Проги для удаления руткитов под вин 10. Эффективные способы нахождения и удаления руткитов. Слишком сложное управление

22.03.2019

Еще недавно злоумышленники писали лишь вирусы, которые защитные программы вылавливали и обезвреживали без особых проблем. Достаточно было установить и правильно настроить антивирусную систему, регулярно обновлять ее базу... И жить спокойно.

Сегодня интернет-злоумышленники действуют куда масштабнее! Их уже не прельщает «всего лишь» заражение сотен тысяч компьютеров и даже пандемия нового вируса. Они стремятся получить контроль над множеством ПК и использовать их для своих темных дел. Из миллионов зараженных систем они создают огромные сети, управляемые через Интернет. Используя гигантскую вычислительную производительность «зомби-сетей», можно, например, производить массовые рассылки спама и организовывать хакерские атаки невиданной ранее мощности. В качестве вспомогательного инструмента для таких целей очень часто используют новый, особо опасный тип вредоносных программ - руткиты

Что такое руткиты?

Руткиты не только прячутся сами, но и скрывают другое вредоносное ПО, проникшее в систему. Цель маскировки - незаметно для антивирусов и других защитных программ захватить чужой компьютер. У таких руткитов, как Hacker Defender , в запасе весьма изощренные трюки. Этот замаскированный «вредитель» в обход брандмауэра открывает тайные лазейки в Интернет, которые позволяют хакерам управлять зараженным компьютером. Через созданный руткитами «черный ход» можно получать конфиденциальные данные (например, пароли) или внедрять в систему другие вредоносные программы. Руткитов пока немного. Но, к сожалению, для них (как и для вирусов) созданы «конструкторы», используя которые, даже малоопытные хулиганы могут создавать «замаскированных вредителей» (см. врезку на стр. ??) и использовать их по своему усмотрению. Большинство антивирусных программ распознает такой вредоносный «софт», пока он не активен (скажем, «дремлет» в виде документа, прикрепленного к электронному письму). Но стоит двойным щелчком открыть кажущийся безобидным файл, и руткит активируется и «заберется» в сокровенные глубины системы. После этого найти и обезвредить его смогут лишь специальные приложения. ComputerBild протестировал 8 программ, задачей которых является распознавание и удаление руткитов. Все участники тестирования присутствуют на DVD, прилагаемом к этому номеру журнала.

Хитрости руткитов

Руткит пробирается в компьютер, чтобы использовать его в криминальных целях. Он может быть прикреплен к электронному письму, например в виде счета в формате PDF. Если вы щелкнете по мнимому счету, вредитель-невидимка активируется.

Затем руткит забирается глубоко в операционную систему Windows и изменяет один из файлов библиотек - *.dll. И последовательность команд, которая управляет правильной работой программ, попадает под контроль вредителя.

«Захват власти » руткитом остается незамеченным, и он спокойно загружает из Интернета другой вредоносный «софт». Новые вредители маскируются с помощью руткита. Теперь компьютер может быть использован для различных мошеннических действий, например для рассылки спама.

Как маскируются руткиты?

Антивирусные программы обычно распознают вредоносный «софт» по сигнатурам - характерным цепочкам кода в теле вируса. Это своего рода «особые приметы», по которым можно опознать и уничтожить «вредителя». Производители защитных программ регулярно размещают в Интернете обновления с последними обнаруженными сигнатурами. Кроме того, антивирусы узнают «вредителей» по некоторым особенностям их поведения - этот способ получил название «эвристический анализ». Если, к примеру, некая программа собирается удалить все MP3-файлы, сохраненные на жестком диске, скорее всего, это вирус, работу которого нужно блокировать, а его - уничтожить.

Чтобы обмануть антивирусные программы, руткиты манипулируют процессами, с помощью которых компьютерные приложения обмениваются данными. Из этих потоков они удаляют сведения о себе и других вредителях. Антивирус получает ложную информацию и считает, что «в Багдаде все спокойно»

Некоторые руткиты (так называемые «руткиты режима пользователя») перехватывают потоки данных между программами (например, между Windows и антивирусом) и манипулируют ими по своему усмотрению.

Другие руткиты (их называют «руткитами режима ядра») «сидят» глубже, между отдельными компонентами Windows или даже в системном реестре, и оттуда посылают антивирусу ложные данные

Как распространяются руткиты?

