Меню
ГлавнаяСвязь

Что такое руткиты и борьба с ними в «Касперском. Поиск и удаление руткитов (Rootkit)

Здравствуйте админ, к вам вопрос: Как удалить руткиты? Подозреваю, что у меня в операционной системе завелись подобные зверьки. Месяц назад установил Windows со всеми программами и работал всё это время без антивируса, всё выбирал, какой установить, платный или бесплатный. Короче два месяца обходился тем, что периодически сканировал систему бесплатными антивирусными утилитами и , а теперь вот не могу их запустить, выходят ошибки при запуске. Мало того, теперь не устанавливается, компьютер зависает на половине установки и выходит критическая ошибка, далее синий экран. А вчера провайдер и вовсе отключил мне интернет, сказал, что мой компьютер рассылает спам. Вот такие дела!

На форумах говорят, что если в системе находится руткит, то такую гадость может проделать он. Ему же нужно скрыть деятельность определённой вредоносной программы, которую сразу обнаружит антивирусный сканер или установленный антивирус. Какой программой можно удалить руткит или проще переустановить Windows?

В интернете советуют много чего, непонятно что и выбрать. Например снять жёсткий диск, подключить к другому компьютеру и просканировать его хорошим антивирусом, но у меня только один компьютер (ноутбук). Ещё советуют проверить систему утилитой RootkitRevealer, но она вроде не работает с Windows 7.

Как удалить руткиты

Друзья, в первой части статьи мы узнаем, что такое руткиты и какой вред они могут принести нашей операционной системе. Во второй части, мы с вами удалим руткиты с помощью антивирусного диска от Microsoft - Windows Defender Offline и диска Kaspersky Rescue Disk от «Лаборатории Касперского». В конце статьи, мы удалим руткиты с помощью специально созданных для этих целей бесплатных антивирусных утилит: TDSSKiller, Dr.Web, AVZ и GMER.
  • Друзья, открою Вам секрет, в настоящее время с руткитами идёт настоящая война, просто это не афишируется и если вам посчастливится словить серьёзный и только что написанный руткит, справиться с ним будет очень нелегко даже профессионалу. Поэтому, не забывайте создавать и не отключайте никогда . Устанавливайте только 64-разрядные Windows 7 или Windows 8, так как в 64-битной операционной системе руткиту сложнее закрепиться.

Что из себя представляет руткит? Руткит – это программа, маскирующая нахождение в операционной системе других вредоносных программ и всё, что относится к ним (процессы, ключи в реестре и так далее), происходит это путём перехвата и модификации низкоуровневых API-функций. Ну а работающая в нашей системе вредоносная программа может сделать много плохих дел, например ваш компьютер станет частью «ботнета» -компьютерной сети, состоящей из большого количества заражённых компьютеров. Злоумышленники могут использовать ресурсы заражённых компьютеров по своему усмотрению (рассылать спам, участвовать в DDoS-атаке на определённые сайты и так далее). Это скорее всего и произошло с компьютером нашего читателя.

Как удалить руткиты при помощи антивирусного диска По моему мнению, очень хорошее оружие от руткитов, да и вообще от всех вирусов, это антивирусный диск. В первую очередь можно использовать антивирусный диск от Microsoft - ,

он специально заточен для поиска и удаления руткитов и практически всех существующих вредоносных программ. Ещё бы я посоветовал антивирусный диск от «Лаборатории Касперского».

Дело в том, что когда вы загружаете ваш компьютер с антивирусного диска и проверяете им заражённую систему, вредоносные программы никак не могут этому воспрепятствовать, так как Windows в это время находится в нерабочем состоянии и соответственно все вирусные, файлы, находящиеся в системе, видны как на ладони, а значит легче обнаруживаются и нейтрализуются.

