирования из обнаруженных Sophos Anti-Rootkit объектов (туда стабильно попадают модули Symantec Antivirus, Kaspersky Antivirus, драйверы виртуальных CD-ROM и т.п.) нужно выбрать те, которые вы решили удалить, согласившись с тем, что они крайне подозрительны.
Для облегчения принятия решения программа даже дает описания найденных объектов с рядом рекомендаций. Для того, чтобы прочитать его, нужно выделить найденный объект.
Кроме того, приложение дает полный путь к объекту и ряд дополнительной информации в его описании. Можно изучить найденный объект, посмотреть сведения о нем в интернете и только потом принять взвешенное решение. После совершения выбора остается только нажать на кнопку «Clean up checked items».
RootRepeal
Это приложение почему-то довольно редко используют и описывают. Между тем, RootRepeal очень хороший и эффективный инструмент, позволяющий обнаруживать множество вариантов руткитов.
Эта программа портативна, хотя и не так наглядна, как Sophos Anti-Rootkit, однако при приложении минимальных усилий со стороны пользователя способна оказать огромную помощь в обнаружении вредоносного ПО. Однако она не указывает пользователю автоматически, что именно в этом месте сидит руткит, а предоставляет информацию (запущенные процессы, используемые файлы, скрытые процессы, хуки, информация о ядре системы и т.п.), которую пользователю придется проанализировать и оценить самому.
После анализа и обнаружения подозрительных процессов можно отыскать в интернет их описания и, при необходимости, воспользоваться инструментарием RootRepeal для стирания файлов, завершения процессов или редактирования ключей реестра.
AVZ
Последней я оставил хорошо знакомую многим утилиту AVZ - антивирус Зайцева. Это инструмент с огромным количеством функций, который, среди всего прочего, может помочь в борьбе с руткитами. AVZ не требует установки (портативна). Обновляется она достаточно регулярно.
Для выполнения сканирования и обнаружения притаившихся в недрах системы руткитов, нужно выбрать нужный диск или директории в «Области поиска». AVZ прекрасно распознает руткиты, которые можно удалить автоматически или же может принимать решение в каждом отдельном случае (примечание редактора: можно задать в настройках программы варианты действий AVZ в тех или иных случаях) .
Поиск руткитов происходит в AVZ на основании исследования базовых системных библиотек на предмет перехвата их функций, то есть без использования сигнатур. Что ценно в данном приложении, оно может производить корректную блокировку работы ряда возможных противодействий со стороны руткитов. Поэтому сканер утилиты может обнаруживать замаскированные процессы и ключи реестра.
Разумеется, возможны и ложные срабатывания. Поэтому внимательно смотрите, что вы стираете с помощью AVZ. С помощью AVZ возможно также восстановления ряда системных функций после атаки вирусов и руткитов. Это также весьма полезно.
Подводим итоги
Мы рассмотрели ряд программ, которые помогут обнаружить руткиты на компьютерах и ноутбуках. Следует отметить, что большинство коммерческих, да и бесплатных антивирусов обзавелись уже достаточно мощными блоками обнаружения и удаления руткитов. Более того, в ближайшей перспективе я прогнозирую значительное снижение интереса обычных пользователей к антируткитным решениям, так как соответствующие модули антивирусных решений будут улучшаться, а среднему пользователю вовсе нет никакого интереса самому копаться в процессах, драйверах и файлах. Ему интересен быстрый и желательно без лишних усилий результат. Пока традиционные антивирусные программы далеко не эталон в поиске руткитов, для такого рода пользователей я бы рекомендовал Sophos Anti-Rootkit. А вот для сложных случаев все равно придется использовать GMER или AVZ и повышать квалификацию. Эти инструменты еще не скоро окончательно сойдут со сцены.
И рассказывал, что это такое, перечислял основные симптомы заражения и давал рекомендации для обеспечения безопасности компьютера. Если вы не читали ее, обязательно с ней ознакомьтесь. Ведь как говорится, предупрежден – значит вооружен.
Потому как сегодня мы уже будем говорить о том, как удалить руткиты благодаря использованию специальных . Все действия будут выполняться вручную.
Утилиты, рассмотренные ниже абсолютно бесплатны и не конфликтуют с установленным антивирусным ПО. Поэтому смело их используйте. Желательно предварительно загрузившись через безопасный режим.
Kaspersky Rescue Disk
Пожалуй, самым лучшим способом лечения ПК является использование загрузочных антивирусных дисков. Связано это с тем, что при загрузке с такого диска вирусы будут неактивны, а значит их можно будет легко найти и обезвредить.
Аварийный диск от Касперского показал хорошую эффективность в восстановлении работоспособности компьютера после заражения самыми разными угрозами. Поэтому, если у вас есть подозрение на заражение ПК вредоносным ПО, обязательно его используйте.
Dr.Web Live Disk
Своеобразный аналог предыдущей утилиты от Касперского. Используется для восстановления системы после заражения вирусами. Ему практически нет равных в поиске и удалении руткитов.
Live Disk полностью бесплатен, можно записать как на флешку, так и на диск. Процедура записи будет аналогична по сравнению с Live CD от Касперского.
