Руткиты: что это такое и как их удалить. Как настроить касперского, первичные действия после установки антивируса

Разнообразие компьютерных вирусов растет, и злоумышленники придумывают все новые способы, как навредить пользователям и принести себе пользу. Еще несколько лет назад первоочередной задачей создателей вирусов было взломать компьютер пользователя, после чего его об этом оповестить и потребовать денег. Сейчас же куда более интересно для создателей вирусов получить компьютер пользователя в свое управление, чтобы позже его использовать, например, для рассылки спама, майнинга и других действий. В качестве инструмента-вируса, который используется для “захвата” компьютеров пользователей, применяются руткиты.

Оглавление:

Что такое руткиты

Руткиты - это вредоносные программы, которые проникают на компьютер различными путями. Например, руткит может попасть на компьютер с загруженной из интернета программой, либо с файлом из письма. Активируя руткит на компьютере, пользователь фактически предоставляет злоумышленникам доступ к своему PC. После активации руткит вносит изменения в реестр и библиотеки Windows, открывая возможность своему “хозяину” управлять данным компьютером.

Обратите внимание: Обычные массовые антивирусы способны “поймать” руткит на этапе его загрузки с интернета и загрузки. Но после того как он внес изменения в работу системы, они не видят, что вирус поразил компьютер и не могут решить проблему.

Через руткит хакеры могут получать всю необходимую информацию с компьютера. Это могут быть конфиденциальные данные (логины, пароли, переписка, информация о банковских карт и прочее). Кроме того, через руткиты хакеры могут управлять компьютером и выполнять различные действия, в том числе мошеннические.

Пример: На компьютер пользователя попал руткит. Спустя некоторое время интернет-провайдер отключил его от сети, объяснив это “массовым флудом”. Как оказалось, компьютер пользователя через сеть распространял broadcast пакеты данных всем пользователям сети со скорость в несколько тысяч за минуту (тогда как в обычном режиме пользователь отсылает 10-15 таких пакетов).

Примеров, как хакеры могут использовать руткиты на компьютере пользователя, масса. Соответственно, данные вирусы крайне опасны, и следует не допускать заражения ими компьютера.

Обратите внимание: Иногда руткиты проникают на компьютер вполне легально, вместе с одной из программ, загруженных из интернета. Пользователи редко читают лицензионные соглашения, а в них создатели программы могут указать, что вместе с их приложением установится руткит.

Как определить, что на компьютере есть руткит

Руткит с точки зрения обнаружения крайне неприятный вирус. Не все антивирусные программы его видят, тем более после внедрения в систему, а явных признаков того, что он “поселился” на компьютере, практически нет. Среди признаков, которые могут указывать на наличие руткита на компьютере, стоит выделить:

• Массовая отправка данных по сети, когда все приложения, взаимодействующие с интернетом, деактивированы. В отличие от многих “обычных” вирусов, руткиты часто маскируют данный фактор, поскольку многие из них работают в “ручном” режиме. То есть массово пересылаться данные могут не постоянно, а лишь в некоторые моменты, поэтому “выловить” данный случай крайне непросто.
• Зависание компьютера. В зависимости от того, какие действия проводит владелец руткита с компьютером жертвы, разнятся нагрузки на “железо”. Если по непонятным причинам компьютер (особенно маломощный) стал постоянно сам по себе подвисать, и это сложно связать с какой-то активностью работающих приложений, возможно, в этом виноват проникший руткит.

Как удалить руткиты

Лучшим средством от руткитов являются антивирусные диски. Многие крупные компании, специализирующиеся на борьбе с вирусами, предлагают свои антивирусные диски. С удалением руткитов хорошо справляются Windows Defender Offline и Kaspersky Rescue Disc.

Выбирать антивирусные диски для борьбы с руткитами следует из соображения, что вирусы при запуске антивирусного диска никак не могут воспрепятствовать проверке системы. Это связано с тем, что антивирусные диски работают, когда сама Windows не запущена, а вместе с ней не запущены и сопутствующие программы, в том числе вирусы и руткиты.

Существует много версий антивирусов от Лаборатории Касперского, каждая из которых имеет свои преимущества и недостатки. Один из последних вариантов – Kaspersky Internet Security 2015, который сочетает в себе множество функций, настройка которых требует времени и определенных навыков. Как установить и провести базовую настройку антивируса Касперского мы расскажем в этой статье.

