Как удалить руткиты

Категория: Безопасность / Антивирусы
Добавил: access_timeОпубликовано: 9-07-2013 visibilityПросмотров: 85 220 chat_bubble_outlineКомментариев: 24
Здравствуйте админ, к вам вопрос: Как удалить руткиты? Подозреваю, что у меня в операционной системе завелись подобные зверьки. Месяц назад установил Windows со всеми программами и работал всё это время без антивируса, всё выбирал, какой установить, платный или бесплатный. Короче два месяца обходился тем, что периодически сканировал систему бесплатными антивирусными утилитами Dr.Web CureIt и Kaspersky Virus Removal Tool, а теперь вот не могу их запустить, выходят ошибки при запуске. Мало того, теперь антивирусник Касперского не устанавливается, компьютер зависает на половине установки и выходит критическая ошибка, далее синий экран. А вчера провайдер и вовсе отключил мне интернет, сказал, что мой компьютер рассылает спам. Вот такие дела!
Примечание: реальный пример вредоносной активности руткита маскирующего работу сетевого червя.

На форумах говорят, что если в системе находится руткит, то такую гадость может проделать он. Ему же нужно скрыть деятельность определённой вредоносной программы, которую сразу обнаружит антивирусный сканер или установленный антивирус. Какой программой можно удалить руткит или проще переустановить Windows?
 В интернете советуют много чего, непонятно что и выбрать. Например снять жёсткий диск, подключить к другому компьютеру и просканировать его хорошим антивирусом , но у меня только один компьютер (ноутбук). Ещё советуют проверить систему утилитой RootkitRevealer, но она вроде не работает с Windows 7.

Как удалить руткиты


Друзья, в первой части статьи мы узнаем, что такое руткиты и какой вред они могут принести нашей операционной системе. Во второй части, мы с вами удалим руткиты  с помощью антивирусного диска от Microsoft - Windows Defender Offline и диска Kaspersky Rescue Disk от «Лаборатории Касперского». В конце статьи, мы удалим руткиты с помощью специально созданных для этих целей бесплатных антивирусных утилит: TDSSKiller, Dr.Web, AVZ и GMER.
  • Друзья, открою Вам секрет, в настоящее время с руткитами идёт настоящая война, просто это не афишируется и если вам посчастливится словить серьёзный и только что написанный руткит, справиться с ним будет очень нелегко даже профессионалу. Поэтому, не забывайте создавать бэкапы операционной системы и не отключайте никогда восстановление системы. Устанавливайте только 64-разрядные Windows 7 или Windows 8, так как в 64-битной операционной системе руткиту сложнее закрепиться. 
Что из себя представляет руткит? Руткит – это программа, маскирующая нахождение в операционной системе других вредоносных программ и всё, что относится к ним (процессы, ключи в реестре и так далее), происходит это путём перехвата и модификации низкоуровневых API-функций. Ну а работающая в нашей системе вредоносная программа может сделать много плохих дел, например ваш компьютер станет частью «ботнета» —компьютерной сети, состоящей из большого количества заражённых компьютеров. Злоумышленники могут использовать ресурсы заражённых компьютеров по своему усмотрению (рассылать спам, участвовать в DDoS-атаке на определённые сайты и так далее). Это скорее всего и произошло с компьютером нашего читателя.

Как удалить руткиты при помощи антивирусного диска
 
По моему мнению, очень хорошее оружие от руткитов, да и вообще от всех вирусов, это антивирусный диск. В первую очередь можно использовать антивирусный диск от Microsoft - Windows Defender Offline,

он специально заточен для поиска и удаления руткитов и практически всех существующих вредоносных программ. Ещё бы я посоветовал антивирусный диск Kaspersky Rescue Disk от «Лаборатории Касперского».
Дело в том, что когда вы загружаете ваш компьютер с антивирусного диска и проверяете им заражённую систему, вредоносные программы никак не могут этому воспрепятствовать, так как Windows в это время находится в нерабочем состоянии и соответственно все вирусные, файлы, находящиеся в системе, видны как на ладони, а значит легче обнаруживаются и нейтрализуются. 

Как скачать данные антивирусные диски в виде образа, прожечь на болванку, загрузить с них компьютер и удалить руткиты, вы можете прочесть в наших пошаговых статьях, ссылки приведены выше.
 