Иногда руткиты приходят в почтовых вложениях, маскируясь под документы разных форматов (например, PDF). На самом деле, такой «мнимый документ» является исполняемым файлом. Тот, кто попытается его открыть, активирует руткит.
Еще один путь распространения - подвергшиеся хакерской манипуляции сайты. Ничего не ведающий пользователь просто открывает веб-страницу - и руткит попадает в его компьютер. Это становится возможным из-за «дыр» в системе безопасности браузеров

«Самодельные» руткиты

Тысячи компьютеров, зараженных руткитами, образуют огромные «зомби-сети», используемые для рассылки спама в обход ничего не подозревающих пользователей. До последнего времени считалось, что такие махинации доступны лишь опытным программистам-профессионалам. Однако уже в ближайшем будущем ситуация может измениться. В Интернете все чаще встречаются так называемые Toolkits (наборы инструментов) для изготовления скрытых вредителей, например, довольно популярный Pinch. С помощью этого «софта» даже неопытный пользователь может создать «вредителя-невидимку»... Основой для него послужит Pinch Builder Trojan, который с помощью программного интерфейса Pinch можно оснастить разнообразными вредоносными функциями. Согласно информации, опубликованной на сайте производителя антивирусов Panda Software, Pinch Builder Trojan может:

красть пароли браузеров, в частности Mozilla и Opera, и пересылать их интернет-мошенникам; благодаря доступу к специальным областям Windows он также умеет выведывать пароли Internet Explorer и Outlook;
считывать данные, вводимые с клавиатуры (в частности, пароли), и передавать их в Интернет;
скрывать свои вредоносные функции - программа искусно защищает «троянские» процессы от обнаружения антивирусным «софтом».

Андреас Маркс, эксперт антивирусной тестовой лаборатории AV-Test, которая регулярно проводит испытания по заказу ComputerBild, подтверждает: «Наборы для создания троянов уже продаются на специальных веб-сайтах за несколько сотен евро. Если по Интернету распространится широкая волна таких самодельных «вредителей», руткиты станут настоящим бедствием для пользователей».

Как избавиться от руткитов?

Установите программу Gmer, победившую в нашем тесте. Она уверенно обнаруживает руткиты и скрытых «вредителей» других типов, а также способна удалить большинство из них. Оставшиеся руткиты можно «доконать» с помощью утилиты AVG Anti-Rootkit. После удаления «вредителей» следует проверить систему обычным антивирусом, например из пакета программ Kaspersky Internet Security.

Обобщение результатов тестирования

Наш тест 8 антируткитов показал, что против хитрых замаскированных вредителей есть надежное средство. Правда, чтобы избавиться от непрошеных гостей, вам придется отправить на поиски руткитов сразу несколько «охотников».

Распознавание руткитов

В ходе тестирования выяснилось, что далеко не всем «охотникам за руткитами» под силу вывести на чистую воду замаскированных «вредителей». Обнаружить все активные руткиты смогли лишь три программы: победитель теста Gmer 1.0, AVG Anti-Rootkit и Rootkit Unhooker. Тот, кто пользуется этими приложениями, может быть уверен, что его компьютер не подвергнется нашествию «вредителей-невидимок». Кроме того, Gmer оказалась единственной программой, которой удалось найти все руткиты в альтернативных потоках данных.

Удаление руткитов

Ничуть не лучше обстояло дело с удалением вредоносного «софта». Gmer хотя и нашла все руткиты, смогла уничтожить только 63% из них, а также 87% других опасных программ, маскировавшихся «за компанию». Вредителям, которые прятались в альтернативных потоках данных, повезло еще меньше: на жестких дисках тестовых компьютеров не осталось ни одного из них. Это и принесло программе победу. Зато у второго призера доля удаленных активных руткитов была выше почти на четверть (86,67%). В том маловероятном случае, когда победитель теста Gmer не сможет удалить с жесткого диска всех вредителей, AVG Anti-Rootkit доведет работу до конца.

Слишком сложное управление

То, что обнаружение скрытого вредоносного «софта» - дело серьезной, заметно по сложности управления программами. Интерфейс всех приложений, участвовавших в тесте, англоязычный, а непонятные сообщения способны сбить с толку даже опытного пользователя...

Итог

К нашей радости, победитель теста - Gmer 1.0 - и второй призер, AVG Anti-Rootkit , обнаружили все 30 руткитов, «спрятавшихся» на тестовых компьютерах, и исправно сообщали о других скрытых опасностях. Gmer, кроме того, распознала всех «замаскированных вредителей», которые скрывались в альтернативных потоках данных (именно это и принесло ей победу в общем зачете). И Gmer , и AVG Anti-Rootkit удаляют большую часть найденных «вредителей», но все-таки не всех... Добиться максимального эффекта позволяет одновременное использование этих двух программ. Все остальные антируткиты получили оценку «плохо».

