Софт

антируткит

Рейтинг: 4.1/5.0 (922 проголосовавших)

Категория: Windows: Антишпионы

Описание

Все о руткитах

Что такое руткиты. Программы для удаления руткитов

Еще недавно злоумышленники писали лишь вирусы, которые защитные программы вылавливали и обезвреживали без особых проблем. Достаточно было установить и правильно настроить антивирусную систему, регулярно обновлять ее базу. И жить спокойно.

Сегодня интернет-злоумышленники действуют куда масштабнее! Их уже не прельщает «всего лишь» заражение сотен тысяч компьютеров и даже пандемия нового вируса. Они стремятся получить контроль над множеством ПК и использовать их для своих темных дел. Из миллионов зараженных систем они создают огромные сети, управляемые через Интернет. Используя гигантскую вычислительную производительность «зомби-сетей», можно, например, производить массовые рассылки спама и организовывать хакерские атаки невиданной ранее мощности. В качестве вспомогательного инструмента для таких целей очень часто используют новый, особо опасный тип вредоносных программ – руткиты

Что такое руткиты?

Руткиты не только прячутся сами, но и скрывают другое вредоносное ПО, проникшее в систему. Цель маскировки – незаметно для антивирусов и других защитных программ захватить чужой компьютер. У таких руткитов, как Hacker Defender. в запасе весьма изощренные трюки. Этот замаскированный «вредитель» в обход брандмауэра открывает тайные лазейки в Интернет, которые позволяют хакерам управлять зараженным компьютером. Через созданный руткитами «черный ход» можно получать конфиденциальные данные (например, пароли) или внедрять в систему другие вредоносные программы. Руткитов пока немного. Но, к сожалению, для них (как и для вирусов) созданы «конструкторы», используя которые, даже малоопытные хулиганы могут создавать «замаскированных вредителей» (см. врезку на стр. ) и использовать их по своему усмотрению. Большинство антивирусных программ распознает такой вредоносный «софт», пока он не активен (скажем, «дремлет» в виде документа, прикрепленного к электронному письму). Но стоит двойным щелчком открыть кажущийся безобидным файл, и руткит активируется и «заберется» в сокровенные глубины системы. После этого найти и обезвредить его смогут лишь специальные приложения. ComputerBild протестировал 8 программ, задачей которых является распознавание и удаление руткитов. Все участники тестирования присутствуют на DVD, прилагаемом к этому номеру журнала.

Хитрости руткитов

Руткит пробирается в компьютер, чтобы использовать его в криминальных целях. Он может быть прикреплен к электронному письму, например в виде счета в формате PDF. Если вы щелкнете по мнимому счету, вредитель-невидимка активируется.

Затем руткит забирается глубоко в операционную систему Windows и изменяет один из файлов библиотек – *.dll. И последовательность команд, которая управляет правильной работой программ, попадает под контроль вредителя.

«Захват власти » руткитом остается незамеченным, и он спокойно загружает из Интернета другой вредоносный «софт». Новые вредители маскируются с помощью руткита. Теперь компьютер может быть использован для различных мошеннических действий, например для рассылки спама.

Как маскируются руткиты?

Антивирусные программы обычно распознают вредоносный «софт» по сигнатурам – характерным цепочкам кода в теле вируса. Это своего рода «особые приметы», по которым можно опознать и уничтожить «вредителя». Производители защитных программ регулярно размещают в Интернете обновления с последними обнаруженными сигнатурами. Кроме того, антивирусы узнают «вредителей» по некоторым особенностям их поведения – этот способ получил название «эвристический анализ». Если, к примеру, некая программа собирается удалить все MP3-файлы, сохраненные на жестком диске, скорее всего, это вирус, работу которого нужно блокировать, а его – уничтожить.

Чтобы обмануть антивирусные программы, руткиты манипулируют процессами, с помощью которых компьютерные приложения обмениваются данными. Из этих потоков они удаляют сведения о себе и других вредителях. Антивирус получает ложную информацию и считает, что «в Багдаде все спокойно»

Некоторые руткиты (так называемые «руткиты режима пользователя») перехватывают потоки данных между программами (например, между Windows и антивирусом) и манипулируют ими по своему усмотрению.