Как удалить руткиты с помощью бесплатных антивирусных утилит
 
Очень эффективны в борьбе с руткитами несколько бесплатных антивирусных утилит: TDSSKiller, Dr.Web, AVZ и GMER. Первая рассматриваемая нами утилита, это TDSSKiller от «Лаборатории Касперского», вторая Dr.Web CureIt и третья AVZ тоже от российских разработчиков антивирусных программ, четвёртая GMER. 


Чтобы скачать TDSSKiller, идём по ссылке http://support.kaspersky.ru/5350?el=88446#, жмём «Как вылечить зараженную систему», нажимаем «Скачайте файл TDSSKiller.exe»

Запускаем его, можете обновить программу.

Начать проверку.

TDSSKiller обнаруживает нижеперечисленные подозрительные сервисы или файлы:
Скрытый сервис – скрытый ключ в реестре;
Заблокированный сервис – недоступный ключ в реестре;
Скрытый файл – скрытый файл на диске;
Заблокированный файл - файл на диске невозможно открыть обычным способом;
Подмененный файл - при чтении выходит подменное содержимое файла;
Rootkit.Win32.BackBoot.gen – возможно заражена загрузочная запись MBR.
 
Если у вас установлена программа Daemon tools, по окончании сканирования программа выдаст такое окно - Подозрительный объект, средняя опасность – Cервис: sptd.

Cервис: sptd является сервисом программы - эмулятора дисковода Daemon tools. 


Чтобы точно убедиться в том, что обнаруженный файл не является руткитом или наоборот, скопируйте обнаруженные подозрительные объекты в карантин, выбрав действие Скопировать в карантин, файл при этом не удалится из системы.
Найти карантин можно здесь C:\TDSSKiller_Quarantine
Затем открываем сайт VirusTotal.com, далее жмём Выберите файл, откроется проводник 

Идём в карантин и выбираем файл для проверки. Открыть и Проверить.

Как видим, только одна антивирусная компания определила файл sptd.sys как вирус PAK_Generic.009.

Значит скорее всего данный файл вирусом не является и мы с вами это прекрасно знаем. В других, более спорных случаях, вы можете найти информацию в интернете или отправить файлы в Вирусную Лабораторию Касперского.
 
Как удалить руткиты с помощью утилиты Dr.Web CureIt
 
Утилиту Dr.Web CureIt скачиваем по этой ссылке http://www.freedrweb.com/cureit/, продвигаемся вниз странички и жмём Скачайте бесплатно.

Далее.

Скачать Dr.Web CureIt с функцией отправки статистики.

Отмечаем пункт "Я принимаю условия Лицензионного Соглашения" и жмём Продолжить.

 Сохраняем и запускаем файл Dr.Web CureIt. Возникает окно «Запустить Dr.Web CureIt в режиме усиленной защиты, нажимаем "Отмена". В появившемся окне отмечаем пункт «Я согласен принять участие… Продолжить.

Выбрать объекты для проверки.

Отмечаем пункты Оперативная память и Руткиты и жмём Запустить проверку.

Если руткиты обнаружены не будут, советую вам отметить все пункты и проверить весь ваш компьютер на вирусы, лишним это не будет.

 

Как удалить руткиты с помощью утилиты AVZ
  
Хорошая и очень быстро работающая антивирусная утилита от Олега Зайцева, быстро найдёт и удалит различные SpyWare и руткиты в вашей операционной системе. Но предупреждаю Вас, программа работает жёстко и иногда может принять за вирус безобидный файл, поэтому перед применением AVZ, создайте точку восстановления системы. Если AVZ найдёт вредоносный файл, не торопитесь его удалять и прочтите все рекомендации из раздела Советы по лечению ПК http://z-oleg.com/secur/advice/
Переходим по ссылке http://z-oleg.com/secur/avz/download.php, нажимаем Скачать (8.4 Мб, базы от 30.01.2013).  

Скачиваем архив программы и разархивируем его. После разархивации заходим в папку с программой и запускаем файл avz.exe.

Отмечаем для проверки диск с операционной системой, обычно C:, ещё отмечаем пункт Выполнить лечение, далее идём в Параметры поиска

и отмечаем пункт Детектировать перехватчики API и RooTkit и нажимаем Пуск, проверка началась.