Загрузка и установка

Первым делом нужно скачать установочный дистрибутив себе на компьютер. Где и как это сделать – каждый решает сам. Демо-версию можно загрузить с официального сайта, работать она будет 30 дней, после чего потребует активации. Когда дистрибутив будет на вашем компьютере, его нужно будет запустить.

После запуска вы увидите следующее окно:

При нажатии кнопки “Установка” вам откроется следующая вкладка с лицензионным соглашением, которое, как обычно, нужно будет просто принять. Далее ещё одно соглашение, после которого начинается непосредственно установка программы на компьютер. Она длится порядка 15 минут.

Программа будет достаточно долго запускаться, анализируя операционную систему и состояние компьютера в целом.

После этого Kaspersky Internet Security затребует ввести ключ лицензии. Если у вас он есть – вводите и активируйте программу, если же нет – выбирайте пробную версию.

Это последний шаг, после которого на вашем компьютере будет установленная программа KIS 2015. Вы попадете в главное меню и обнаружите, что базы антивируса сильно устарели. Связано это с тем, что в установочном дистрибутиве содержится минимальный набор информации с расчетом на использование интернета для регулярного обновления антивирусных баз. Что вам и нужно будет сделать: нажимаем на обновление и ждем.

Сканирование компьютера

Перед сканированием нужно выполнить несколько настроек, чтобы оно проходило без эксцессов. Для этого заходим в пункт меню “Настройки”.

Там нам нужна вкладка “Проверка”. Здесь выставляется действие при обнаружении угрозы. Если вы хотите удалять все зараженные файлы – выставляйте “Удалить”, но гораздо эффективнее выбирать пункт “Лечить, неизлечимое – удалять”. Так вы избежите потери большинства файлов и будете надежно защищены от угрозы. Кстати, действие по отношению угроз вы можете принимать самостоятельно: выбирайте пункт “Информировать” и все решения придется выбирать вручную.

Ниже можно определить действие, которое будет выполняться при подключении съемных носителей. Быстрая проверка подразумевает оценку загрузочного сектора, полная – проверку всех файлов. Варианта всего 4: не проверять, быстрая и полная проверка, а также полная проверка носителей небольшого объема.

После этого можно таки приступить к сканированию. Возвращаемся в главное меню и выбираем пункт “Проверка”.

Здесь откроется выбор вариантов проверки. Полная проверка подразумевает проверку всех директорий компьютера и подключенных носителей. Быстрая проверка выполняет анализ важных директорий компьютера и общих объектов, где чаще всего и заседают вирусы и вредоносные приложения. Выборочная проверка позволяет проанализировать определенную директорию, где, по вашему мнению, может находиться вирус. Проверка съемных носителей дает пользователю выбор носителя, который сканировать, а менеджер задач отображает все запущенные проверки.

Выбирайте подходящий вариант и жмите “Запустить”. Теперь нужно немного подождать и все результаты вы увидите.

Второстепенные настройки антивируса

Чтобы сделать работу программы еще эффективнее, нужно покопаться в дополнительных настройках и установить определенные параметры Касперского, которые нужны именно вам. Для этого опять переходим во вкладку “Настройку” и по порядку изменяем каждый из пунктов.

Здесь есть три флажка, которые можно убрать или установить. Автоматическое выполнение действий даст свободу антивирусу, который будет решать, что делать с файлами самостоятельно. Если же вы поставите флажок “Не удалять возможно зараженные объекты”, то все обнаруженные вирусы и недоброжелательные программы будут попадать в карантин. С пунктом “Автозапуск” все предельно понятно: вы определяете, будет ли Касперский автоматически запускаться при старте Windows. Установка пароля нужна для устранения стороннего вмешательства в настройки антивируса.