Другие руткиты (их называют «руткитами режима ядра») «сидят» глубже, между отдельными компонентами Windows или даже в системном реестре, и оттуда посылают антивирусу ложные данные

Как распространяются руткиты?
  • Иногда руткиты приходят в почтовых вложениях, маскируясь под документы разных форматов (например, PDF). На самом деле, такой «мнимый документ» является исполняемым файлом. Тот, кто попытается его открыть, активирует руткит.
  • Еще один путь распространения – подвергшиеся хакерской манипуляции сайты. Ничего не ведающий пользователь просто открывает веб-страницу – и руткит попадает в его компьютер. Это становится возможным из-за «дыр» в системе безопасности браузеров

«Самодельные» руткиты

Тысячи компьютеров, зараженных руткитами, образуют огромные «зомби-сети», используемые для рассылки спама в обход ничего не подозревающих пользователей. До последнего времени считалось, что такие махинации доступны лишь опытным программистам-профессионалам. Однако уже в ближайшем будущем ситуация может измениться. В Интернете все чаще встречаются так называемые Toolkits (наборы инструментов) для изготовления скрытых вредителей, например, довольно популярный Pinch. С помощью этого «софта» даже неопытный пользователь может создать «вредителя-невидимку». Основой для него послужит Pinch Builder Trojan, который с помощью программного интерфейса Pinch можно оснастить разнообразными вредоносными функциями. Согласно информации, опубликованной на сайте производителя антивирусов Panda Software, Pinch Builder Trojan может:

  • красть пароли браузеров, в частности Mozilla и Opera, и пересылать их интернет-мошенникам; благодаря доступу к специальным областям Windows он также умеет выведывать пароли Internet Explorer и Outlook;
  • считывать данные, вводимые с клавиатуры (в частности, пароли), и передавать их в Интернет;
  • скрывать свои вредоносные функции – программа искусно защищает «троянские» процессы от обнаружения антивирусным «софтом».

Андреас Маркс, эксперт антивирусной тестовой лаборатории AV-Test, которая регулярно проводит испытания по заказу ComputerBild, подтверждает: «Наборы для создания троянов уже продаются на специальных веб-сайтах за несколько сотен евро. Если по Интернету распространится широкая волна таких самодельных «вредителей», руткиты станут настоящим бедствием для пользователей».

Как избавиться от руткитов?

Установите программу Gmer, победившую в нашем тесте. Она уверенно обнаруживает руткиты и скрытых «вредителей» других типов, а также способна удалить большинство из них. Оставшиеся руткиты можно «доконать» с помощью утилиты AVG Anti-Rootkit. После удаления «вредителей» следует проверить систему обычным антивирусом, например из пакета программ Kaspersky Internet Security.

Обобщение результатов тестирования

Наш тест 8 антируткитов показал, что против хитрых замаскированных вредителей есть надежное средство. Правда, чтобы избавиться от непрошеных гостей, вам придется отправить на поиски руткитов сразу несколько «охотников».

Распознавание руткитов

В ходе тестирования выяснилось, что далеко не всем «охотникам за руткитами» под силу вывести на чистую воду замаскированных «вредителей». Обнаружить все активные руткиты смогли лишь три программы: победитель теста Gmer 1.0, AVG Anti-Rootkit и Rootkit Unhooker. Тот, кто пользуется этими приложениями, может быть уверен, что его компьютер не подвергнется нашествию «вредителей-невидимок». Кроме того, Gmer оказалась единственной программой, которой удалось найти все руткиты в альтернативных потоках данных.

Удаление руткитов

Ничуть не лучше обстояло дело с удалением вредоносного «софта». Gmer хотя и нашла все руткиты, смогла уничтожить только 63% из них, а также 87% других опасных программ, маскировавшихся «за компанию». Вредителям, которые прятались в альтернативных потоках данных, повезло еще меньше: на жестких дисках тестовых компьютеров не осталось ни одного из них. Это и принесло программе победу. Зато у второго призера доля удаленных активных руткитов была выше почти на четверть (86,67%). В том маловероятном случае, когда победитель теста Gmer не сможет удалить с жесткого диска всех вредителей, AVG Anti-Rootkit доведет работу до конца.

Слишком сложное управление

То, что обнаружение скрытого вредоносного «софта» – дело серьезной, заметно по сложности управления программами. Интерфейс всех приложений, участвовавших в тесте, англоязычный, а непонятные сообщения способны сбить с толку даже опытного пользователя.

К нашей радости, победитель теста – Gmer 1.0 – и второй призер, AVG Anti-Rootkit. обнаружили все 30 руткитов, «спрятавшихся» на тестовых компьютерах, и исправно сообщали о других скрытых опасностях. Gmer, кроме того, распознала всех «замаскированных вредителей», которые скрывались в альтернативных потоках данных (именно это и принесло ей победу в общем зачете). И Gmer. и AVG Anti-Rootkit удаляют большую часть найденных «вредителей», но все-таки не всех. Добиться максимального эффекта позволяет одновременное использование этих двух программ. Все остальные антируткиты получили оценку «плохо».

антируткит:

  • скачать
  • скачать
  • Другие статьи, обзоры программ, новости

    Вирусы Руткиты - Что это? Поиск руткитов

    Вирусы Руткиты — Что это? Поиск руткитов. Руткиты как удалить

    Всех приветствую! Сегодня у нас запись с рубрики компьютерная безопасность и поговорим мы о Руткитах. Руткит (англ. rootkit, т. е. «набор root’а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

    Содержание статьи

    Вирусы Руткиты — Что это?