 
Как удалить руткиты с помощью утилиты GMER
  
Утилита GMER применяется очень многими пользователями для борьбы с руткитами, утилита на английском, но мы с вами разберёмся. Также основываясь на личном опыте работы с программой, советую вам перед работой создать точку восстановления или сделать бэкап всей операционной системы, если GMER обнаружит серьёзную опасность, может вызвать огонь по своим или применить тактику выжженной земли.
Идём на сайт http://www.gmer.net/, нажимаем Download.EXE

и скачиваем утилиту, если хотите, можете скачать её в архиве or ZIP archive: gmer.zip ( 369kB ). Не удивляйтесь, что при скачивании утилиты название у неё будет отличным от GMER, например p3f14z2c.exe, делается это специально, так как находящиеся в вашей системе руткиты могут распознать утилиту и вам не удастся её запустить.


Итак, скачали GMER и запускаем её. Сразу после запуска утилиты ваша операционная система зависнет на 5-10 секунд, происходит быстрое сканирование основных системных файлов и процессов.
Отмечаем для сканирования диск C: и нажимаем Scan, начнётся сканирование Windows на предмет нахождения руткитов. Если запустить GMER по умолчанию в режиме «Quick Scan» (быстрое сканирование), произойдёт сканирование основных системных файлов на диске с операционной системой, в первую очередь можете воспользоваться им.

Когда сканирование закончится, программа выдаст вам результат, если руткиты будут найдены, они будут отмечены красным шрифтом. Если вы захотите удалить какой-либо файл, щёлкните на нём правой мышью и выберите в появившемся меню нужное действие.

  

tagsКлючевые слова
     Рекомендуем другие статьи по данной теме
Ctrl
Enter
Заметили ошЫбку
Выделите и нажмите Ctrl+Enter

Добавить комментарий

Комментарии (24)

  1. img
    14 мая 2021 14:07 Гость Алексей
    Гость
    Благодарю вас за подсказку, просто про этот способ я читал и пробовал, не вышло. Но я не знал, что может быть ошибка и нужно заново скачать и снова этой программой удалять. Спасибо большое! После выходных буду пробовать. И вам хороших выходных! Кстати, сегодня пишу вам с рабочего компа, IP не блокируется, и bitdefender не показывает блокировку файлов, он вместе с AVG это делал по очереди, значит откат системы и удаление avg и браузера помог)
    Цитировать replyОтветить
  2. img
    14 мая 2021 11:03 admin
    Администратор
    Здравствуйте! Скачайте официальную утилиту Bitdefender Uninstall Tool и удалите Bitdefender Antivirus Free. Если в вашем случае утилита выдаст ошибку, то установите Bitdefender Antivirus заново, а уже потом запустите Bitdefender Uninstall Tool, в этом случае антивирус должен быть удалён с вашего ПК полностью. Вот ссылка на утилиту:
    bitdefender.com/files/KnowledgeBase/file/Bitdefender_2021_Uninstall_Tool.exe
    Цитировать replyОтветить
  3. img
    14 мая 2021 07:21 Гость Алексей
    Гость
    Здравствуйте! Спасибо. Да, с помощью точек восстановления. Вчера сделал, надеялся что будут более поздние точки, а самая давняя была от 30.04.2021. Когда делал откат появилось сообщение что AVG и Яндекс браузер нужно будет обновить или переустановить. Однако после отката системы AVG начал опять выводить эти tmp... После чего я решил удалить AVG и Яндекс браузер (думаю что может в браузере что то было), пользуюсь теперь фаерфокс, а AVG заменил на Касперского (пока посмотрю как будет) Проверял drWEB Lifi cd и Касперским Rrescue Disс, ничего не находит. Ну и установленный Касперский Securiti Cloud ничего не находит. Но всё же я ещё проверю дополнительно некоторыми программами из этой статьи. Да, у меня ещё одна проблема, которая не даёт покоя уже давно. Я читал что у многих возникала такая проблема и решить её было сложно или невозможно, что чаще всего (только винд. переустанавливать, но мне такой вариант не подходит). В общем, стоял у меня когда-то антивирусник Bitdefender Antivirus Free. Не помню по какой причине, но я его удалил (так думал я). В Панели управления его нету, но он есть в диспетчере задач и время от времени что-то находит, блокирует и т.д.... И стоял он у меня вместе с AVG? n.r. я думал, что его удалил, теперь он стоит вместе с касперским, (не знаю как он работает и почему не удалился) что я только не пробовал, и снимать задачу, чтобы отключить и др. Никак. Из реестра его тоже не удалить. Кто-то писал, что можно только в безопасном режиме, вот как раз вчера и попробовал почистить ключи реестра, Касперский Redcue Disc отказался чистить реестр... А вот Dr Web Lifi CD удалил Bitdefender из реестра, я нажал сохранить настройки. Уже обрадовался что получилось, но когда загрузил Windows, он так и остался и никуда не делся. Буду очень благодарен если подскажите действительно работающий способ удалить его. Спасибо.
    Цитировать replyОтветить
  4. img
    13 мая 2021 00:05 admin
    Администратор
    Как думаете, поможет, если я сделаю откат системы?