В пункте настроек “Защита” вы можете определить уровни защиты различных функций Касперского и настроить их по своему усмотрению:

• Для файлового антивируса возможен выбор трех уровней угрозы, в зависимости от среды, в которой вы работаете, и определение автоматического действия при обнаружении угрозы.
• Контроль программ позволяет ограничить влияние сторонних программ на действие компьютера: вы можете исключить приложения без подписи, определить правила для программ и автоматически помещать новые программы в определенный список.
• Защита от сетевых атак позволяет заблокировать компьютер агрессора на определенный период времени.
• IM-антивирус анализирует трафик программ-пейджеров на наличие вредоносных ссылок.
• Настройки почтового и веб-антивируса идентичны параметрам файлового антивируса.
• Работу веб-камеры можно ограничить для всех (или некоторых программ) или выставить выдачу уведомлений при использовании её программой из разрешенного списка.

• Настройки сетевого экрана позволяют организовать безопасный доступ к локальной сети и интернету. Вы можете включить уведомления об уязвимостях, которые подстерегают каждого, кто подключается к сети Wi-Fi. Есть возможность отключить/включить работу FTP, изменить время отключения сетевого экрана и установить блокировку сетевых соединений, когда интерфейс программы KIS-2015 не включен.

• Мониторинг активности может исключить риск для компьютера со стороны вредоносных программ. Здесь нужно включить защиту от эксплойтов, чтобы пресекать все попытки выполнения несанкционированных действий. Причем доступна настройка автоматического решения при обнаружении угрозы: действие можно либо разрешить, либо запретить. Контроль активности программ позволяет автоматически удалять вредоносную программу при обнаружении или завершать её работу в данной сессии. Если же влияние вируса пресечь не удалось, возможно автоматическое выполнение отката и возврат к предыдущему состоянию компьютера. И один из самых важных моментов этого пункта – защита от блокировщиков экрана, программ, полностью парализующих работу компьютера.
• Функция анти-спама отвечает за блокировку входящих сообщений, содержащим спам.

• “Анти-баннер” работает по принципу блокировщика рекламы, устраняя баннера на веб-страницах и в приложениях с рекламой. Для проверки можно использовать список баннеров Лаборатории Касперского, который регулярно обновляется, а также добавлять баннера в запрещенный список вручную.
• Сервис безопасных платежей нужен для избежания возможности потери персональных данных, по которым злоумышленники смогут похитить ваши денежные средства. При посещении веб-сайта банка или платежной системы возможен выбор действия: запуска или не запуска Защищенного браузера, данные из которого невозможно перехватить. Если переход осуществляется по запросу из окна безопасных платежей, то можно выбрать браузер по умолчанию для совершения таких действий.

Вкладка “Производительность” отвечает за настройку функционала компьютера и равномерного распределения его ресурсов, которых часто не хватает и вся система начинает сильно лагать. Из доступных функций – блокировка запланированных задач при работе аккумулятора, которая положительно сказывается на производительности компьютера, наличие игрового профиля, в котором уведомления не выскакивают и не мешают нормальной работе в полноэкранном режиме.

Kaspersky Internet Security может уступать ресурсы операционной системе при запуске компьютера, оставляя включенными только самые важные компоненты, а также более важным программам в ситуации, когда на процессор и жесткий диск оказывается слишком высокая нагрузка. В то же время, возможно выполнение задач при простое компьютера, что позволяет оптимизировать использование ресурсов. Поиск руткитов выполняется в real-time режиме и на работу системы практически не влияет.

О вкладке “Проверка” и всех её возможностях было рассказано выше. Стоит лишь отметить, что есть возможность выставления проверки по расписанию, что нужно для регулярного анализа системы и поддержания её защищенности на надлежащем уровне.

Пункт “Дополнительно” открывает доступ к дополнительным настройкам. Их перечень тоже достаточно широк:

• в параметрах обновления можно включить или отключить автоматическую загрузку и установку обновлений;
• безопасный ввод данных блокирует работу перехватчиков, защищая конфиденциальность информации, которую вы вводите с клавиатуры;
• в параметрах угроз и исключений возможно включение анализа программ, которые потенциально опасны для компьютера (например, нужны для удаленного управления), а также настройка технологии активного заражения;

• при включении самозащиты блокируются все попытки изменения и удаления файлов антивируса для обеспечения стабильной работы;
• в параметрах сети возможна блокировка некоторых портов и настройка анализа защищенных соединений, а также организация доступа к прокси серверу;
• пункт “Уведомления” позволяет выбрать типы сообщений, которые будет отображать антивирус для пользователя;
• параметры отчетов и карантина ограничивают срок хранения данных и максимальный их объем;
• параметры подключения к веб-сервисам нужны для настройки взаимодействия пользователя и Лаборатории Касперского;
• пункт “Внешний вид” имеет всего два подпункта: можно отключить анимацию значка и настроить плавный переход между окнами программы.