Как скачать данные антивирусные диски в виде образа, прожечь на болванку, загрузить с них компьютер и удалить руткиты, вы можете прочесть в наших пошаговых статьях, ссылки приведены выше. Как удалить руткиты с помощью бесплатных антивирусных утилит Очень эффективны в борьбе с руткитами несколько бесплатных антивирусных утилит: TDSSKiller, Dr.Web, AVZ и GMER. Первая рассматриваемая нами утилита, это TDSSKiller от «Лаборатории Касперского», вторая Dr.Web CureIt и третья AVZ тоже от российских разработчиков антивирусных программ, четвёртая GMER.
Чтобы скачать TDSSKiller, идём по ссылке http://support.kaspersky.ru/5350?el=88446# , жмём «Как вылечить зараженную систему», нажимаем «Скачайте файл TDSSKiller.exe »

Запускаем его, можете обновить программу.

Начать проверку.

TDSSKiller обнаруживает нижеперечисленные подозрительные сервисы или файлы:
Скрытый сервис – скрытый ключ в реестре;
Заблокированный сервис – недоступный ключ в реестре;
Скрытый файл – скрытый файл на диске;
Заблокированный файл - файл на диске невозможно открыть обычным способом;
Подмененный файл - при чтении выходит подменное содержимое файла;

Rootkit.Win32.BackBoot.gen – возможно заражена загрузочная запись MBR.

Если у вас установлена программа Daemon tools, по окончании сканирования программа выдаст такое окно - Подозрительный объект, средняя опасность – Cервис: sptd.

Cервис: sptd является сервисом программы - эмулятора дисковода Daemon tools.
Чтобы точно убедиться в том, что обнаруженный файл не является руткитом или наоборот, скопируйте обнаруженные подозрительные объекты в карантин, выбрав действие Скопировать в карантин , файл при этом не удалится из системы.
Найти карантин можно здесь C:\TDSSKiller_Quarantine
Затем открываем сайт VirusTotal.com , далее жмём Выберите файл, откроется проводник

Идём в карантин и выбираем файл для проверки. Открыть и Проверить.

Как видим, только одна антивирусная компания определила файл sptd.sys как вирус PAK_Generic.009.

Значит скорее всего данный файл вирусом не является и мы с вами это прекрасно знаем. В других, более спорных случаях, вы можете найти информацию в интернете или отправить файлы в Вирусную Лабораторию Касперского. Как удалить руткиты с помощью утилиты Dr.Web CureIt Утилиту Dr.Web CureIt скачиваем по этой ссылке http://www.freedrweb.com/cureit/ , продвигаемся вниз странички и жмём Скачайте бесплатно.

Скачать Dr.Web CureIt с функцией отправки статистики.

Отмечаем пункт "Я принимаю условия Лицензионного Соглашения" и жмём Продолжить.

Сохраняем и запускаем файл Dr.Web CureIt. Возникает окно «Запустить Dr.Web CureIt в режиме усиленной защиты, нажимаем "Отмена". В появившемся окне отмечаем пункт «Я согласен принять участие… Продолжить.

Выбрать объекты для проверки .

Отмечаем пункты Оперативная память и Руткиты и жмём Запустить проверку .

Если руткиты обнаружены не будут, советую вам отметить все пункты и проверить весь ваш компьютер на вирусы, лишним это не будет.

Как удалить руткиты с помощью утилиты AVZ Хорошая и очень быстро работающая антивирусная утилита от Олега Зайцева, быстро найдёт и удалит различные SpyWare и руткиты в вашей операционной системе. Но предупреждаю Вас, программа работает жёстко и иногда может принять за вирус безобидный файл, поэтому перед применением AVZ, создайте . Если AVZ найдёт вредоносный файл, не торопитесь его удалять и прочтите все рекомендации из раздела Советы по лечению ПК http://z-oleg.com/secur/advice/
Переходим по ссылке http://z-oleg.com/secur/avz/download.php , нажимаем Скачать (8.4 Мб, базы от 30.01.2013).

Скачиваем архив программы и разархивируем его. После разархивации заходим в папку с программой и запускаем файл avz.exe .