    Здравствуйте! Вы имеете ввиду с помощью точки восстановления? Если да, стоит попробовать. Перед откатом, создайте на всякий случай резервную копию Windows 10 с помощью штатного средства архивации по этой статье:
    http://remontcompa.ru/662-kak-sozdat-rezervnyy-obraz-windows-10-s-pomoschyu-sht
    atnogo-sredstva-arhivacii-i-kak-vosstanovitsya-iz-etogo-obraza-esli-windows-10-
    ne-zagruzhaetsya.html
    Цитировать replyОтветить
  5. img
    12 мая 2021 22:30 Гость Алексей
    Гость
    Доброй ночи. Подскажите пожалуйста что делать. Первый раз за 5 лет на работе столкнулся с такой проблемой. Мой антивирус AVG в течении 5-10 минут начал помещать объект типа tmp00003d или tmp0000en, в общем последние два символа всегда меняются (это для примера я) в карантин как потенциально опасный объект. Далее сегодня с удивлением обнаружил, что не смог оставить коммент вам на сайте, т.к. было сказано, ваш IP адрес используется для спама, поменяйте IP у провайдера..... Второе, что я заметил, диск C неимоверно забился, хотя всё что лишнее было, всегда удалял, там ещё 30-40гБ должно быть свободно, он всего 100 гб. Я проверял AVZ, всё что он нашёл я удалил, однако это не помогло. Сегодня я проверял сначала с Dr WEB Live cd curreit, он нашёл эти tmp 27 штук и обезвредил как бы. Потом я проверил касперским Rescue Disc. Он никаких угроз не обнаружил. Но когда я выключил комп, он начал восстановление системы. Заработал AVG и всё опят полезли эти tmp(( Сегодня кто-то писал, что нужно перед сканированием отключать точки восстановления, вы же пишете что нельзя отключать. Кстати это может быть просто совпадение, но всё это началось после того как я загрузился с флешки с linux mint Life CD и добавил русский язык, до этого просто загружал, был на англ. ничего такого не было. а после началось. Может совпало просто. Как думаете, поможет, если я сделаю откат системы? А потом ещё проверю тем же касперским или др.вебом? Заново переустанавливать систему мне нельзя, т.к. там стоит спец. программа для работы, которую устанавливали с другого города. Хочу сам решить эту проблему. Пишу с домашнего ноута, так что, если ничего не выйдет, ответить как уже сказал не смогу с того компа) Но хоть ответ прочту надеюсь... Извиняюсь, что так подробно всё.
    Цитировать replyОтветить
  6. img
    28 ноября 2016 22:08 admin
    Администратор

    Запустите TDSSKiller, если он ничего не найдёт, то не надо никуда ничего отсылать.

    Цитировать replyОтветить
  7. img
    28 ноября 2016 18:33 fredparker
    Гость

    Последнее, что придумал = пркрепить к письму и выслать на virustotal

    http://s019.radikal.ru/i643/1611/6f/b9802357e23b.jpg

    и тут тоже неудача несколько раз подряд

    идей больше нет.

    Цитировать replyОтветить
  8. img
    28 ноября 2016 17:21 admin
    Администратор

    У меня же получилось и у вас должно.

    Цитировать replyОтветить
  9. img
    28 ноября 2016 13:21 fredparker
    Гость

    Цитата: admin
    Вы ранее не работали с AVZ?

    Сочетаю периодически AVZ с НОД-ом, который работает постоянно.

    Понял, что нет оснований для тревоги,

    но почему никак не проверить на virustotal?

    Спасибо.

    Цитировать replyОтветить
  10. img
    28 ноября 2016 13:12 admin
    Администратор

    Вы ранее не работали с AVZ? Это ложное срабатывание программы.