    Помимо обычных вирусов, проникающих в систему без вашего ведома, существуют также программы известных брендовых производителей, которое представляет собой «Руткит» — программу, выполняющую самые разные действия без ведома пользователя.

    Например в свое время Sony выпустила систему от защиты от копирования лицензионных CD под названием XCP. Эта программа устанавливалась на компьютер пользователя незаметно с аудиодиска. XCP предотвращала не только копирование, но и запись любых CD. Действующая как драйвер для CD-DVD-приводов, программа могла даже вызвать сбой операционной системы.

    Среди актуальных (сомнительных) сегодня программ руткитов стоит упомянуть «Спутник Mail.ru», которую пользователи устанавливают, чтобы общаться с друзьями в социальной сети мой мир. Помимо основной функции, программа меняет в браузере начальную страницу, пытается предложить услуги компании, а также блокирует конкурентов.

    Для борьбы с руткитами и другим Spyware программами лучше применять специализированные программы, их базы и отслеживающие механизмы лучше справляются с этой специфической задачей, чем антивирусы. Великолепно себя зарекомендовала программа антишпион — Ad-Aware,  которая поможет вам найти и удалить руткиты и другие зловредные программы. Принцип работы программы схож с принципом работы антивирусом, только специализируется на удалении программ предлагающих рекламу, руткитах и др. Программа ищет следы «шпионов» в памяти компьютере — реестре, закладках браузеров, загрузочной области жесткого диска. Кстати вы уже видели новинку от гугл — очки? Это последнее слово в технологии мобильных устройств, подумать только в этих миниатюрных очках 2 ядерный процессор и гигабайт оперативной памяти, купить Google Glass уже можно в интернет магазине.

    Скачать лучший антируткит / антишпион Ad-Avare

    [lock] http://yadi.sk/d/7u-6DJDjE8WkL[/lock]

    Когда будите устанавливать программу, в случае если вы используете нормальный антивирус, который сканирует ссылки, например AVG антивирус. снимите галочки:

    AVG Anti Rootkit - скачать бесплатно AVG Anti Rootkit для Windows

    AVG Anti Rootkit Основная информация о программе

    Не смотря на то, что антивирусы есть уже почти на каждом компьютере, они могут быть бессильны против такого вида угроз, как руткиты. Это наиболее скрытные вирусы, которые трудно обнаружить стандартному антивирусу если руткит уже установлен в системе. Для удаления руткитов нужны специальные средства, и одно из них - AVG Anti-Rootkit.

    Во время установки этого сканера, пользователь может выбрать два режима отображения интерфейса: нормальный или упрощенный в стиле Win98. Второй может использоваться при работе с так называемыми screen reader-ами - программами, предназначенными для людей с ограниченными возможностями. Сразу после установки нужно перезагрузить компьютер.

    Есть два вида сканирования: простой и углубленный. Первый способ проходит быстрее, хотя второй может быть более надежным. Во время сканирования лучше не запускать другие программы, чтобы избежать ошибок и сократить время сканирования.

    Нужно сказать, что не смотря не высокую эффективность AVG Anti-Rootkit, это средство не является самодостаточным, поскольку, во-первых, не предоставляет постоянного контроля системы, а во-вторых, ориентировано только на руткиты. Установка полноценного антивируса является необходимой.

    Ключевые особенности и функции
    • простой понятный основной интерфейс;
    • альтернативный интерфейс для людей с ограниченными возможностями;
    • малый вес программы;
    • работа в двух режимах - быстрая проверка и углубленная;
    • полная проверка системы на наличие руткитов.

    Что такое - руткиты

    Что такое "руткиты"

    Руткит- попросту говоря, это то, что внедряется в ваш компьютер и скрывает следы своего присутствия (скрывает файлы, процессы, самого себя) так, что вы не замечаете, что в вашем компьютере без вашего ведома и согласия кто-то что-то делает. Это могут делать программы шпионы для сбора вашей информации, например, для коммерческой или другим образом материальной выгоды.

    Вредоносные программы, которые свою деятельность маскируют под "хорошие". Некоторые особи способны изменять файлы антивирусов, тем самым блокируя их работу.

    Igor Lakhardov Мастер (1469) 6 лет назад

    Катерина Мастер (2237) 6 лет назад

    Rootkit (руткит, от англ. root kit, то есть «набор root'а» ) — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

    Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.

    Классификация руткитов

    По уровню привилегий

    Уровня пользователя (user-mode)

    Уровня ядра (kernel-mode)

    По принципу действия

    изменяющие алгоритмы выполнения системных функций (Modify execution path)

    изменяющие системные структуры данных (Direct kernel object manupulation

    В Microsoft Windows

    В Windows из-за Windows File Protection переписывание системных файлов затруднено (хотя и его можно обойти!). поэтому основные способы внедрения в систему — модификация памяти.

