Ещё утилиты для поиска и удаления руткитов. Руткиты: что это такое и как их удалить

Устройства

В наше время даже самая современная антивирусная программа не всегда может распознать и блокировать все угрозы, пытающиеся проникнуть в компьютер. Одну из самых неприятных и коварных опасностей представляют руткиты. С помощью данного инструмента злоумышленники получают контроль над компьютерами и затем используют их для своих целей.

Что такое руткиты и чем они опасны? Руткит – это программа или набор программных средств, который маскирует присутствие нежелательных приложений в операционной системе, помогая атакующим действовать на компьютерах своих жертв, при этом оставаясь незамеченными. Зачастую руткиты находятся глубоко в недрах системы и обнаружить их при помощи антивируса или других средств безопасности очень не просто. Сами по себе руткиты не всегда опасны, в отличие от программ и процессов, которые они скрывают. В сравнении с вирусами, руткиты могут нанести гораздо больший ущерб, т.к. получают доступ к системе с правами администратора. Они могут содержать различные вредоносные инструменты, такие как клавиатурный шпион (кейлоггер), вор сохраненных паролей, сканер данных о банковских карточках, дистанционно управляемый бот для осуществления DDoS-атак, а также функции для отключения антивирусных программ.

Как удалить руткит

Kaspersky TDSSKiller. Бесплатная утилита TDSSKiller от Лаборатории Касперского предназначена для лечения системы, зараженной вредоносными программами семейства Rootkit.Win32.TDSS, буткитами и другими известными руткитами. Она быстра в работе и не требует установки.

Чтобы бесплатно скачать TDSSKiller переходим на официальный сайт support.kaspersky.ru

После запуска программы можно сразу запустить проверку или добавить объекты для сканирования. Для этого следует перейти во вкладку “Изменить параметры проверки” и установить галочки у необходимых пунктов.

Dr.Web CureIt. С помощью данной утилиты можно проверить компьютер не только на наличие руткитов, но и на другие вредоносные объекты с последующим лечением. Программа Dr.Web CureIt бесплатна и не требует установки.

Как известно, существует несколько основных типов вредоносных программ. Многие пользователи не делают различий между ними, объединяя общим названием «вирусы». В итоге необходимый софт для защиты не устанавливается или используется неправильно. Естественно, такой подход может поставить под угрозу безопасность системы.

Понятие и история руткитов

Около 20 лет назад руткиты создавались как своеобразное дополнение к другим типам вредоносных программ - «шпионам» и вирусам . Их главной целью было лишь скрыть такое ПО от пользователя и его защиты.

Первые подобные программы появились в эпоху Unix. Сегодня их деятельность связана в основном с Windows. С течением времени руткиты изменились и сегодня включают полноценный набор функций, присущий вредоносным программам. С их помощью возможно осуществить на устройстве жертвы практически любые действия:

  • похищать информацию: пароли, банковские данные;
  • отслеживать поведение в сети;
  • устанавливать, удалять программы и др.

То есть, по сути, они позволяют управлять компьютером жертвы на расстоянии . Сейчас руткиты представляют собой уже самостоятельный тип вредоносного софта.

Одна из основных особенностей и одновременно угроз, заключается в том, что такие программы-вредители обычно не распознаются стандартными антивирусами или файерволами. Поиск часто ничего не дает. Поэтому однажды проникнув в системные файлы или память, они могут оставаться незамеченными долгие годы, нанося вред устройству и его хозяину.

Подобные приложения специально созданы таким образом, чтобы скрываться при поиске, проводимом программами-защитниками. Мало того, некоторые из них способны отключать антивирусы и другие средства безопасности. В арсенале могут находиться различные инструменты:

  • бот для совершения DDos-атак;
  • «вор» паролей;
  • сканер карточек;
  • клавиатурный «шпион» и др.

Управлять чужим компьютером позволяет функция бэкдор. С ее помощью происходит подключение и установка необходимых модулей. Далее хакер может делать с устройством практически все что угодно.

