Cum să scapi de rootkit?

Ce sunt rootkit-urile?

Un rootkit este un program rău intenționat care poate ascunde prezența altor programe dăunătoare din partea utilizatorilor și a software-urilor de securitate (antivirus, firewall). Unele rootkituri instalează backdoors. Spre deosebire de viruși sau viermi, rootkiturile nu se pot duplica.

Pentru a instala un rootkit, este necesar să aveți drepturi de administrator pe mașină.
Detectarea rootkit-urilor este mai complicată decât pentru alte programe malware.

Principalele acțiuni ale rootkiturilor:

Acestea pot afecta modul în care funcționează sistemul de operare (și, eventual, kernelul).
Ele sunt "invizibile" (proces ascuns), ceea ce le face dificil de dezinfectat.

Cele mai frecvente rootkit-uri sunt:

ZeroAccess / Sirefef
Alueron / TDSS TDL 4 (bootkituri)

Rețineți că:

Majoritatea utilizatorilor de Internet utilizează conturile de administrator în loc de un cont limitat pentru a naviga pe internet și acest lucru facilitează foarte mult instalarea de rootkits pe mașină!

Mai multe informații despre rootkits.

Metode de dezinfecție

Noțiuni de bază

Rootkiturile pot face sistemul instabil.

Înainte de a le elimina, este recomandat să copiați documente importante.
Pe de altă parte, în timpul procedurii de dezinfectare, închideți toate programele care rulează și dezactivați protecția împotriva virușilor.
Salvați rapoartele de scanare și le publicați pe forumurile corespunzătoare, dacă este necesar.

Prima metodă: Malwarebyte's Anti-Rootkit

Scanerul Malwarebyte Antirootkit oferă o soluție foarte eficientă.
Descărcați și lansați programul: //www.malwarebytes.org/products/mbar/
Rulați o scanare.
Eliminați elementele rău-intenționate detectate.
Salvați raportul de scanare.

A doua metodă: RogueKiller

RogueKiller este un program care poate detecta rootkits (este capabil să detecteze și să elimine ZeroAccess / Sirefef).

Descărcați RogueKiller.
Închideți toate programele
Porniți RogueKiller.exe.
Așteptați până se termină prescanarea ...
Rulați o scanare pentru a debloca butonul Ștergere.
Faceți clic pe Ștergere.
Salvați conținutul raportului.

A treia metodă: utilizarea Consolei de recuperare

Datorită Consolei de recuperare puteți repara Windows (fișierele vitale sunt corupte sau pierdute), dar pot ajuta și la neutralizarea rootkit-urilor.

A patra metodă: Gmer

Gmer este un detector puternic de rootkit:

Vizitați această pagină și descărcați Gmer sub un nume aleatoriu (pentru a înșela Rootkit).

Rugați-l pe Gmer

Programul lansează și efectuează o scanare automată.

Trebuie să apară linii roșii în caz de infecție.
Servicii: Faceți clic dreapta și ștergeți Serviciul
Proces: Faceți clic cu butonul din dreapta și apoi ucideți procesul
Adl, fișier: Faceți clic dreapta și ștergeți fișierele

Identificați cu ușurință roboți:

Când Gmer detectează un rootkit sau un fișier ascuns, linia corespunzătoare devine roșie.

La sfârșitul liniei trebuie să vedeți (pentru infecții) următoarele extensii:

.dat
.executabil
_nav.dat
_navps.dat
.sys

Exemplu de infecție:

C: Users \ crilaud \ AppData \ Local \ igeysiy.dat
C: Users \ crilaud \ AppData \ Local \ igeysiy.exe
C: Users \ crilaud \ AppData \ Local \ igeysiy_nav.dat
C: Users \ crilaud \ AppData \ Local \ igeysiy_navps.dat

A cincea metodă: Combofix

Este recomandabil să solicitați sfaturi pe forum înainte de a utiliza Combofix (este un instrument foarte puternic).
Descărcați //download.bleepingcomputer.com/sUBs/ComboFix.exe ComboFix (de sUBs) de pe desktop.
Dezactivați temporar orice protecție rezidentă Antivirus, Antispyware ..)
Faceți dublu clic pe ComboFix.exe (sub Vista, trebuie să faceți clic dreapta pe ComboFix.exe și selectați Run as administrator).
Acceptați acordul de licență.
Programul vă va întreba dacă doriți să instalați Consola de recuperare, faceți clic pe Da.
Când operația este finalizată, se va crea un raport în:% ystemDrive% ComboFix.txt (% systemdrive% este partiția în care este instalat Windows)