    перехват системных функций Windows API (API hooking) на уровне пользователя;

    то же на уровне ядра (перехват Native API);

    изменение системных структур данных;

    модификация MBR и загрузка до ядра операционной системы — буткиты (известный представитель BackDoor.MaosBoot).

    Данный вид вредоносных кодов очень давно известен в мире Windows и с начала 90х годов прошлого столетия носит название стелс-вируса (Stealth). Кроме того, руткиту нужно как-то поставить себя на автозапуск. Нельзя не признать, что в Windows для этого существуют способы помимо «стандартных» .

    реализуемые подменой основных системных утилит (очень легко обнаруживаются средствами контроля целостности, кроме того, легко блокируются средствами типа SELinux (RedHat) и AppArmor (SUSE));

    реализованные в виде модуля ядра и основанные на патчинге VFS или перехвате таблицы системных вызовов (sys_call_table);

    основанные на модификации физической памяти ядра.

    Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми») .

    Антируткиты

    Это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого — как платных, так и бесплатных, но все они используют сходные принципы действия:

    Бесплатные

    Avast! Antivirus — не специализированное средство, но антируткит — один из компонентов.

    Hypersight Rootkit Detector — Единственный антируткит, который определяет руткиты, работающие в режиме hypervisor.

    Dr.Web CureIt! — Антируткит и не только.

    GMER — один из самых лучших анти-руткитов. Обнаруживает в AD-Streams.

    Grisoft AVG Antirootkit — один из самых лучших анти-руткитов. Как отдельный продукт больше не поддерживается, ссылка перенапраяляется на AVG Internet Security 8.0

    RootKit Unhooker — один из самых лучших анти-руткитов. Но с частыми зависаниями.

    AVZ — не специализированное средство, но антируткит — один из компонентов.

    Скачать бесплатно TDSSKiller - антируткит утилита, бесплатный сканер на руткиты и буткиты Касперского

    TDSSKiller

    2015-12-26

    бесплатное приложение для поиска и загрузки игр от Electronic Arts

    2015-09-28

    программа от Microsoft, которая позволяет быстро создать загрузочный USB накопитель или DVD диск.

    2015-09-26

    графический редактор для цифровых художников. Огромный выбор кистей и инструментов графики

    2015-09-20

    бесплатная программа на русском языке для дизайна помещений и 3d моделирования мебели

    2015-09-04

    бесплатное обновление драйверов блютуз устройств от Broadcom

    2015-08-30

    мультимедийный комбайн, который включает в себя разнообразные функции и возможности для работы с медийными данными, а также для записи дисков

    2015-08-28

    антивирус, созданный китайскими программистами, надежно защитит ваш компьютер от вирусов и вредоносных программ. Имеет три движка

    2015-08-24

    приложение предоставляет компьютеру надежную защиту, работает в полностью автоматическом режиме

    2015-08-20

    бесплатный антивирус для домашних пользователей, набирает всё большую популярность. Предлагает высокую комплексную защиту компьютера от всех видов вирусных атак

    Антируткит Dr Web Shield

    Антируткит

    Рассмотрим как общее понятие, так и непосредственно компании Доктор Веб.  Руткит - это программа или комплекс программ создаваемый хакерами, злоумышленниками преследующих корыстные цели, для того чтобы в первую очередь взломать Ваш компьютер, а затем получить доступ ко Всем данным. Руткит сопровождается различными рода утилитами:

      Вторжение проходит при помощи снифферов - это программный или аппаратный перехват трафика и как следствие, похищение данных. Затем кейлогер (аппаратное устройство) - регистрирует каждое нажатие клавиш и как следствие похищает данные. Причём все эти действия подкреплены троянами, которые в самый неподходящий момент активируют весь процесс.

    По логике выше описанного, метод борьбы с этой угрозой - это анализ трафика, как только в каком то направлении возникает повышенная загруженность трафика, система:

    антируткит Dr.Web Shield™ анализирует и при необходимости блокирует данный процесс.

    На сегодняшний день этот вид угрозы активно используют хакеры, поскольку он представляет непосредственный интерес, например: похитить пароли от вашего электронного кошелька или более того от почты на которой Вы храните кучу других паролей от важных для Вас ресурсов. По моему стоит действительно задуматься как защитить себя от этой угрозы!

    С Уважением к Вам, Владислав Никитин.

    Поделитесь информацией с друзьями:

    Лечим систему: Анти-руткиты

    Лечим систему: Анти-руткиты

    Одним из самых сложных видов вредоносного ПО являются руткиты. Руткиты очень эффективно скрывают своё присутствие в системе от антивирусов, антишпионов и прочих, а также прекрасно защищают себя и «оберегаемые» ими вирусы или трояны от удаления. Руткиты – это вредоносное ПО, порою очень сложное для удаления. В этой статье будет рассмотрено несколько эффективных антируткитов, созданных для борьбы с этой угрозой.