Виды руткитов

Руткиты условно можно разделить на две основные категории:

  1. Уровня пользователя - обладают на компьютере правами наравне с другими приложениями. Они вмешиваются в другие процессы и используют их память. Наиболее распространенный вид.
  2. Уровня ядра - проникают в систему и получают почти безграничные возможности доступа к любым процессам. Встречаются заметно реже, видимо, потому, что их сложнее создать. Они хуже обнаруживаются и удаляются.

Примеры распространенных приложений:

  • Alureon;
  • TDSS;
  • Necurs.

Кроме основных, существуют более редкие формы - буткиты. Они преобразуют загрузчик и перехватывают управление не дожидаясь запуска операционной системы. В связи с возрастающим значением смартфонов, в последние несколько лет можно встретить руткиты, работающие на Android.

Методы заражения

Способы проникновения ничем не отличаются от других классов: вирусов, червей, троянов:

  • посещение ненадежных сайтов - используются «слабые места» в браузере;
  • через другие устройства, иногда злоумышленники специально оставляют флешки в посещаемых местах;
  • подозрительные файлы, рассылаемые по почте и др.

Обнаружение и борьба

Напрашивается вопрос о том, как удалить руткиты. Сложности в борьбе присутствуют начиная с обнаружения. Поиск обычным средством не даст результата. В арсенале руткитов есть различные методы маскировки: сокрытие файлов, ключей реестра и пр . Как правило, для поиска вредителей необходимы специальные программы. Некоторые из них предназначены для обнаружения и удаления только одного определенного вида руткитов, другие - многих, в том числе - неизвестных. К первым относится, например, TDSSkiller («Касперский»). Поиск обычно производится с помощью:

  • сигнатурного анализа;
  • поведенческого анализа;
  • узконаправленных методов.

Удалять их также непросто. Нередко процесс включает несколько этапов. В результате, как правило, удаление затрагивает множество файлов. Если системные ресурсы повреждены слишком сильно, иногда приходится переустанавливать операционную систему. Для более простых случаев вполне подойдет, например, стандартная процедура лечения в Kaspersky Internet Security . Для отключения регулярного поиска руткитов в продуктах «Лаборатории Касперского» обычно достаточно открыть настройки и снять соответствующую галочку в пункте меню «Производительность». Хотя делать это не рекомендуется.

Применение TDSSKiller

Одной из программ, способных отыскать руткиты, является утилита TDSSKiller. Выпускается известной «Лабораторией Касперского», поэтому в ее качестве сомневаться не приходится. Как видно из названия, проверка направлена на поиск одного из распространенных видов руткитов - TDSS. Проверить свой компьютер с ее помощью можно бесплатно. Для этого достаточно найти ее на официальном сайте.

Программа не требует установки, после загрузки можно сразу запускать проверку. Перед работой придется принять условия использования. После этого есть возможность изменить параметры проверки соответствующей командой. Если дополнительных пожеланий нет, следует оставить все по умолчанию и нажать кнопку для начала проверки в том же окне.

Дальше потребуется немного подождать, пока программа будет осуществлять проверку заданных элементов системы. При обнаружении опасные приложения отключаются , предусмотрена возможность лечения. Для того чтобы они удалились, перезагружать компьютер необязательно.

Существуют и другие эффективные антируткиты. Главное, не забыть ими воспользоваться. При выборе антивируса желательно сразу обращать внимание на возможность борьбы с таким типом приложений. К сожалению, большинство стандартных программ-защитников не имеют подобной функции либо она недостаточно эффективна. В этом случае желательно заменить антивирус или воспользоваться специализированной программой для удаления. Только так можно обезопасить себя от нежелательных последствий, вызываемых руткитами.

Руткиты (rootkit) в мире компьютерных вирусов прослыли как самые отъявленные шпионы. Они умеют скрывать своё присутствие не только от пользователя, но и от многих антивирусных программ. Внедряются в системные процессы, файлы, память. Действуют на уровне ядра (в абсолютной «глубине» Windows). В их теле могут находиться другие зловреды - трояны, клавиатурные шпионы, сканнеры банковских карт, черви.

Эта статья расскажет вам о том, что можно предпринять рядовому пользователю, чтобы удалить руткит из ОС.

Первые помощники в детектировании и нейтрализации подобных цифровых инфекций из ПК - специальные утилиты. Ознакомимся с самыми популярными решениями, отлично зарекомендовавшими себя в борьбе с руткитами.