Dr.Web Cureit
Данная утилита работает прямо из-под системы Windows. Не так давно я уже рассказывал о ее использовании в статье, посвященной .
Она бесплатная, поэтому, ее достаточно скачать с официального сайта и запустить процесс сканирования. По завершению процесса вы увидите подробный отчет с имеющимися руткитами, отметьте угрозы галочками и удалите их.
Кстати, Доктор Веб нередко находит угрозу в файле hosts с уведомлением « ». Лечить которую, нужно не во всех случаях.
Kaspersky Virus Removal Tool
Еще одна программа от разработчиков антивируса Касперского. Ее также можно использовать для поиска и удаления как руткитов, так и любого другого вредоносного ПО. По своим возможностям утилита схожа с Cureit, но немного уступает ей в плане эффективности (говорю по личному опыту). Поэтому могу порекомендовать брать ее на вооружение только в качестве дополнительного средства.
Она весьма проста в использовании. Чтобы начать с ней работать, нужно:
Остается только дождаться завершения проверки и удалить найденные угрозы.
AVZ
Весьма эффективная программа для обнаружения и удаления руткитов, троянов, шпионского ПО и прочих угроз. Главными плюсами AVZ являются высокая результативность и регулярное обновление баз. В общем, обойти ее стороной никак нельзя.
Чтобы начать ей пользоваться, нужно:
По окончании очистки компьютера вы можете закрыть окно утилиты.
TDSSKiller
Программа TDSSKiller изначально была разработана для поиска руткитов и троянов различных модификаций. Ее любезно и на бесплатной основе предоставляют нам разработчики Касперского. Поэтому скачать утилиту можно с официального сайта .
Запустить проверку на руткиты с ее помощью достаточно просто:
Дождитесь завершения сканирования и удалите найденные rootkit вирусы.
Malwarebytes Anti-Rootkit
Широко известная компания разработчик антивирусного ПО «Malwarebytes» предоставляет своим пользователям отличный инструмент для поиска руткитов. Программа портативна и не конфликтует с установленными антивирусами.
Как ей пользоваться:
На этом процедура очистки от вирусов rootkit будет завершена.
Trend Micro RootkitBuster
Еще одна бесплатная программа, созданная специально для борьбы с вирусами типа Rootkit. Выполняет тщательную проверку системы на наличие опасного ПО и удаляет его.
Разберем процесс очистки более подробно:
После этого можно закрывать окно утилиты.
Sophos Anti-Rootkit
Популярная программа, используемая для поиска скрытых в системе руткитов. И, пожалуй, это единственная утилита из рассмотренных выше, которую нужно устанавливать. Но это однозначно стоит сделать, поскольку результативность «Sophos Anti-Rootkit» очень высока.
Для начала работы с утилитой нужно:
Как вы видите, все предельно просто.
Если вам удалось найти и избавиться от вирусов, это значит, что статья удалась, если же нет и ваш случай уникален, можете описать его в комментариях, помогу, чем смогу.
Обнаружение . К сожалению, большинство современных антивирусов никак не отреагируют на появление руткита, т.к его основная цель скрыть себя самого и всего, что с ним связано. Руткитами также являются почти все так называемые средства защиты от копирования, а также программы-эмуляторы CD- и DVD -приводов. Для обнаружения и удаления руткитов требуется установка специальных программ.
2 шаг
Утилита Sophos Anti-Rootkit . Это не большая программа для поиска и уничтожения руткитов, которая работает во всех версиях Windows начиная с XP. Скачать программу можно с официального сайта . Работа с программой очень проста, нужно выбрать объекты для сканирования и нажать на кнопку Start scan . После сканирования выделите найденные объекты и нажмите Clean up checked items для их удаления.
3 шаг
Программа Rootkit Buster . Это еще одно бесплатное средство уничтожения руткитов. Установка программы не требуется, нужно распаковать архив и запустить файл rootkit buster.exe . Скачать можно отсюда . Для начала сканирования нажмите кнопку Scan Now . Утилита просканирует все файлы, ветки реестра, драйверы и MBR . В случае нахождения руткитов программа выдаст их список, выделите объекты и нажмите Delete Selected Items .
4 шаг
Признаки заражения . Итак, как же узнать заражен ли ваш компьютер руткитами? Большинство признаков похожи на признаки вируса, то есть отправка данных без ваших комманд, зависание, несанкционированный запуск чего либо и т.д. Однако с вирусами в этом плане проще, в отличие от руткитов вирусы детектируются антивирусами. Если же появились симптомы вирусов, а антивирус ничего не находит, тогда велика вероятность заражения руткитом. Установите файервол (брандмауэр), если он будет вас оповещать о попытке выхода каких либо программ в интернет (никому, кроме браузера и антивируса, там делать нечего), заблокируйте их.
- Обновляйте антивирус и ОС вовремя.
- Установите файервол, например COMODO.
- Подключайте к ПК только проверенные флешки.
- Во время сканирования антируткитом, на время выключите антивирус, файервол и интернет.
- Не пускайте посторонних за свой ПК!