Руткиты (rootkit) в мире компьютерных вирусов прослыли как самые отъявленные шпионы. Они умеют скрывать своё присутствие не только от пользователя, но и от многих антивирусных программ. Внедряются в системные процессы, файлы, память. Действуют на уровне ядра (в абсолютной «глубине» Windows). В их теле могут находиться другие зловреды - трояны, клавиатурные шпионы, сканнеры банковских карт, черви.

Эта статья расскажет вам о том, что можно предпринять рядовому пользователю, чтобы удалить руткит из ОС.

Первые помощники в детектировании и нейтрализации подобных цифровых инфекций из ПК - специальные утилиты. Ознакомимся с самыми популярными решениями, отлично зарекомендовавшими себя в борьбе с руткитами.

TDSSKiller

Продукт, созданный в лаборатории Касперского. Распространяется бесплатно. Находит и обезвреживает многие разновидности «штамма». В том числе: TDSS, SST, Pihar, Stoned, Сidox. А также отслеживает руткит-аномалии: скрытые/заблокированные сервисы и файлы, подменённые/модифицированные системные процессы, вредоносные настройки в MBR (загрузочном секторе дискового раздела).

Чтобы проверить ОС при помощи этой утилиты, выполните следующие действия:

1. Откройте в браузере страницу - support.kaspersky.ru/viruses/disinfection/5350 (официальный сайт компании Kaspersky).

2. Щёлкните мышкой по первому разделу «1. Как вылечить… ».

4. Запустите скачанный инсталлятор двойным щелчком мыши. В окне «Разрешить… ?» выберите «Да».

5. Под текстом лицензионного соглашения клацните по кнопке «Принять». Эти же действия выполните и в блоке «KSN-соглашение».

6. В панели антируткита откройте опцию «Изменить параметры».

7. В новом окне «Настройки», в разделе «Дополнительные опции», включите функцию «Проверять цифровые подписи… » (установите флажок).

Совет! Дополнительно в разделе «Объекты… » можно активировать проверку загруженных модулей (потребуется перезагрузка ОС).

8. Щёлкните «OK».

9. Нажмите кнопку «Начать проверку».

10. По завершении сканирования ознакомьтесь с отчётом. В нём будет указано, сколько удалено вредоносных объектов с компьютера.

Bitdefender Rootkit Remover

Простой в использовании антируткит (стартует по одному клику мышки). Разработан компанией Bitdefender’s LABS. Распознаёт множество актуальных угроз: TDL/SST/Pihar, Plite, Fips, MBR Locker, Ponreb, Mebroot и др. Является портативным приложением (не требует инсталляции). Молниеносно выполняет проверку. В каждом релизе утилиты обновляется и расширяется база зловредов.

Чтобы воспользоваться Rootkit Remover, выполните нижерасположенную инструкцию:

1. Откройте страницу для загрузки утилиты - abs.bitdefender.com/projects/rootkit-remover/rootkit-remover/ (офсайт разработчика).

2. Выберите дистрибутив, согласно разрядности установленной Windows (x86 или x64): щёлкните по соответствующей ссылке.

Совет! Узнать тип ОС можно в Панели управления: Система и безопасность → Система.

3. Запустите загруженный исполняемый файл от имени администратора.

4. Для запуска проверки в окне приложения клацните по кнопке «Start Scan».

AVZ

Мультифункциональный антивирусный сканер, созданный российским программистом Олегом Зайцевым. Способен найти и обезвредить вирус любого типа (включая модули SpyWare и Adware, трояны, черви). Оснащён специальным инструментом для эффективного выявления руткитов - настраиваемым модулем Anti-Rootkit.

Чтобы проверить Windows на наличие вирусов утилитой AVZ, выполните нижеприведённое руководство:

1. Перейдите на страницу для скачивания - z-oleg.com/secur/avz/download.php (официальный веб-ресурс разработчика).