TDSSKiller

Продукт, созданный в лаборатории Касперского. Распространяется бесплатно. Находит и обезвреживает многие разновидности «штамма». В том числе: TDSS, SST, Pihar, Stoned, Сidox. А также отслеживает руткит-аномалии: скрытые/заблокированные сервисы и файлы, подменённые/модифицированные системные процессы, вредоносные настройки в MBR (загрузочном секторе дискового раздела).

Чтобы проверить ОС при помощи этой утилиты, выполните следующие действия:

1. Откройте в браузере страницу - support.kaspersky.ru/viruses/disinfection/5350 (официальный сайт компании Kaspersky).

2. Щёлкните мышкой по первому разделу «1. Как вылечить… ».

4. Запустите скачанный инсталлятор двойным щелчком мыши. В окне «Разрешить… ?» выберите «Да».

5. Под текстом лицензионного соглашения клацните по кнопке «Принять». Эти же действия выполните и в блоке «KSN-соглашение».

6. В панели антируткита откройте опцию «Изменить параметры».

7. В новом окне «Настройки», в разделе «Дополнительные опции», включите функцию «Проверять цифровые подписи… » (установите флажок).

Совет! Дополнительно в разделе «Объекты… » можно активировать проверку загруженных модулей (потребуется перезагрузка ОС).

8. Щёлкните «OK».

9. Нажмите кнопку «Начать проверку».

10. По завершении сканирования ознакомьтесь с отчётом. В нём будет указано, сколько удалено вредоносных объектов с компьютера.

Bitdefender Rootkit Remover

Простой в использовании антируткит (стартует по одному клику мышки). Разработан компанией Bitdefender’s LABS. Распознаёт множество актуальных угроз: TDL/SST/Pihar, Plite, Fips, MBR Locker, Ponreb, Mebroot и др. Является портативным приложением (не требует инсталляции). Молниеносно выполняет проверку. В каждом релизе утилиты обновляется и расширяется база зловредов.

Чтобы воспользоваться Rootkit Remover, выполните нижерасположенную инструкцию:

1. Откройте страницу для загрузки утилиты - abs.bitdefender.com/projects/rootkit-remover/rootkit-remover/ (офсайт разработчика).

2. Выберите дистрибутив, согласно разрядности установленной Windows (x86 или x64): щёлкните по соответствующей ссылке.

Совет! Узнать тип ОС можно в Панели управления: Система и безопасность → Система.

3. Запустите загруженный исполняемый файл от имени администратора.

4. Для запуска проверки в окне приложения клацните по кнопке «Start Scan».

AVZ

Мультифункциональный антивирусный сканер, созданный российским программистом Олегом Зайцевым. Способен найти и обезвредить вирус любого типа (включая модули SpyWare и Adware, трояны, черви). Оснащён специальным инструментом для эффективного выявления руткитов - настраиваемым модулем Anti-Rootkit.

Чтобы проверить Windows на наличие вирусов утилитой AVZ, выполните нижеприведённое руководство:

1. Перейдите на страницу для скачивания - z-oleg.com/secur/avz/download.php (официальный веб-ресурс разработчика).

3. После загрузки распакуйте архив: щелчок правой кнопкой → Извлечь всё.

4. Запустите с правами администратора файл AVZ (иконка «щит и меч»).

5. Обновите сигнатурные базы утилиты: в вертикальной панели кнопок, расположенной в правой нижней части окна, кликните по кнопке «земной шар». В новом окне нажмите «Пуск».

6. Выполните предварительные настройки на вкладках:

  • «Область поиска» - установите флажки возле разделов диска, которые необходимо проверить;
  • «Типы файлов» - включите опцию «Все файлы»;
  • «Параметры поиска» : в блоке «Эвристический анализ» передвиньте регулятор порога вверх (до значения «Максимальный уровень»), включите функцию «Расширенный анализ»; в «Anti-Rootkit» установите флаги возле всех надстроек (детектировать перехватчики, блокировать работу Rootkit User-Mode и Kernel-Mode).

7. Чтобы началась проверка разделов, нажмите по кнопке «Пуск».