Симптомы заражения руткитом

На практике обнаружение руткита не всегда возможно из-за того что данный вид взлома системы в большинстве случаев достаточно эффективно замаскирован в ее недрах, но в том случае, если начинаются активные действия злоумышленника типа передачи больших массивов информации, подозрительных подключений, изменений файлов, внешним необычным и нехарактерным для самой ОС проявлениям, поддающимся идентификации антивирусным ПО, то именно так и чаще всего пользователь может узнать об этом. Иными словами симптома всего два - подозрительные процессы в системе и результаты сканирование антивируса. В ряде же случаев выявить руткит в системе можно с помощью узконаправленного специализированного ПО, достаточных для того знаний и опыта.

Каким образом руткиты попадают в компьютер?

Чаще всего руткиты проникают в ПК посредством инфицированного пиратского или вредоносного ПО. "Широко распахнутыми воротами" для руткитов являются дыры и уязвимости в системе и приложениях, появляющиеся в результате повреждения другими вредоносными программами или несвоевременном обновлении таковых приложений до актуальных безопасных версий. Обнаружив такие уязвимости, руткит получает доступ к системным файлам, модифицирует их и устанавливает необходимые компоненты для получения скрытого удаленного доступа к системе, который часто достаточно сложно поддается обнаружению.

Как самостоятельно удалить руткит, если он обнаружен?

Самостоятельные и неумелые попытки удаления руткитов могут привести к сбоям в работе системы и ее приложений. Чаще всего удалением пары тройки файлов не обойтись, так как руткиты хорошо себя маскируют. Требуется комплексная проверка модификации файлов, файлов реестра, приложений, процессов, служб и других действий. Если же ваш антивирус, к примеру, антивирус Касперского все же обнаружил подозрительные файлы в компьютере, прежде чем их удалять сделайте на всякий случай их копии, чтобы потом при сбоях восстановить их для последующих попыток лечения.

Как и с помощью каких антивирусных антируткит программ найти/обнаружить руткиты?

Выбор программного обеспечения для обнаружения руткитов достаточно большой. Степень обнаружения ими руткитов разная, стопроцентного результата обнаружения и удаления, к сожалению, нет ни у одной. Приведем лишь список тех антивирусных программ и утилит антируткитов, которые ищут и удаляют их более менее прилично:

AVG Anti-Rootkit
Avira Rootkit Detection
Dr.Web
F-Secure
Kaspersky
Kaspersky TDSSKiller
KernelDetective
McAfee
Online Solutions Autorun Manager
Panda Anti-Rootkit
Rootkit Unhooker
RootRepeal
Sophos Anti-Rootkit
Symantec
Sys Reveal
Trend Micro RootkitBuster
VBA32
XueTr

Именно эти программы мы используем для автоматического поиска/обнаружения руткитов. Все они в той или иной мере позволяют найти и удалить различные разновидности руткитов.

Основные советы о том, как защитить компьютер от руткитов

Вот несколько простых правил, соблюдая которые вы сможете существенно повысить уровень антивирусной безопасности и снизить риск проблемных случаев:

Используйте только лицензионное программное обеспечение;
Пользуйтесь последними версиями операционных систем;
Регулярное обновляйте программное обеспечение;
Не пользуйтесь административной учетной записью;
Обязательно используйте эффективное и корректно настроенное антивирусное программное обеспечение;
Оградите свой компьютер от сторонних лиц;
Проверяйте съемные носители информации на наличие вредоносных программ;
Не скачивайте и не открывайте подозрительные файлы, полученные из ненадежных источников;
Закажите у нас услуги по обеспечению качественной антивирусной безопасности.

Почему иногда обнаруженный руткит не удаляется антивирусом?

Это достаточно распространенная ситуация, возникающая из-за того что обнаружена лишь часть вредоносного кода, после удаления которой ядро руткита восстанавливает эту часть. В данном случае требуется поиск ядра. Подобное случается также из-за того, что были поражены файлы операционной системы и их удаление может привести к сбоям работы системы и именно поэтому, заложенный в антивирусы алгоритм не может удалить эти файлы из-за ограничений самой системы на манипуляции с такими файлами, т.е. у антивируса недостаточно прав на подобные действия.