Отмечаем для проверки диск с операционной системой, обычно C:, ещё отмечаем пункт Выполнить лечение , далее идём в Параметры поиска

и отмечаем пункт Детектировать перехватчики API и RooTkit и нажимаем Пуск , проверка началась.

Как удалить руткиты с помощью утилиты GMER Утилита GMER применяется очень многими пользователями для борьбы с руткитами, утилита на английском, но мы с вами разберёмся. Также основываясь на личном опыте работы с программой, советую вам перед работой создать точку восстановления или сделать бэкап всей операционной системы, если GMER обнаружит серьёзную опасность, может вызвать огонь по своим или применить тактику выжженной земли.
Идём на сайт http://www.gmer.net/ , нажимаем Download.EXE

И скачиваем утилиту, если хотите, можете скачать её в архиве or ZIP archive: gmer.zip (369kB). Не удивляйтесь, что при скачивании утилиты название у неё будет отличным от GMER , например p3f14z2c.exe, делается это специально, так как находящиеся в вашей системе руткиты могут распознать утилиту и вам не удастся её запустить.
Итак, скачали GMER и запускаем её. Сразу после запуска утилиты ваша операционная система зависнет на 5-10 секунд, происходит быстрое сканирование основных системных файлов и процессов.
Отмечаем для сканирования диск C: и нажимаем Scan , начнётся сканирование Windows на предмет нахождения руткитов. Если запустить GMER по умолчанию в режиме «Quick Scan» (быстрое сканирование), произойдёт сканирование основных системных файлов на диске с операционной системой, в первую очередь можете воспользоваться им.

Когда сканирование закончится, программа выдаст вам результат, если руткиты будут найдены, они будут отмечены красным шрифтом. Если вы захотите удалить какой-либо файл, щёлкните на нём правой мышью и выберите в появившемся меню нужное действие.

И рассказывал, что это такое, перечислял основные симптомы заражения и давал рекомендации для обеспечения безопасности компьютера. Если вы не читали ее, обязательно с ней ознакомьтесь. Ведь как говорится, предупрежден – значит вооружен.

Потому как сегодня мы уже будем говорить о том, как удалить руткиты благодаря использованию специальных . Все действия будут выполняться вручную.

Утилиты, рассмотренные ниже абсолютно бесплатны и не конфликтуют с установленным антивирусным ПО. Поэтому смело их используйте. Желательно предварительно загрузившись через безопасный режим.

Kaspersky Rescue Disk

Пожалуй, самым лучшим способом лечения ПК является использование загрузочных антивирусных дисков. Связано это с тем, что при загрузке с такого диска вирусы будут неактивны, а значит их можно будет легко найти и обезвредить.

Аварийный диск от Касперского показал хорошую эффективность в восстановлении работоспособности компьютера после заражения самыми разными угрозами. Поэтому, если у вас есть подозрение на заражение ПК вредоносным ПО, обязательно его используйте.

Dr.Web Live Disk

Своеобразный аналог предыдущей утилиты от Касперского. Используется для восстановления системы после заражения вирусами. Ему практически нет равных в поиске и удалении руткитов.



Live Disk полностью бесплатен, можно записать как на флешку, так и на диск. Процедура записи будет аналогична по сравнению с Live CD от Касперского.

Dr.Web Cureit

Данная утилита работает прямо из-под системы Windows. Не так давно я уже рассказывал о ее использовании в статье, посвященной .



Она бесплатная, поэтому, ее достаточно скачать с официального сайта и запустить процесс сканирования. По завершению процесса вы увидите подробный отчет с имеющимися руткитами, отметьте угрозы галочками и удалите их.

Кстати, Доктор Веб нередко находит угрозу в файле hosts с уведомлением « ». Лечить которую, нужно не во всех случаях.

Kaspersky Virus Removal Tool

Еще одна программа от разработчиков антивируса Касперского. Ее также можно использовать для поиска и удаления как руткитов, так и любого другого вредоносного ПО. По своим возможностям утилита схожа с Cureit, но немного уступает ей в плане эффективности (говорю по личному опыту). Поэтому могу порекомендовать брать ее на вооружение только в качестве дополнительного средства.