Условно-бесплатное решение (триал - 180 дней) от отечественного разработчика Greatis Software. Одинаково успешно борется как с руткитами, так и с угонщиками браузеров, рекламным ПО. Поддерживает безопасный режим. Совместим с Windows 10.

Чтобы задействовать утилиту:

1. Скачайте инсталлятор с офсайта (greatis.com/unhackme/): щёлкните на странице кнопку «Download».

2. Распакуйте загруженный архив (клик правой кнопкой → Извлечь всё).

3. Запустите файл unhackme_setup. Следуйте указаниям установщика.

4. Кликните ярлык утилиты на рабочем столе.

5. В окне приложения, в разделе «Настройки», в блоке «Поиск руткитов… », проверьте, включена ли опция «Активен».

6. Перейдите на вкладку «Проверить» и нажмите с таким же названием красную кнопку.

7. В отрывшемся меню выберите режим сканирования:

  • «Онлайн проверка… » - подключение баз, находящихся на сервере разработчика;
  • «… тест» - оперативное тестирование;
  • «Сканирование… » - детектирование и обезвреживание в безопасном режиме.

Trend Micro RootkitBuster

Свободно распространяется. Проверяет файлы, реестр, службы, драйверы, загрузочные сектора, перехватчики (service hooks), порты и многие другие важные составляющие ОС. Детектирует широкий спектр руткитов.

Чтобы «вылечить» ПК утилитой RootkitBuster:

1. Откройте офсайт компании - trendmicro.com/us/index.html.

2. Перейдите в раздел «Download».

3. В списке программных продуктов, в разделе «Other», щёлкните «RootkitBuster».

4. Выберите релиз (для 32 или 64-битной системы).

5. Запустите скачанный антируткит от имени администратора.

6. Включите проверку всех элементов (Master Boot Records, Services, Kernel Code).

7. Нажмите «Scan Now» для старта сканирования.

Безусловно, есть и другие антируткиты. Применяйте только действенные и удобные в пользовании решения от известных разработчиков. Также «не списывайте со счетов» лечащие утилиты (Dr.Web CureIt!, Kaspersky Virus Removal Tool, Malwarebytes Anti-Malware) и антивирусные загрузочные диски (Avira, Panda, Kaspersky и др.), выполняющие проверку без запуска ОС.

Удачной охоты на руткитов! И помните, что в борьбе с ними все средства хороши.

Существует много версий антивирусов от Лаборатории Касперского, каждая из которых имеет свои преимущества и недостатки. Один из последних вариантов – Kaspersky Internet Security 2015, который сочетает в себе множество функций, настройка которых требует времени и определенных навыков. Как установить и провести базовую настройку антивируса Касперского мы расскажем в этой статье.

Загрузка и установка

Первым делом нужно скачать установочный дистрибутив себе на компьютер. Где и как это сделать – каждый решает сам. Демо-версию можно загрузить с официального сайта, работать она будет 30 дней, после чего потребует активации. Когда дистрибутив будет на вашем компьютере, его нужно будет запустить.

После запуска вы увидите следующее окно:

При нажатии кнопки “Установка” вам откроется следующая вкладка с лицензионным соглашением, которое, как обычно, нужно будет просто принять. Далее ещё одно соглашение, после которого начинается непосредственно установка программы на компьютер. Она длится порядка 15 минут.

Программа будет достаточно долго запускаться, анализируя операционную систему и состояние компьютера в целом.

После этого Kaspersky Internet Security затребует ввести ключ лицензии. Если у вас он есть – вводите и активируйте программу, если же нет – выбирайте пробную версию.

Это последний шаг, после которого на вашем компьютере будет установленная программа KIS 2015. Вы попадете в главное меню и обнаружите, что базы антивируса сильно устарели. Связано это с тем, что в установочном дистрибутиве содержится минимальный набор информации с расчетом на использование интернета для регулярного обновления антивирусных баз. Что вам и нужно будет сделать: нажимаем на обновление и ждем.

Сканирование компьютера

Перед сканированием нужно выполнить несколько настроек, чтобы оно проходило без эксцессов. Для этого заходим в пункт меню “Настройки”.