3. После загрузки распакуйте архив: щелчок правой кнопкой → Извлечь всё.

4. Запустите с правами администратора файл AVZ (иконка «щит и меч»).

5. Обновите сигнатурные базы утилиты: в вертикальной панели кнопок, расположенной в правой нижней части окна, кликните по кнопке «земной шар». В новом окне нажмите «Пуск».

6. Выполните предварительные настройки на вкладках:

• «Область поиска» - установите флажки возле разделов диска, которые необходимо проверить;
• «Типы файлов» - включите опцию «Все файлы»;
• «Параметры поиска» : в блоке «Эвристический анализ» передвиньте регулятор порога вверх (до значения «Максимальный уровень»), включите функцию «Расширенный анализ»; в «Anti-Rootkit» установите флаги возле всех надстроек (детектировать перехватчики, блокировать работу Rootkit User-Mode и Kernel-Mode).

7. Чтобы началась проверка разделов, нажмите по кнопке «Пуск».

Условно-бесплатное решение (триал - 180 дней) от отечественного разработчика Greatis Software. Одинаково успешно борется как с руткитами, так и с угонщиками браузеров, рекламным ПО. Поддерживает безопасный режим. Совместим с Windows 10.

Чтобы задействовать утилиту:

1. Скачайте инсталлятор с офсайта (greatis.com/unhackme/): щёлкните на странице кнопку «Download».

2. Распакуйте загруженный архив (клик правой кнопкой → Извлечь всё).

3. Запустите файл unhackme_setup. Следуйте указаниям установщика.

4. Кликните ярлык утилиты на рабочем столе.

5. В окне приложения, в разделе «Настройки», в блоке «Поиск руткитов… », проверьте, включена ли опция «Активен».

6. Перейдите на вкладку «Проверить» и нажмите с таким же названием красную кнопку.

7. В отрывшемся меню выберите режим сканирования:

• «Онлайн проверка… » - подключение баз, находящихся на сервере разработчика;
• «… тест» - оперативное тестирование;
• «Сканирование… » - детектирование и обезвреживание в безопасном режиме.

Trend Micro RootkitBuster

Свободно распространяется. Проверяет файлы, реестр, службы, драйверы, загрузочные сектора, перехватчики (service hooks), порты и многие другие важные составляющие ОС. Детектирует широкий спектр руткитов.

Чтобы «вылечить» ПК утилитой RootkitBuster:

1. Откройте офсайт компании - trendmicro.com/us/index.html.

2. Перейдите в раздел «Download».

3. В списке программных продуктов, в разделе «Other», щёлкните «RootkitBuster».

4. Выберите релиз (для 32 или 64-битной системы).

5. Запустите скачанный антируткит от имени администратора.

6. Включите проверку всех элементов (Master Boot Records, Services, Kernel Code).

7. Нажмите «Scan Now» для старта сканирования.

Безусловно, есть и другие антируткиты. Применяйте только действенные и удобные в пользовании решения от известных разработчиков. Также «не списывайте со счетов» лечащие утилиты (Dr.Web CureIt!, Kaspersky Virus Removal Tool, Malwarebytes Anti-Malware) и антивирусные загрузочные диски (Avira, Panda, Kaspersky и др.), выполняющие проверку без запуска ОС.

Удачной охоты на руткитов! И помните, что в борьбе с ними все средства хороши.

В наше время даже самая современная антивирусная программа не всегда может распознать и блокировать все угрозы, пытающиеся проникнуть в компьютер. Одну из самых неприятных и коварных опасностей представляют руткиты. С помощью данного инструмента злоумышленники получают контроль над компьютерами и затем используют их для своих целей.

Что такое руткиты и чем они опасны? Руткит – это программа или набор программных средств, который маскирует присутствие нежелательных приложений в операционной системе, помогая атакующим действовать на компьютерах своих жертв, при этом оставаясь незамеченными. Зачастую руткиты находятся глубоко в недрах системы и обнаружить их при помощи антивируса или других средств безопасности очень не просто. Сами по себе руткиты не всегда опасны, в отличие от программ и процессов, которые они скрывают. В сравнении с вирусами, руткиты могут нанести гораздо больший ущерб, т.к. получают доступ к системе с правами администратора. Они могут содержать различные вредоносные инструменты, такие как клавиатурный шпион (кейлоггер), вор сохраненных паролей, сканер данных о банковских карточках, дистанционно управляемый бот для осуществления DDoS-атак, а также функции для отключения антивирусных программ.