Она весьма проста в использовании. Чтобы начать с ней работать, нужно:


Остается только дождаться завершения проверки и удалить найденные угрозы.

AVZ

Весьма эффективная программа для обнаружения и удаления руткитов, троянов, шпионского ПО и прочих угроз. Главными плюсами AVZ являются высокая результативность и регулярное обновление баз. В общем, обойти ее стороной никак нельзя.

Чтобы начать ей пользоваться, нужно:


По окончании очистки компьютера вы можете закрыть окно утилиты.

TDSSKiller

Программа TDSSKiller изначально была разработана для поиска руткитов и троянов различных модификаций. Ее любезно и на бесплатной основе предоставляют нам разработчики Касперского. Поэтому скачать утилиту можно с официального сайта .

Запустить проверку на руткиты с ее помощью достаточно просто:


Дождитесь завершения сканирования и удалите найденные rootkit вирусы.

Malwarebytes Anti-Rootkit

Широко известная компания разработчик антивирусного ПО «Malwarebytes» предоставляет своим пользователям отличный инструмент для поиска руткитов. Программа портативна и не конфликтует с установленными антивирусами.

Как ей пользоваться:


На этом процедура очистки от вирусов rootkit будет завершена.

Trend Micro RootkitBuster

Еще одна бесплатная программа, созданная специально для борьбы с вирусами типа Rootkit. Выполняет тщательную проверку системы на наличие опасного ПО и удаляет его.

Разберем процесс очистки более подробно:


После этого можно закрывать окно утилиты.

Sophos Anti-Rootkit

Популярная программа, используемая для поиска скрытых в системе руткитов. И, пожалуй, это единственная утилита из рассмотренных выше, которую нужно устанавливать. Но это однозначно стоит сделать, поскольку результативность «Sophos Anti-Rootkit» очень высока.

Для начала работы с утилитой нужно:

Как вы видите, все предельно просто.

Если вам удалось найти и избавиться от вирусов, это значит, что статья удалась, если же нет и ваш случай уникален, можете описать его в комментариях, помогу, чем смогу.

Руткиты (rootkit) в мире компьютерных вирусов прослыли как самые отъявленные шпионы. Они умеют скрывать своё присутствие не только от пользователя, но и от многих антивирусных программ. Внедряются в системные процессы, файлы, память. Действуют на уровне ядра (в абсолютной «глубине» Windows). В их теле могут находиться другие зловреды - трояны, клавиатурные шпионы, сканнеры банковских карт, черви.

Эта статья расскажет вам о том, что можно предпринять рядовому пользователю, чтобы удалить руткит из ОС.

Первые помощники в детектировании и нейтрализации подобных цифровых инфекций из ПК - специальные утилиты. Ознакомимся с самыми популярными решениями, отлично зарекомендовавшими себя в борьбе с руткитами.

TDSSKiller

Продукт, созданный в лаборатории Касперского. Распространяется бесплатно. Находит и обезвреживает многие разновидности «штамма». В том числе: TDSS, SST, Pihar, Stoned, Сidox. А также отслеживает руткит-аномалии: скрытые/заблокированные сервисы и файлы, подменённые/модифицированные системные процессы, вредоносные настройки в MBR (загрузочном секторе дискового раздела).

Чтобы проверить ОС при помощи этой утилиты, выполните следующие действия:

1. Откройте в браузере страницу - support.kaspersky.ru/viruses/disinfection/5350 (официальный сайт компании Kaspersky).

2. Щёлкните мышкой по первому разделу «1. Как вылечить… ».

4. Запустите скачанный инсталлятор двойным щелчком мыши. В окне «Разрешить… ?» выберите «Да».

5. Под текстом лицензионного соглашения клацните по кнопке «Принять». Эти же действия выполните и в блоке «KSN-соглашение».