    Цитировать replyОтветить
  11. img
    28 ноября 2016 10:37 fredparker
    Гость

    Добрый день

    AVZ указывает на опасность

    http://s018.radikal.ru/i521/1611/8c/81e06c1dc2fc.jpg

    но загрузить sptd.sys на virustotal в он-лайне не получается

    и скопировать отдельно тоже,

    а без доп проверки опасаюсь удалить.

    Что посоветуете?

    Спасибо.

    Цитировать replyОтветить
  12. img
    3 сентября 2015 13:48 admin
    Администратор
    Значит какие-то вредоносные модули не может удалить до конца. Запустите лечащую утилиту Dr.Web CureIt и проверьте ей свой компьютер по этой статье
    http://remontcompa.ru/222-kak-proverit-kompyuter-na-virusy.html

    Если хотите удалить всё до конца, то используйте утилиту AnVir Task Manager, многие только ей спасаются и правильно
    http://remontcompa.ru/181-avtozagruzka-programm-v-windows-7.html
    Цитировать replyОтветить
  13. img
    3 сентября 2015 11:38 Персей76
    При включении компа, выходит сообщение о том, что установлено опасное вредоносное рекламное ПО, нажимаю подробно и выдаёт список заражённых файлов, которые он удалил и всё.
    Цитировать replyОтветить
  14. img
    3 сентября 2015 09:11 admin
    Администратор
    Касперский показывает, где оно находится?
    Цитировать replyОтветить
  15. img
    2 сентября 2015 22:21 Персей76
    Админ помогите советом.
    Я подхватил рекламное ПО и оно наставила автоматом кучу своих прог.
    Я улитами всё почистил и все проги удалил. Но мой касперский всё равно выдаёт что на компьютере установлено опасное вредоносное рекламное ПО И на нём желтый треугольник с воск.знаком. Подскажите чем можно это ПО убрать.
    Цитировать replyОтветить
  16. img
    15 июля 2015 05:51 homo sapiens
    Гость
    Спасибо за ценную информацию. Пусть сопутствует Вам УДАЧА всегда и во всем! Здоровья.
    Цитировать replyОтветить
  17. img
    19 февраля 2015 08:15 admin
    Администратор
    Да ладно Вам, это Касперский себя пиарит, чтобы его имя было на слуху.
    Никаких вирусов нет в жёстких дисках. Статью напишем на эту тему.
    Цитировать replyОтветить
  18. img
    19 февраля 2015 02:29 Наташа
    Гость
    Цитата: Natali
    Подскажите, а как удалять вирусы и шпионские программы, которые специально встраивают в жесткие диски прямо на заводах-изготовителях?

    Так же, как и те вирусы, которые специально НЕ встраивают в жесткие диски прямо на заводах-изготовителях wink
    Цитировать replyОтветить
  19. img
    18 февраля 2015 17:35 Андрей
    Гость
    Подскажите, а как удалять вирусы и шпионские программы, которые специально встраивают в жесткие диски прямо на заводах-изготовителях?
    Это я спрашиваю на основании новости "АНБ следило за Россией и Китаем, встраивая вирусы в жесткие диски", которую можно найти на сайте Яндекса в разделе "Новости" - "Hi-Tech".
    Цитировать replyОтветить
  20. img
    17 ноября 2014 11:49 Жанна
    Гость
    Спасибо за статью!
    Цитировать replyОтветить
  21. img
    26 декабря 2013 22:58 jackman
    Гость
    Петр, руткиты очень распространены.
    Цитировать replyОтветить
  22. img
    16 июля 2013 00:51 петр
    Гость
    Вы наверно меня не поняли, я сказал что gmer и avz в неопытных руках могут навредить, а про Windows Defender Offline я ничего плохого не говорил, да и руткиты практически уже не встрчаются.
    Цитировать replyОтветить
  23. img
    16 июля 2013 00:03 admin
    Администратор
    Согласен, загрузочный диск Windows Defender Offline нужно применить в первую очередь!
    Цитировать replyОтветить
  24. img
    15 июля 2013 18:18 петр
    Гость
    Admin статья хорошая, простая, понятная, но руткиты встречаются очень редко, даже практически вообще непопадаются, да и программы тоже хорошие, но gmer и avz в неопытных руках могут такое наделать, что...
    Я бы советовал для таких целей курейт и Windows Defender Offline!
    Цитировать replyОтветить