Там нам нужна вкладка “Проверка”. Здесь выставляется действие при обнаружении угрозы. Если вы хотите удалять все зараженные файлы – выставляйте “Удалить”, но гораздо эффективнее выбирать пункт “Лечить, неизлечимое – удалять”. Так вы избежите потери большинства файлов и будете надежно защищены от угрозы. Кстати, действие по отношению угроз вы можете принимать самостоятельно: выбирайте пункт “Информировать” и все решения придется выбирать вручную.

Ниже можно определить действие, которое будет выполняться при подключении съемных носителей. Быстрая проверка подразумевает оценку загрузочного сектора, полная – проверку всех файлов. Варианта всего 4: не проверять, быстрая и полная проверка, а также полная проверка носителей небольшого объема.

После этого можно таки приступить к сканированию. Возвращаемся в главное меню и выбираем пункт “Проверка”.

Здесь откроется выбор вариантов проверки. Полная проверка подразумевает проверку всех директорий компьютера и подключенных носителей. Быстрая проверка выполняет анализ важных директорий компьютера и общих объектов, где чаще всего и заседают вирусы и вредоносные приложения. Выборочная проверка позволяет проанализировать определенную директорию, где, по вашему мнению, может находиться вирус. Проверка съемных носителей дает пользователю выбор носителя, который сканировать, а менеджер задач отображает все запущенные проверки.

Выбирайте подходящий вариант и жмите “Запустить”. Теперь нужно немного подождать и все результаты вы увидите.

Второстепенные настройки антивируса

Чтобы сделать работу программы еще эффективнее, нужно покопаться в дополнительных настройках и установить определенные параметры Касперского, которые нужны именно вам. Для этого опять переходим во вкладку “Настройку” и по порядку изменяем каждый из пунктов.

Здесь есть три флажка, которые можно убрать или установить. Автоматическое выполнение действий даст свободу антивирусу, который будет решать, что делать с файлами самостоятельно. Если же вы поставите флажок “Не удалять возможно зараженные объекты”, то все обнаруженные вирусы и недоброжелательные программы будут попадать в карантин. С пунктом “Автозапуск” все предельно понятно: вы определяете, будет ли Касперский автоматически запускаться при старте Windows. Установка пароля нужна для устранения стороннего вмешательства в настройки антивируса.

В пункте настроек “Защита” вы можете определить уровни защиты различных функций Касперского и настроить их по своему усмотрению:

  • Для файлового антивируса возможен выбор трех уровней угрозы, в зависимости от среды, в которой вы работаете, и определение автоматического действия при обнаружении угрозы.
  • Контроль программ позволяет ограничить влияние сторонних программ на действие компьютера: вы можете исключить приложения без подписи, определить правила для программ и автоматически помещать новые программы в определенный список.
  • Защита от сетевых атак позволяет заблокировать компьютер агрессора на определенный период времени.
  • IM-антивирус анализирует трафик программ-пейджеров на наличие вредоносных ссылок.
  • Настройки почтового и веб-антивируса идентичны параметрам файлового антивируса.
  • Работу веб-камеры можно ограничить для всех (или некоторых программ) или выставить выдачу уведомлений при использовании её программой из разрешенного списка.

  • Мониторинг активности может исключить риск для компьютера со стороны вредоносных программ. Здесь нужно включить защиту от эксплойтов, чтобы пресекать все попытки выполнения несанкционированных действий. Причем доступна настройка автоматического решения при обнаружении угрозы: действие можно либо разрешить, либо запретить. Контроль активности программ позволяет автоматически удалять вредоносную программу при обнаружении или завершать её работу в данной сессии. Если же влияние вируса пресечь не удалось, возможно автоматическое выполнение отката и возврат к предыдущему состоянию компьютера. И один из самых важных моментов этого пункта – защита от блокировщиков экрана, программ, полностью парализующих работу компьютера.
  • Функция анти-спама отвечает за блокировку входящих сообщений, содержащим спам.