6. В панели антируткита откройте опцию «Изменить параметры».

7. В новом окне «Настройки», в разделе «Дополнительные опции», включите функцию «Проверять цифровые подписи… » (установите флажок).

Совет! Дополнительно в разделе «Объекты… » можно активировать проверку загруженных модулей (потребуется перезагрузка ОС).

8. Щёлкните «OK».

9. Нажмите кнопку «Начать проверку».

10. По завершении сканирования ознакомьтесь с отчётом. В нём будет указано, сколько удалено вредоносных объектов с компьютера.

Bitdefender Rootkit Remover

Простой в использовании антируткит (стартует по одному клику мышки). Разработан компанией Bitdefender’s LABS. Распознаёт множество актуальных угроз: TDL/SST/Pihar, Plite, Fips, MBR Locker, Ponreb, Mebroot и др. Является портативным приложением (не требует инсталляции). Молниеносно выполняет проверку. В каждом релизе утилиты обновляется и расширяется база зловредов.

Чтобы воспользоваться Rootkit Remover, выполните нижерасположенную инструкцию:

1. Откройте страницу для загрузки утилиты - abs.bitdefender.com/projects/rootkit-remover/rootkit-remover/ (офсайт разработчика).

2. Выберите дистрибутив, согласно разрядности установленной Windows (x86 или x64): щёлкните по соответствующей ссылке.

Совет! Узнать тип ОС можно в Панели управления: Система и безопасность → Система.

3. Запустите загруженный исполняемый файл от имени администратора.

4. Для запуска проверки в окне приложения клацните по кнопке «Start Scan».

AVZ

Мультифункциональный антивирусный сканер, созданный российским программистом Олегом Зайцевым. Способен найти и обезвредить вирус любого типа (включая модули SpyWare и Adware, трояны, черви). Оснащён специальным инструментом для эффективного выявления руткитов - настраиваемым модулем Anti-Rootkit.

Чтобы проверить Windows на наличие вирусов утилитой AVZ, выполните нижеприведённое руководство:

1. Перейдите на страницу для скачивания - z-oleg.com/secur/avz/download.php (официальный веб-ресурс разработчика).

3. После загрузки распакуйте архив: щелчок правой кнопкой → Извлечь всё.

4. Запустите с правами администратора файл AVZ (иконка «щит и меч»).

5. Обновите сигнатурные базы утилиты: в вертикальной панели кнопок, расположенной в правой нижней части окна, кликните по кнопке «земной шар». В новом окне нажмите «Пуск».

6. Выполните предварительные настройки на вкладках:

  • «Область поиска» - установите флажки возле разделов диска, которые необходимо проверить;
  • «Типы файлов» - включите опцию «Все файлы»;
  • «Параметры поиска» : в блоке «Эвристический анализ» передвиньте регулятор порога вверх (до значения «Максимальный уровень»), включите функцию «Расширенный анализ»; в «Anti-Rootkit» установите флаги возле всех надстроек (детектировать перехватчики, блокировать работу Rootkit User-Mode и Kernel-Mode).

7. Чтобы началась проверка разделов, нажмите по кнопке «Пуск».

Условно-бесплатное решение (триал - 180 дней) от отечественного разработчика Greatis Software. Одинаково успешно борется как с руткитами, так и с угонщиками браузеров, рекламным ПО. Поддерживает безопасный режим. Совместим с Windows 10.

Чтобы задействовать утилиту:

1. Скачайте инсталлятор с офсайта (greatis.com/unhackme/): щёлкните на странице кнопку «Download».

2. Распакуйте загруженный архив (клик правой кнопкой → Извлечь всё).

3. Запустите файл unhackme_setup. Следуйте указаниям установщика.

4. Кликните ярлык утилиты на рабочем столе.

5. В окне приложения, в разделе «Настройки», в блоке «Поиск руткитов… », проверьте, включена ли опция «Активен».

6. Перейдите на вкладку «Проверить» и нажмите с таким же названием красную кнопку.