Руткит - это вредоносная программа, которая скрывает следы присутствия каких-либо сторонних программ, вредоносных программ в операционной системе. На наш взгляд руткит является наиболее опасной вредоносной программой из-за возможности скрытия любых следов настоящего или предыдущего присутствия кого или чего либо в системе и производимых действий. Обнаружить руткит – задача очень сложная, требующая профессиональных знаний и большого опыта. Злоумышленник может посредством вируса, червя или другого вида вредоносной программы и закрепиться там. Если компьютер подключен к сети интернет, то в зависимости от руткита, злоумышленник де-факто может получить абсолютный доступ ко всей вашей системе, он может изменять любые параметры системы, получать всю необходимую информацию, использовать ресурсы вашего компьютера для своих целей и так далее. Из-за своего скрытого присутствия рядовой пользователь даже не сможет предположить, что в его системе присутствует такая разновидность вредоносной программы, а злоумышленник в это время в меру своих способностей и знаний будет использовать ваш компьютер в своих целях или получать всю необходимую информацию. Мы постараемся максимально обезопасить ваш компьютер от присутствия вредоносных программ.

Обзор программ для удаления руткитов

Бороться с руткитами сложно по причине их маскировки под другие вполне благонадежные программы и неактивности пока пользователь не откроет определенный файл, в котором и прячется руткит. Для удаления руткитов созданы специальные утилиты, которые помогают выявить эти вредоносные программы.

Программа Gmer

Gmer, это небольшая утилита, при помощи произвести удаление руткитов . Утилита просканирует все процессы, службы, реестр, файлы и в случае подозрения на обнаружения вредоносной программы даст знать пользователю. Программа не требует установки и имеет очень простой интерфейс, чтобы приступить к поиску руткитов необходимо в верхней панели выбрать вкладку Rootkit и нажать "Scan". Во время поиска программа будет писать лог прямо в окне программы, процессы и файлы будут отображаться в двух цветах. Черным цветом будут отображаться файлы, программы и процессы, которые вызывают подозрение у Gmer, но это могут быть, как и руткиты, так и вполне благонадежные программы. Особое внимание нужно уделить процессам и файлам, которые отмечены красным цветом, именно в них Gmer обнаружил следы деятельности руткитов и именно эти файлы необходимо уничтожить.

Программа SdFix

Бесплатная, но эффективная утилита для удаления руткитов . Кроме руткитов она успешно справляется с поиском и других шпионских программ, которые проникли на ваш компьютер: троянов, бэкдоров, ирцботов и кейллогеров. Программа запускается даже с флешки, сама обнаруживает и уничтожает шпионское ПО, единственное, перед удалением не забудьте сделать копию реестра, чтобы в случае удаления важных файлов, не потерять систему. Копию реестра можно сделать программой ERUNT.

Программа UnHackMe 5

Еще одна программа, которая легко произведет поиск и удаление руткитов . Утилита очень проста в использовании, не требует установки, запускается на любом съемном носителе, от CD-ROM до флешки.

Программа TDSSKiller

Бесплатная и еще другой разной заразы, быстро просканирует ваш компьютер на наличие шпионских программ, и если вы разрешите, очистит от них вашу систему. После удаления руткитов компьютер обязательно следует перегрузить. Программа имеет очень простой интерфейс на русском языке.

Чтобы защититься от руткитов, нужно знать, как они могут попасть на ваш компьютер, основных путей несколько. Самыми распространенным является попадание через вложения, которые приходят с электронной почтой. Тестовые вложения содержат руткиты, которые, активизируются после того как пользователь открывает файл. Также руткиты попадают на компьютер через зараженные web-страницы, используя уязвимости в веб-обозревателях, поэтому старайтесь использовать самые последние версии браузеров, в которых найденные дыры в безопасности разработчики стараются закрыть.

Опасность руткитов заключается еще и в том, что для их создания созданы уже «конструкторы», основой для которых служит Pinch Builder Trojan. При помощи такого «конструктора» любой злоумышленник может создать свой руткит, невидимый для обычных антивирусов.

При внедрении в систему он сможет красть пароли, вводимые через браузер или набранные на клавиатуре.

Странное поведение операционной системы на моём домашнем компьютере в последние дни, заставило меня задуматься о её проверке на наличие руткит (Rootkit), то есть таких вредоносных программ, которые успешно могут скрывать от пользователя своё присутствие в системе.

Почему я сразу подумал о руткитах? А потому, что полная проверка системы на вирусы бесплатным антивирусом (не буду конкретизировать каким), который успешно боролся с ними на протяжении всего года, никаких результатов не дала.