    О руткитах и антируткитах

    Термин «руткит» пришёл к нам из мира UNIX. Изначально этот термин обозначает набор утилит или модулей ядра операционной системы, которые злоумышленник устанавливает на взломанную систему для «заметания следов», а также сокрытия работающего в системе вредоносного ПО.

    В мире Windows под термином «руткит» понимается вредоносное программное обеспечение, перехватывающее обращения к системных функциям и модифицирующее результаты их работы. Благодаря этому руткит может скрывать от большинства программ, в том числе и антивирусов, свои файлы и папки, процессы, ключи реестра, свой траффик, и т.д. Кроме того, руткит может скрывать файлы, папки и прочие объекты вирусов, троянов, червей и прочих, поэтому наличие в системе руткита часто свидетельствует о заражении системы другим вредоносным ПО.

    Чаще всего «защитой» руткита пользуются банковские трояны (перехватывающие вашу финансовую информацию во время совершения финансовых операций, например, во время оплаты покупок через интернет или работы с онлайн-банкингом), средства удалённого управления, ботнеты – виды вредоносного ПО, которое должно находится в системе максимально долгое время.

    Руткиты бывают разные. Их разделяют по уровню привилегий, по принципу действия, или по сложности. «Лёгкие» руткиты, как правило, хорошо обнаруживаются и удаляются современными антивирусами, а вот сложные, постоянно разрабатываемые и совершенствуемые руткиты могут скрываться в системе месяцами, а то и годами, всё это время успешно обходя защиту вашего антивируса, каким бы мощным и надёжным он не был.

    Но даже если руткит обнаружен, это не значит, что он будет легко удалён. Руткиты защищают себя от удаления самыми различными методами, и многие антивирусы, особенно не слишком эффективные, порою оказываются совершенно бесполезными в борьбе с сидящим в системе руткитом. В таком случае приходится прибегать к помощи специальных утилит анти-руткитов, которые созданы для обнаружения и удаления руткитов.

    Перед тем, как работать с рассмотренными здесь утилитами, ознакомьтесь с пунктом «Что нужно знать о руткитах и антируткитах» в конце данной статьи.

    RootkitRevealer

    RootkitRevealer

    Первая утилита, которую мы рассмотрим, не позволяет удалять руткиты, но зато она очень эффективно определяет их наличие в системе. Принцип её действия довольно прост – утилита сравнивает результаты, возвращаемые системными API-функциями с результатами прямого чтения объектов, и выводит список различий. Если таковые различия есть, это значит, что что-то модифицирует результаты работы API-функций, и косвенно свидетельствует о наличии в системе руткита.

    По словам разработчиков, «скрыться» от RootkitRevealer очень сложно, и на данный момент нет руткитов, которые могут это сделать.

    Утилита предназначена для довольно опытных пользователей, которые могут интерпретировать результаты её работы, и, исходя из них, сделать вывод – являются ли они доказательствами наличия руткитов в системе. Если же говорить проще, можно сказать следующее: если утилита обнаружила сравнительно большое количество несоответствий, и особенно, если они затрагивают важные для системы объекты, например, ключи автозагрузки в реестре Windows, драйвера и библиотеки с расширениями dll и sys, то стоит задуматься о применении программ, которые описаны ниже. Скачать RootkitRevealer вы можете здесь. Учтите, что RootkitRevealer доступен только для 32-битных систем, на x64-системах он неработоспособен.

    McAfee Rootkit Remover

    McAfee Rootkit Remover

    McAfee Rootkit Remover – простая утилита для удаления руткитов семейств TDSS и ZeroAccess – это одни из самых сложных руткитов. Утилита не имеет графического интерфейса, и запускается в командной строке Windows.

    Для того, чтобы удалить руткиты с помощью McAfee Rootkit Remover, вам достаточно запустить его от имени администратора, и всё остальное он сделает сам. Проще всего запустить McAfee Rootkit Remover щёлкнув по его исполняемому файлу правой кнопкой мыши и выбрав в контекстном меню пункт «Запустить от имени администратора». Скачать McAfee Rootkit Remover вы можете здесь .

    Bitdefender Rootkit Remover

    Bitdefender Rootkit Remover

    Bitdefender Rootkit Remover от известного разработчика BitDefender, продукты которого славятся своей эффективностью и надёжностью, позволяет лечить гораздо более широкий круг руткитов, а также позволяет излечить компьютер от буткитов – вредоносного ПО, которое записывает свой код в MBR или Boot-сектор жёсткого диска, и активируется ещё до загрузки Windows. Утилита доступна как для x86, так и для x64-систем.

    Работа с Bitdefender Rootkit Remover предельно проста. Запустите утилиту и щёлкните кнопку «Start Scan». Сканирования происходит очень быстро – около 1 – 2 секунд. Скачать утилиту вы можете здесь. выбирайте версию утилиты, соответствующую разрядности вашей системы.