7. В отрывшемся меню выберите режим сканирования:

  • «Онлайн проверка… » - подключение баз, находящихся на сервере разработчика;
  • «… тест» - оперативное тестирование;
  • «Сканирование… » - детектирование и обезвреживание в безопасном режиме.

Trend Micro RootkitBuster

Свободно распространяется. Проверяет файлы, реестр, службы, драйверы, загрузочные сектора, перехватчики (service hooks), порты и многие другие важные составляющие ОС. Детектирует широкий спектр руткитов.

Чтобы «вылечить» ПК утилитой RootkitBuster:

1. Откройте офсайт компании - trendmicro.com/us/index.html.

2. Перейдите в раздел «Download».

3. В списке программных продуктов, в разделе «Other», щёлкните «RootkitBuster».

4. Выберите релиз (для 32 или 64-битной системы).

5. Запустите скачанный антируткит от имени администратора.

6. Включите проверку всех элементов (Master Boot Records, Services, Kernel Code).

7. Нажмите «Scan Now» для старта сканирования.

Безусловно, есть и другие антируткиты. Применяйте только действенные и удобные в пользовании решения от известных разработчиков. Также «не списывайте со счетов» лечащие утилиты (Dr.Web CureIt!, Kaspersky Virus Removal Tool, Malwarebytes Anti-Malware) и антивирусные загрузочные диски (Avira, Panda, Kaspersky и др.), выполняющие проверку без запуска ОС.

Удачной охоты на руткитов! И помните, что в борьбе с ними все средства хороши.

Как известно, существует несколько основных типов вредоносных программ. Многие пользователи не делают различий между ними, объединяя общим названием «вирусы». В итоге необходимый софт для защиты не устанавливается или используется неправильно. Естественно, такой подход может поставить под угрозу безопасность системы.

Понятие и история руткитов

Около 20 лет назад руткиты создавались как своеобразное дополнение к другим типам вредоносных программ - «шпионам» и вирусам . Их главной целью было лишь скрыть такое ПО от пользователя и его защиты.

Первые подобные программы появились в эпоху Unix. Сегодня их деятельность связана в основном с Windows. С течением времени руткиты изменились и сегодня включают полноценный набор функций, присущий вредоносным программам. С их помощью возможно осуществить на устройстве жертвы практически любые действия:

  • похищать информацию: пароли, банковские данные;
  • отслеживать поведение в сети;
  • устанавливать, удалять программы и др.

То есть, по сути, они позволяют управлять компьютером жертвы на расстоянии . Сейчас руткиты представляют собой уже самостоятельный тип вредоносного софта.

Одна из основных особенностей и одновременно угроз, заключается в том, что такие программы-вредители обычно не распознаются стандартными антивирусами или файерволами. Поиск часто ничего не дает. Поэтому однажды проникнув в системные файлы или память, они могут оставаться незамеченными долгие годы, нанося вред устройству и его хозяину.

Подобные приложения специально созданы таким образом, чтобы скрываться при поиске, проводимом программами-защитниками. Мало того, некоторые из них способны отключать антивирусы и другие средства безопасности. В арсенале могут находиться различные инструменты:

  • бот для совершения DDos-атак;
  • «вор» паролей;
  • сканер карточек;
  • клавиатурный «шпион» и др.

Управлять чужим компьютером позволяет функция бэкдор. С ее помощью происходит подключение и установка необходимых модулей. Далее хакер может делать с устройством практически все что угодно.

Виды руткитов

Руткиты условно можно разделить на две основные категории:

  1. Уровня пользователя - обладают на компьютере правами наравне с другими приложениями. Они вмешиваются в другие процессы и используют их память. Наиболее распространенный вид.
  2. Уровня ядра - проникают в систему и получают почти безграничные возможности доступа к любым процессам. Встречаются заметно реже, видимо, потому, что их сложнее создать. Они хуже обнаруживаются и удаляются.