Якобы и вирусов никаких нет и компьютер продолжает работать неправильно! Уверен почти на все 100%, что в инфицировании системы активно принимали участие мои дети, которым очень нравятся онлайн-игры и нажать какую-нибудь лишнюю кнопку на сайтах с играми для них не проблема.

А как известно, rootkit в первую очередь попадает на компьютер пользователя, используя уязвимости браузеров или плагинов. Поиск утилиты для борьбы с руткитами я начал, конечно же, на сайте Лаборатории Касперского и на нём свой поиск закончил, так как необходимый инструмент под названием «TDSSKiller» был найден сразу.

Особенности антируткит утилиты «Kaspersky TDSSKiller» :

эффективное обнаружение и удаление всего семейства известных руткитов и буткитов;
бесплатная, имеет графический интерфейс и небольшой размер;
поддерживает 32-х и 64-х рязрядные ОС Windows, включая и Windows 10;
умеет работать в безопасном режиме и т.д.

Теперь с её помощью приступим к поиску rootkit в системе. Переходим на сайт:

Https://support.kaspersky.ru/viruses/disinfection/5350

Сохраняем файл на компьютер.

РУТКИТ

Запускаем скачанный файл. Установка не требуется и желательно иметь активное подключение к интернету.

Нажимаем кнопку «Принять» два раза.

В окне «Всё готово к проверке» кликаем по кнопке «Начать проверку». Опцию «Изменить параметры» можно не трогать и ждём окончания процесса сканирования и нейтрализации найденных угроз.

На этом статья заканчивается для тех пользователей, у которых руткит в был найден и успешно нейтрализован. А у меня, после завершения сканирования оказалось, что предположение о внедрении в операционную систему руткитов первоначально было не верно. Антируткит утилита никаких угроз не обнаружила.

Если вы оказались в похожей ситуации, в первую очередь прогоните ОС антируткит утилитой, а потом, если ничего не помогло, поменяйте свой антивирус. Только если он не Антивирус Касперского, а какой-либо из бесплатных.

Не всегда бесплатно, значит лучше. Спасибо за внимание!

P.S. Если вас интересует видео инструкция о том, как установить ОС Ubuntu рядом с Windows, тогда перейдите по .

Всех приветствую! Сегодня хочу рассказать про программу UnHackMe для поиска и удаления троянов и руткитов. Дело в том, что некоторые антивирусы, особенно бесплатные, не в силах осуществлять проверку компьютера на наличие зловредов, а это значит, что ваша система может быть взломана, а важная информация похищена хакерами. Поскольку такое вредоносное ПО используется ими в конспиративных целях для допуска к ПК или локалки под видом администратора (этот вид вирусов зашифровывает и архивирует свои файлы и «скрывает» ключи реестра, сетевые подключения и т.д), профилактику необходимо проводить тщательно и регулярно.

UnHackMe

Скачать программу UnHackMe можно вот по этой ссылке , она платная, но есть бесплатный, 30 — дневный период. Этого вполне может хватить для проверки и удаления зловредов. И уже потом решить для себя, стоит ли ее покупать и использовать в детальнейшем или нет.

Утилита прекрасно совместима и не конфликтует с установленными в системе антивирусными приложениями известных компаний.

После установки, русификации и запуска продукта откроется вот такое окно.

Настройка UnHackMe

Мониторинг

Поиск руткитов предлагаю выставить «каждые 30 минут», это при том условии, что вы постоянно находитесь в Интернете и регулярно посещаете интернет сайты. А антивирусное сканирование через 4 часа.

Защита сети

Здесь стоит отметить все варианты, как показано на скриншоте, вплоть до крипто майнинга, которым в последнее время хакеры стали довольно часто заражать операционные системы и использовать ваши компьютеры в качестве неких «ферм» и зарабатывать на них.

При загрузке

Галочка должна находиться перед «Активно», а вот «Сканирование при запуске Windows» по желанию. Конечно же для безопасности хорошо бы отметить и тут, но тогда уже загрузка Windows будет проходить немного дольше, чем обычно.

Нажав на кнопку «Подробнее..». можно выставить дополнительные опции, как например, «Запретить сканирование на вирусы» или «Использовать безопасное удаление (файлы переименовываются).

В первом случае я бы не запретил проверку на вирусы, тем самым при загрузке системы проверялось бы на руткиты, это при условии, что у вас есть антивирус и вы регулярно им проверяетесь.

Во втором же, — выставить значение, если вы хорошо разбираетесь в ПК, и в дальнейшем для вас не составит труда отыскать эти архивы и файлы, и произвести с ними соответствующие действия.