  • “Анти-баннер” работает по принципу блокировщика рекламы, устраняя баннера на веб-страницах и в приложениях с рекламой. Для проверки можно использовать список баннеров Лаборатории Касперского, который регулярно обновляется, а также добавлять баннера в запрещенный список вручную.
  • Сервис безопасных платежей нужен для избежания возможности потери персональных данных, по которым злоумышленники смогут похитить ваши денежные средства. При посещении веб-сайта банка или платежной системы возможен выбор действия: запуска или не запуска Защищенного браузера, данные из которого невозможно перехватить. Если переход осуществляется по запросу из окна безопасных платежей, то можно выбрать браузер по умолчанию для совершения таких действий.

Вкладка “Производительность” отвечает за настройку функционала компьютера и равномерного распределения его ресурсов, которых часто не хватает и вся система начинает сильно лагать. Из доступных функций – блокировка запланированных задач при работе аккумулятора, которая положительно сказывается на производительности компьютера, наличие игрового профиля, в котором уведомления не выскакивают и не мешают нормальной работе в полноэкранном режиме.

Kaspersky Internet Security может уступать ресурсы операционной системе при запуске компьютера, оставляя включенными только самые важные компоненты, а также более важным программам в ситуации, когда на процессор и жесткий диск оказывается слишком высокая нагрузка. В то же время, возможно выполнение задач при простое компьютера, что позволяет оптимизировать использование ресурсов. Поиск руткитов выполняется в real-time режиме и на работу системы практически не влияет.

О вкладке “Проверка” и всех её возможностях было рассказано выше. Стоит лишь отметить, что есть возможность выставления проверки по расписанию, что нужно для регулярного анализа системы и поддержания её защищенности на надлежащем уровне.

Пункт “Дополнительно” открывает доступ к дополнительным настройкам. Их перечень тоже достаточно широк:

  • в параметрах обновления можно включить или отключить автоматическую загрузку и установку обновлений;
  • безопасный ввод данных блокирует работу перехватчиков, защищая конфиденциальность информации, которую вы вводите с клавиатуры;
  • в параметрах угроз и исключений возможно включение анализа программ, которые потенциально опасны для компьютера (например, нужны для удаленного управления), а также настройка технологии активного заражения;

  • при включении самозащиты блокируются все попытки изменения и удаления файлов антивируса для обеспечения стабильной работы;
  • в параметрах сети возможна блокировка некоторых портов и настройка анализа защищенных соединений, а также организация доступа к прокси серверу;
  • пункт “Уведомления” позволяет выбрать типы сообщений, которые будет отображать антивирус для пользователя;
  • параметры отчетов и карантина ограничивают срок хранения данных и максимальный их объем;
  • параметры подключения к веб-сервисам нужны для настройки взаимодействия пользователя и Лаборатории Касперского;
  • пункт “Внешний вид” имеет всего два подпункта: можно отключить анимацию значка и настроить плавный переход между окнами программы.


Понравилась статья? Поделиться с друзьями:
Вам также может быть интересно
Как прослушивать телефон жены - раскрываем секреты
Устройства
В наше время даже самая современная антивирусная программа не всегда может распознать и блокировать все угрозы, пытающиеся проникнуть в компьютер. Одну из самых неприятных и коварных опасностей...
Не могу закончить начатое
Безопасность
В наше время даже самая современная антивирусная программа не всегда может распознать и блокировать все угрозы, пытающиеся проникнуть в компьютер. Одну из самых неприятных и коварных опасностей...
Как подключить блютуз на ноутбуке
Устройства
В наше время даже самая современная антивирусная программа не всегда может распознать и блокировать все угрозы, пытающиеся проникнуть в компьютер. Одну из самых неприятных и коварных опасностей...
Финансы в Excel Создание и запись нового элемента справочника
Оборудование
В наше время даже самая современная антивирусная программа не всегда может распознать и блокировать все угрозы, пытающиеся проникнуть в компьютер. Одну из самых неприятных и коварных опасностей...
Что такое Емайл (E-mail) и почему это называют электронной почтой
Общая информация
В наше время даже самая современная антивирусная программа не всегда может распознать и блокировать все угрозы, пытающиеся проникнуть в компьютер. Одну из самых неприятных и коварных опасностей...
Записная книжка IT-шника
Устройства
В наше время даже самая современная антивирусная программа не всегда может распознать и блокировать все угрозы, пытающиеся проникнуть в компьютер. Одну из самых неприятных и коварных опасностей...