Примеры распространенных приложений:

  • Alureon;
  • TDSS;
  • Necurs.

Кроме основных, существуют более редкие формы - буткиты. Они преобразуют загрузчик и перехватывают управление не дожидаясь запуска операционной системы. В связи с возрастающим значением смартфонов, в последние несколько лет можно встретить руткиты, работающие на Android.

Методы заражения

Способы проникновения ничем не отличаются от других классов: вирусов, червей, троянов:

  • посещение ненадежных сайтов - используются «слабые места» в браузере;
  • через другие устройства, иногда злоумышленники специально оставляют флешки в посещаемых местах;
  • подозрительные файлы, рассылаемые по почте и др.

Обнаружение и борьба

Напрашивается вопрос о том, как удалить руткиты. Сложности в борьбе присутствуют начиная с обнаружения. Поиск обычным средством не даст результата. В арсенале руткитов есть различные методы маскировки: сокрытие файлов, ключей реестра и пр . Как правило, для поиска вредителей необходимы специальные программы. Некоторые из них предназначены для обнаружения и удаления только одного определенного вида руткитов, другие - многих, в том числе - неизвестных. К первым относится, например, TDSSkiller («Касперский»). Поиск обычно производится с помощью:

  • сигнатурного анализа;
  • поведенческого анализа;
  • узконаправленных методов.

Удалять их также непросто. Нередко процесс включает несколько этапов. В результате, как правило, удаление затрагивает множество файлов. Если системные ресурсы повреждены слишком сильно, иногда приходится переустанавливать операционную систему. Для более простых случаев вполне подойдет, например, стандартная процедура лечения в Kaspersky Internet Security . Для отключения регулярного поиска руткитов в продуктах «Лаборатории Касперского» обычно достаточно открыть настройки и снять соответствующую галочку в пункте меню «Производительность». Хотя делать это не рекомендуется.

Применение TDSSKiller

Одной из программ, способных отыскать руткиты, является утилита TDSSKiller. Выпускается известной «Лабораторией Касперского», поэтому в ее качестве сомневаться не приходится. Как видно из названия, проверка направлена на поиск одного из распространенных видов руткитов - TDSS. Проверить свой компьютер с ее помощью можно бесплатно. Для этого достаточно найти ее на официальном сайте.

Программа не требует установки, после загрузки можно сразу запускать проверку. Перед работой придется принять условия использования. После этого есть возможность изменить параметры проверки соответствующей командой. Если дополнительных пожеланий нет, следует оставить все по умолчанию и нажать кнопку для начала проверки в том же окне.

Дальше потребуется немного подождать, пока программа будет осуществлять проверку заданных элементов системы. При обнаружении опасные приложения отключаются , предусмотрена возможность лечения. Для того чтобы они удалились, перезагружать компьютер необязательно.

Существуют и другие эффективные антируткиты. Главное, не забыть ими воспользоваться. При выборе антивируса желательно сразу обращать внимание на возможность борьбы с таким типом приложений. К сожалению, большинство стандартных программ-защитников не имеют подобной функции либо она недостаточно эффективна. В этом случае желательно заменить антивирус или воспользоваться специализированной программой для удаления. Только так можно обезопасить себя от нежелательных последствий, вызываемых руткитами.

Итак, продолжим рассматривать приложения, которые могут помочь нам избавиться от руткитов на наших ПК. Предыдущую часть статьи можно .

Sophos Anti-Rootkit

Это довольно компактное приложение для борьбы с руткитами, обладающее простым и понятным интерфейсом (то, чего не хватает «профессиональным» утилитам). Утилита сканирует реестр и критические, по мнению разработчиков, каталоги системы, выявляя скрытые объекты. Sophos Anti-Rootkit требует установки в систему. В отличие от большинства других программ со сходными функциями это приложение предупреждает пользователя о возможности влияния на производительность и работоспособность ОС в случае удаления того или иного конкретного руткита.