    Malwarebytes Anti-Rootkit (MBAR)

    Malwarebytes Anti-Rootkit

    Malwarebytes Anti-Rootkit (сокращённо MBAR) – мощный антируткит от Malwarebytes – разработчика известной и популярной AntiMalware-утилиты Malwarebytes Anti-Malware, предназначенной для обнаружения и удаления самых различных угроз.

    В отличии от большинства рассматриваемых здесь анти-руткитов, Malwarebytes Anti-Rootkit требует установки (фактически, это простая распаковка в указанную папку), но зато предоставляет больше возможностей. Так, MBAR обновляет свою вирусную базу через интернет, чтобы всегда быть готовым удалять самые современные версии руткитов.

    Утилита выполнена в виде мастера. После запуска вам нужно щёлкнуть кнопку «Next», а затем «Update», чтобы обновить вирусную базу.

    Обновление базы данных

    Вновь щёлкните «Next», а затем «Scan», чтобы запустить проверку.

    Если будут найдены угрозы, щёлкните кнопку «Next» и выполняйте указания в окне MBAR, чтобы излечить систему. Если же угрозы обнаружены не будут, никакие действия выполнять не потребуется.

    Kaspersky TDSSKiller

    TDSSKiller – антируткит от Лаборатории Касперского. Не смотря на название, утилита способна обнаруживать и удалять не только TDSS, но и множество других руткитов. Программа проста в использовании и понятна даже начинающему пользователю, загружается в zip-архиве. После загрузки вам нужно распаковать её и запустить исполняемый файл. Загрузить TDSSKiller вы можете здесь. Подробнее о работе с TDSSKiller вы можете прочитать в статье «Удаление руткитов: Kaspersky TDSSKiller ».

    Trend Micro RootkitBuster

    Trend Micro RootkitBuster

    Trend Micro RootkitBuster – универсальный антируткит от известного производителя TrendMicro. В отличии от большинства антируткитов, созданных для лечения определённого набора руткитов или использующих антивирусные базы, Trend Micro RootkitBuster проверяет объекты системы, такие как MBR, реестр, файлы, файловые потоки и т.д. ища среди них маскируемые и скрываемые руткитами.

    Для поиска руткитов запустите Trend Micro RootkitBuster от имени администратора, согласитесь с лицензионным соглашением и щёлкните кнопку «Next». Здесь щёлкните кнопку «Scan Now» и дождитесь окончания сканирования. Скачать Trend Micro RootkitBuster вы можете здесь .

    GMER – это, пожалуй, один из самых известных и эффективных анти-руткитов. GMER также примечателен тем, что применяемые в нём технологии используются в антивирусах Avast!

    GMER создан для опытных пользователей, хорошо разбирающихся во «внутренностях» Windows и знающих, что они делают. Он не рекомендуется для начинающих пользователей, так как благодаря GMER вы можете не только не вылечить, но и полностью убить систему, если вы не понимаете, что делаете.

    GMER сканирует систему на наличие скрытых руткитами объектов, таких как драйвера, процессы и потоки, записи реестра, файлы и т.д. и позволяет удалять их. Также GMER содержит инструменты для ручного анализа системы и удаления руткитов и скрываемых ими объектов. Скачать GMER вы можете отсюда .

    AVZ – мощная антишпионская и антитроянская утилита, которая позволяет удалять множество сложных угроз самых разных видов. Хотя она не является чистым антируткитом, её возможности по борьбе с руткитами заслуживают отдельного рассмотрения.

    AVZ ищет руткиты без применения антивирусных баз. Вместо этого он анализирует ряд библиотек и функций ядра Windows на предмет перехвата их функций, подавляя работу руткитов. Действие анти-руткита распространяется на все сервисы и встроенные утилиты AVZ, что позволяет видеть, анализировать и удалять «охраняемые» руткитом объекты, даже когда руткит активен. Для того, чтобы нейтрализовать руткит, на вкладке «Параметры поиска» должны быть установлены флажки «Детектировать перехватчики API и Rootkit», «Блокировать работу Rootkit User-Mode» и «Блокировать работу Rootkit Kernel-Mode». Вам нужно запустить сканирование, во время которого будут сняты перехваты функций, установленные руткитом, а также обнаружены модули, которые перехватывают функции. Вы сможете удалить их из окна «просмотр протокола» открывающегося кнопкой с изображением очков справа от протокола работы.

    Список обнаруженных угроз

    Вы можете просто удалить файл или заставить AVZ найти следы этого файла в системе (например, его записи в реестре Windows) и удалить их тоже.

    Режим удаления

    Лучше всего запустить полное сканирование, чтобы AVZ могла обнаружить все модули руткита и защищаемые им вредоносные файлы.

    Учтите, что AVZ предназначена для опытных пользователей. С её помощью можно не только вылечить, но и повредить систему. Скачать AVZ вы можете здесь .