Как удалить руткит

Kaspersky TDSSKiller. Бесплатная утилита TDSSKiller от Лаборатории Касперского предназначена для лечения системы, зараженной вредоносными программами семейства Rootkit.Win32.TDSS, буткитами и другими известными руткитами. Она быстра в работе и не требует установки.

Чтобы бесплатно скачать TDSSKiller переходим на официальный сайт support.kaspersky.ru

После запуска программы можно сразу запустить проверку или добавить объекты для сканирования. Для этого следует перейти во вкладку “Изменить параметры проверки” и установить галочки у необходимых пунктов.

Dr.Web CureIt. С помощью данной утилиты можно проверить компьютер не только на наличие руткитов, но и на другие вредоносные объекты с последующим лечением. Программа Dr.Web CureIt бесплатна и не требует установки.

Руткиты – вид вредоносных программных средств, которые внедряются в операционную систему (ОС) компьютера и открывают к нему неограниченный доступ злоумышленнику через удаленное соединение.

Изначально (более 20 лет назад) руткиты предназначались для того, чтобы скрывать удаленные манипуляции злоумышленника или следы пребывания вирусов, троянов на компьютере жертвы. Сегодня – руткитами называют любые наборы утилит, которые:

• скрывают свою деятельность или деятельность других процессов;
• манипулируют процессами ОС;
• открывают доступ к средствам ОС через сеть;
• собирают пользовательские данные и отправляют их через сеть.

Виды руткитов

Рассмотрим все виды руткитов.

Виды руткитов

Руткиты уровня пользователя – самые распространенные. Они запускаются с правами текущего пользователя, реже администраторскими. Обычно они проникают на компьютер с целью сделать из него зомби-машину для или чтобы украсть конфиденциальные данные пользователя и переслать их злоумышленнику.

Руткиты уровня ядра – редки. Они запускаются с наивысшими правами, загружаются порой раньше операционной системы. Могут находится на компьютере годами, так как их очень сложно обнаружить, и они имеют наивысшие права в системе (root доступ).

Руткиты изменяющие пути исполнения внедряются в ОС, модифицируя обработчики событий операционной системы и системные файлы.

Руткиты, внедряющиеся в ядро, модифицируют само ядро операционной системы, их компоненты взаимодействуют друг с другом, образуя систему внутри системы. Удалить их можно только переустановив ОС.

Особый вид – это программно-аппаратные руткиты, которые работают на уровне выше чем любая операционная система. Они внедряются в механизм программного обеспечения аппаратной виртуализации.

Программно-аппаратные ракиты

Как попадает на компьютер

Руткиты попадают на компьютер пользователя так же, как и все остальное вредоносное ПО. Источником заражения может быть чужая флешка, письмо с незнакомого E-Mail адреса или случайно нажатая ссылка при серфинге в интернет.

На источнике заражения содержится только минимальный код внедрения. Когда он попадает в компьютер, то закрепится в системе и докачает все остальные компоненты с интернета. Когда он соберется в полном составе, он начнет делать то, для чего разработан – собирать данные и отправлять через интернет, устанавливать удаленный доступ к машине (backdoor – англ. черный ход).

Как бороться

Руткиты, которые внедряются в ядро чрезвычайно трудно обнаружить. Их не обнаруживает ни одно автоматизированное средство. Хорошая новость в том, что их единицы. Для каждого из них предназначено собственное средство, вроде TDSSKiller от лаборатории Касперского.

Средства для борьбы с руткитами уровня пользователя встроены в каждый современный пакет интернет защиты. Например, в Касперском (Kaspersky Internet Security) поиск руткитов по умолчанию включен и проводится каждый день, отключить его стандартными средствами нельзя.

Руткиты в Касперском

Это сделано для того, чтобы руткит не смог отключить защиту антивируса, чтобы проникнуть в систему. Если KIS встретит подозрительную активность в системе или узнает компонент руткита по сигнатурам, он заблокирует его.