При запуске программа предложит нам выбрать, что именно будет сканироваться. Откровенно говоря, лучше сканировать все. Исключение даже одного пункта (системный реестр, запущенные процессы и локальные диски) оставит лазейку для руткитов, окопавшихся в системе. После сканирования из обнаруженных Sophos Anti-Rootkit объектов (туда стабильно попадают модули Symantec Antivirus, Kaspersky Antivirus, драйверы виртуальных CD-ROM и т.п.) нужно выбрать те, которые вы решили удалить, согласившись с тем, что они крайне подозрительны.

Для облегчения принятия решения программа даже дает описания найденных объектов с рядом рекомендаций. Для того, чтобы прочитать его, нужно выделить найденный объект.

Кроме того, приложение дает полный путь к объекту и ряд дополнительной информации в его описании. Можно изучить найденный объект, посмотреть сведения о нем в интернете и только потом принять взвешенное решение. После совершения выбора остается только нажать на кнопку «Clean up checked items».

RootRepeal

Это приложение почему-то довольно редко используют и описывают. Между тем, RootRepeal очень хороший и эффективный инструмент, позволяющий обнаруживать множество вариантов руткитов.

Эта программа портативна, хотя и не так наглядна, как Sophos Anti-Rootkit, однако при приложении минимальных усилий со стороны пользователя способна оказать огромную помощь в обнаружении вредоносного ПО. Однако она не указывает пользователю автоматически, что именно в этом месте сидит руткит, а предоставляет информацию (запущенные процессы, используемые файлы, скрытые процессы, хуки, информация о ядре системы и т.п.), которую пользователю придется проанализировать и оценить самому.

После анализа и обнаружения подозрительных процессов можно отыскать в интернет их описания и, при необходимости, воспользоваться инструментарием RootRepeal для стирания файлов, завершения процессов или редактирования ключей реестра.

AVZ

Последней я оставил хорошо знакомую многим утилиту AVZ - антивирус Зайцева. Это инструмент с огромным количеством функций, который, среди всего прочего, может помочь в борьбе с руткитами. AVZ не требует установки (портативна). Обновляется она достаточно регулярно.

Для выполнения сканирования и обнаружения притаившихся в недрах системы руткитов, нужно выбрать нужный диск или директории в «Области поиска». AVZ прекрасно распознает руткиты, которые можно удалить автоматически или же может принимать решение в каждом отдельном случае (примечание редактора: можно задать в настройках программы варианты действий AVZ в тех или иных случаях) .

Поиск руткитов происходит в AVZ на основании исследования базовых системных библиотек на предмет перехвата их функций, то есть без использования сигнатур. Что ценно в данном приложении, оно может производить корректную блокировку работы ряда возможных противодействий со стороны руткитов. Поэтому сканер утилиты может обнаруживать замаскированные процессы и ключи реестра.

Разумеется, возможны и ложные срабатывания. Поэтому внимательно смотрите, что вы стираете с помощью AVZ. С помощью AVZ возможно также восстановления ряда системных функций после атаки вирусов и руткитов. Это также весьма полезно.

Подводим итоги

Мы рассмотрели ряд программ, которые помогут обнаружить руткиты на компьютерах и ноутбуках. Следует отметить, что большинство коммерческих, да и бесплатных антивирусов обзавелись уже достаточно мощными блоками обнаружения и удаления руткитов. Более того, в ближайшей перспективе я прогнозирую значительное снижение интереса обычных пользователей к антируткитным решениям, так как соответствующие модули антивирусных решений будут улучшаться, а среднему пользователю вовсе нет никакого интереса самому копаться в процессах, драйверах и файлах. Ему интересен быстрый и желательно без лишних усилий результат. Пока традиционные антивирусные программы далеко не эталон в поиске руткитов, для такого рода пользователей я бы рекомендовал Sophos Anti-Rootkit. А вот для сложных случаев все равно придется использовать GMER или AVZ и повышать квалификацию. Эти инструменты еще не скоро окончательно сойдут со сцены.