Как удалить рут-комплект из Windows XP?

Question

Возможный дубликат:
Как избавиться от вредоносных шпионских программ, вредоносных программ, вирусов или руткитов с моего компьютера?

Я искал руткиты, следуя этим инструкциям http://computersight.com/software/how-to-manually-remove-rootkit/, и увидел это в моем журнале загрузки:

Loaded driver \SystemRoot\System32\Drivers\awhk9fmc.SYS

Я пытался найти это имя в Google, но ничего не было найдено. Я попытался посмотреть на файл на диске, но не смог его найти. Почти все остальные файлы есть. Я даже пытался загрузиться в Windows 98, смонтировать NTFS и посмотреть файл, но его все еще не было. Я запустил полную проверку с Microsoft Security Essentials, но ничего не нашел. Когда я перезагрузился, я увидел эту строку вместо:

Loaded driver \SystemRoot\System32\Drivers\a6n163gl.SYS

1. Как я могу удалить это?
2. Как я могу узнать, что он делает?
3. Как я могу узнать, когда он был вставлен?
4. Как я могу узнать, кто это написал?

Вот мой полный журнал загрузки:

    Service Pack 3 10 31 2012 17:35:36.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver sptd.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltmgr.sys
Loaded driver sr.sys
Loaded driver MpFilter.sys
Loaded driver KSecDD.sys
Loaded driver WudfPf.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver uagp35.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\amdk7.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisgrp.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
Loaded driver \SystemRoot\system32\drivers\cmuda.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbohci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisnicxp.sys
Loaded driver \SystemRoot\System32\Drivers\avzk9sf5.SYS
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\gameenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\serscan.sys
Loaded driver \SystemRoot\system32\drivers\DrmCAudio.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\tap0901.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srvkp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver 
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ctxusbm.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\cbfs3.sys
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Did not load driver \SystemRoot\System32\Drivers\StarOpen.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys

Answer 1

ОК, основная цель:

Как я могу удалить это?

Единственный гарантированный способ - сбросить его с орбиты. Переформатируйте и переустановите.

Возможно, есть более тонкие способы его удаления, но если вы точно не знаете, с чем имеете дело, вы не можете быть уверены. Это означает, что вы никогда не должны использовать этот компьютер для банковской деятельности. Нет больше покупок в Интернете с номерами кредитных карт и т.д.

Если у вас нет хорошей резервной копии, это чертовски раздражающая вещь. Но это единственный способ быть в безопасности.

Я предлагаю сначала сделать копию жесткого диска. Вы можете сделать это разными способами. Например, инструмент для работы с изображениями, например, Acronis, Ghost, Clonezilla. Что позволит вам вернуться в состояние, в котором вы сейчас находитесь. Простое копирование на внешний диск проще, но не думайте, что копирование всего обратно восстановит старую установку Windows (особенно если внешний диск отформатирован в FAT32). Хорошим третьим вариантом является создание VMDK (диск vmware) или VHD с диска (инструменты для этого здесь, в technet, и здесь, для Vmware).

Затем полностью вытрите. Переустановите с чистого изображения. Не пытайтесь восстановить какие-либо файлы еще. Установите драйверы сети при необходимости. Затем полностью обновите Windows.

Сейчас самое время сделать другой образ системы. Надеюсь, вам никогда не придется делать это снова, но если вы это сделаете, это сэкономит вам много времени.

Установите драйверы. Загрузите их из известного безопасного источника. Установите и обновите антивирус.

Теперь у нас есть безопасная система, и вы можете начать анализировать резервные копии, которые вы сделали в начале. Запустите их проверку на вирусы. Если он будет идентифицирован, он может просто дать вам ответ, который вы ищете.

Если нет, настройте виртуальную машину (без сети). Восстановите образ системы к этому. Затем установите средства отладки, такие как Process Explorer, Rootkitrevealer и GMER.

Теперь вы готовы ответить на ваш второй вопрос.

Как я могу узнать, когда он был вставлен?

Если это шпионское ПО, троян, вирус или иное «зло»: вы не можете полагаться на зараженную систему. Вам нужно будет проверить зараженную систему с помощью предыдущей резервной копии. Если у вас нет много регулярных резервных копий, это, вероятно, не удастся.

Если это просто «нормальное» программное обеспечение, то в файлах журналов и самих файлах могут быть даты.

Как я могу узнать, кто это написал?

Если это вирус или подобное: вы не можете. Если это легально написанное программное обеспечение, оно принадлежит программе или драйверу. Те должны прийти с информацией. К сожалению, часто драйвер пишется, fill in your name here .

Answer 2

Это серьезная боль в тылу, чтобы сделать. Там же инструменты , специально предназначенные для обнаружения руткитов - GMER и корневой набор открывающий приходят на ум. Файлы, которые вы видите, явно не являются руткитом - они могут быть сгенерированы другим фактически скрытым файлом. Они будут обнаруживать руткит, используемый правильно. Однако удалить их сложно, и для использования этих инструментов требуется определенный опыт.

Прежде всего, ваша система скомпрометирована. Там, вероятно, нет реальной причины, чтобы не разорвать и проложить его. Однако предположим гипотетически, что вы хотели выяснить, что это такое. Руткиты подключаются к самой ОС, чтобы спрятаться. В дополнение к ранее упомянутым инструментам вы можете использовать livecd для спасения от вирусов для сканирования системы - на ум приходит система Microsoft Sweeper , но есть и другие.

Затем я предложил бы перейти с linux livecd и скопировать любые файлы, которые вы хотели бы потерять, а затем загрузиться обратно в Windows. Сделайте AV-сканирование снова, чтобы посмотреть, что из этого получится.

Тогда, конечно, переустановка - это разумный выбор.