    Что нужно знать о руткитах и антируткитах

    Удаление руткитов, особенно с применением ручных средств работы с системой, требует определённых навыков. Перед лечением системы сделайте её полную резервную копию, например, с помощью Acronis True Image. Если в процессе лечения система будет загублена, вы сможете вернуть её к предыдущему состоянию и продолжить попытки. Не всегда вы будете виноваты в падении системы – некоторые руткиты так глубоко внедряются в систему, что «вывести» их очень нелегко.

    Перед работой с вышерассмотренными утилитами вам обязательно нужно знать несколько вещей:

    • Во-первых, не все перехваты системных функций принадлежат вредоносным руткитам. Многие полезные и популярные программы пользуются методиками перехвата обращений к функциям, большинство из них просто не сможет без этого работать. К таким программам относится большинство антивирусов, антишпионов, фаерволов, и множество прочего защитного софта. Также обращения к API системы перехватывают эмуляторы CD/DVD-дисководов и прочие эмуляторы виртуальных дисков, некоторые средства мониторинга системы, некоторые средства резервного копирования.
    • Для проверки и лечения системы всегда используйте последнюю версию выбранного антируткита. Новые версии руткитов появляются регулярно, и устаревшая на один день антируткит-утилита может оказаться бессильна против сидящего в системе руткита, или вовсе не увидеть его.
    • Если вы неопытный пользователь, не используйте сложных антируткитов, таких как GMER. Такие утилиты позволяют работать с важными системными объектами, повреждение которых приведёт к её неработоспособности.
    • После лечения руткитов перезагружайте систему, если это не произошло автоматически. Если этого не сделать, некоторые программы могут не работать или работать неправильно. Если антируткит не нашёл никаких угроз, перезагрузка, конечно, не нужна.
    Советы по лечению руткитов

    Во-первых, создайте полную резервную копию системы. Не пользуйтесь точками восстановления Windows – порою восстановление состояния из них приводит к возвращению руткита на место. К тому же, если система отказывается загружаться, они могут стать бесполезны.

    После того, как вы удалите руткит с помощью рассмотренных здесь утилит, проверьте систему с помощью одноразового антивирусного сканера, такого как Dr.WEB CureIt или Emsisoft Emergency Kit. Они вычистят остатки руткита и удалят скрывавшееся с его помощью вредоносное ПО. К тому же, большинство таких сканеров имеет встроенные эффективные средства для борьбы с руткитами.

    Если вы решили воспользоваться одноразовым сканером для удаления руткита, то наоборот, после применения сканера просканируйте систему одним из рассмотренных здесь антируткитов. Связанно это, опять-таки с тем, что руткиты бывают разные, и руткит мог остаться даже после того, как сканер отрапортовал об удалении.

    Если никакие средства не помогают удалить руткит, воспользуйтесь антивирусным загрузочным диском, таким как Dr.WEB LiveDisk или Kaspersky Rescue Disk. Они представляют собой операционную систему, как правило, на базе Linux, и предназначенны для загрузки с флешки или компакт-диска. С их помощью вы можете удалить руткит, когда Windows не загружена и руткит не может защитить себя.

    Как предотвратить заражение и последствия

    Для предотвращения заражения вам, в большинстве случаев, достаточно выполнять простые правила безопасности:

    • Установите надёжный антивирус, а лучше – пакет класса Internet Security, и регулярно обновляйте его вирусные базы. Если вы используете базовый антивирус, установите надёжный фаервол, например, Comodo Firewall или Outpost Firewall.
    • Регулярно выполняйте полную проверку системы вашим антивирусом. Также, изредка проверяйте систему сторонними антивирусными сканерами, такими как Dr.WEB CureIt или Emsisoft Emergency Kit .
    • Не запускайте и не открывайте файлы из недоверенных источников – вложений электронной почты, недоверенных сайтов, etc.
    • Не посещайте не вызывающие доверия или изначально недоверенные сайты.
    • Правильно настройте браузер и установите необходимые расширения для безопасности. О том, как это сделать в браузере Firefox, вы можете прочитать в статье «Повышаем безопасность Firefox: обзор необходимых дополнений ».
    • Проверяйте все файлы, в том числе и загруженные с доверенных сайтов, с помощью антивирусов. Если вы сомневаетесь в безопасности файла, вы можете проверить его онлайн. О том, как это сделать, читайте в статье «Как проверить безопасность файлов онлайн ».
    • Вовремя обновляйте ваши браузеры, систему, Flash-плеер, Java, Adobe Reader и прочие уязвимые программы. Разработчики вредоносного ПО используют уязвимости для заражения Windows.

    Какие бы меры вы не принимали, всегда есть вероятность заражения руткитом, поэтому вам нужно принимать меры для минимизации ущерба на случай заражения руткитами и их «довесками»:

    • Используйте средства для защиты онлайн-платежей, такие как Bitdefender Safepay. Вы можете использовать Bitdefender Safepay не только, когда работаете с деньгами, вы также можете использовать его при передаче важных данных, работе в учётных записях, взлом которых очень нежелателен, и т.д. Bitdefender Safepay – это защищённый браузер, использующий эффективные технологии защиты данных от множества атак, направленных на перехват данных. Во многие защитные продукты класса Internet Security уже встроены инструменты для защиты онлайн-платежей, но не все они действительно эффективны. Прочитайте статью о исследовании таких инструментов независимой лабораторией Matousec. Если используемый вами инструмент не находится в тройке лучших, у вас есть повод задуматся о использовании Bitdefender Safepay.
    • Если вы храните пароли на ПК, используйте для их хранения менеджер паролей, например, KeePass 2. Менеджеры паролей хранят данные в надёжно зашифрованной базе данных, и применяют методики для защиты паролей от кражи.
    • Регулярно делайте резервные копии важных данных, а также операционной системы. В случае заражения системы вы можете восстановить её из незаражённой резервной копии, что избавит вас от проблем с её лечением.
    • Шифруйте приватные данные. Это поможет вам защитить их в случае кражи.

    Спасибо за внимание.

    Возможно, вам будет интересно

    Malwarebytes Anti-Rootkit (MBAR) Beta скачать бесплатно - Бесплатные антивирусы, удаление вирусов

    Внимание! Beta-версия программы, может работать нестабильно. Предназначена только для опытных пользователей.

    Описание программы

    Malwarebytes Anti-Rootkit (MBAR) является инструментом, разработанным компанией Malwarebytes Corporation для обнаружения и удаления сложных, скрытых видов вредоносных программ под названием "руткиты". Руткиты - скрытые формы вредоносных программ, которые не могу обнаружить и удалить большинство обычных антивирусных сканеров.

    Malwarebytes Anti-Rootkit является удобным и надежным приложением, предназначенным для сканирования, обнаружения и удаления вредоносных руткитов, которые находятся на вашем компьютере.

    В архиве также имеется удобная утилита FixDamage, позволяющая исправлять повреждения системы, вызванные наличием руткитов. Эта операция требует перезагрузки компьютера для того, чтобы исправления вступили в силу.

    MBAR использует технологию Malwarebytes Chameleon для защиты себя от изменения и удаления, а также своих процессов от прекращения активными вредоносными программами в системе. Это позволяет независимо от атак на программу полностью завершить процесс обнаружения и удаления угроз.

    Malwarebytes Anti-Rootkit использует активное интернет-соединение для поддержания актуальности своей базы, чтобы обнаруживать и удалять самые последние руткиты "нулевого дня".

    Malwarebytes Anti-Rootkit был проверен и доказал свою эффективность против следующих типов руткитов:

    • Драйверы режима ядра, которые скрывают себя, такие как TDL1, TDL2/TDSS, MaxSS, Srizbi, Necurs, Cutwail и т.п.

    • Драйверы режима ядра, встраивающие вредоносный код в ядро операционной системы, такие как TDL3, ZeroAccess, Rloader и другие.

    • Заражающие Master Boot Record (MBR): TDL4, Mebroot/Sinowal, MoastBoot, Yurn, Pihar, и другие.

    • Заражающие Volume Boot Record/OS Bootstrap, такие как Cidox.

    • Заражающие таблицу разделов диска, такие как SST/Elureon.

    • Патчи пользовательского режима, такие как ZeroAccess.

    И многих других.

    Использование Malwarebytes Anti-Rootkit

    • Загрузите Malwarebytes Anti-Rootkit на ваш компьютер по ссылке "Скачать".

    • Распакуйте содержимое архива в папку в удобном месте.

    • Откройте папку, в которую распаковали содержимое, и запустите файл mbar.exe.

    • Следуйте инструкциям мастера обновления и выполните проверку компьютера на наличие угроз.

    • Нажмите на кнопку Cleanup для удаления любых угроз и перезагрузите компьютер, если это будет предложено.

    • Подождите, пока система выключается, и выполняется процесс очистки.

    • Выполните еще одно сканирование системы с помощью Malwarebytes Anti-Rootkit, чтобы убедиться, что на компьютере не осталось никаких угроз. Если что-то опять будет обнаружено, то нажмите кнопку Cleanup еще раз и повторить процесс.

    • Если никаких дополнительных угроз не обнаружено, убедитесь, что ваша система работает нормально, выполнив проверку функциональности следующих компонентов:

    - доступ в Интернет;

    - Центр обновления Windows;

    - Брандмауэр Windows.

    • Если есть дополнительные проблемы с системой или компонентами, перечисленных выше, или других, запустите инструмент fixdamage.exe, который входит в состав Malwarebytes Anti-Rootkit, и перезагрузите компьютер.

    • Убедитесь, что ваша система теперь работает нормально.