|
*** В последнее время для сокрытия присутствия на зараженных ПК вредоносного и шпионского программного обеспечения злоумышленники всё шире применяют так называемые руткиты. Brand-name-антивирусы содержат встроенные средства для обнаружения и уничтожения руткитов. Для этой цели можно воспользоваться и специальными программами. Предлагаю вашему вниманию одну из таких утилит – Trend Micro RootkitBuster (выпускается с 2006 г.).
*** Как пользоваться Trend Micro RootkitBuster – зайдите на сайт http://www.trendmicro.com/ и скачайте утилиту (прямая ссылка для скачивания – https://netler.ru/download/rootkit-buster.zip); – распакуйте файл rootkit-buster.zip (1,02МБ); – запустите файл RootkitBuster.exe (2,34МБ); – в разделе Target Selection установите флажки Files and Master Boot Record (MBR), Registry entries, Processes, Drivers, File Streams;
– нажмите кнопку Scan Now (при необходимости вы можете прервать сканирование нажатием на кнопку Stop); – сканер руткитов просканирует систему;
– по окончании сканирования появится окно Trend Micro RootkitBuster с сообщением «Do you want to view the log file?», нажмите Да; – ознакомьтесь с лог-файлом (на английском языке); – если подозрительные объекты не будут обнаружены, то в разделе Scan Status появится надпись «No hidden objects found».
*** Как расшифровать лог-файл Trend Micro RootkitBuster • если раздел «Dump Hidden MBR, Hidden Files and Alternate Data Streams on C:\» завершается строкой No hidden files found, – значит, подозрительных изменений в основной загрузочной записи, а также подозрительных скрытых объектов на диске C:\ не обнаружено; • если раздел «Dump Hidden Registry Value on HKLM» завершается строкой No hidden registry entries found, – значит, подозрительных объектов в Реестре Windows не обнаружено; • если раздел «Dump Hidden Process» завершается строкой No hidden processes found, – значит, подозрительных скрытых процессов не обнаружено; • если раздел «Dump Hidden Driver» завершается строкой No hidden drivers found, – значит, подозрительных драйверов не обнаружено.
*** Как удалить найденные руткиты Найденные руткиты можно удалить в прокручиваемом списке раздела Scan Results основного окна программы: – выделите объект и нажмите кнопку Delete Selected Items; – появится окно Trend Micro RootkitBuster с сообщением «Deletion complete. You must restart your computer for the changes to take effect. Press Yes to restart now»; – нажмите Да, если вы хотите перезагрузить ПК сразу (или Нет, если хотите перезагрузить ПК позже).
Примечания 1. Руткит (англ. rootkit; от root – корень, основа; корневой, основной; корневой каталог + kit – сокращение от tool kit – набор инструментальных средств, инструментарий) – программа, выполняемая в виде драйвера ядра операционной системы (kernel mode driver). Руткит использует всевозможные технологии маскировки и сокрытия различных системных объектов (драйверов, процессов, сервисов, параметров Реестра, файлов, открытых портов и т.д.), активно используемых вредоносным программным обеспечением.
2. Системные требования Trend Micro RootkitBuster: – Intel Pentium-совместимый процессор; – операционная система Microsoft Windows 2000 SP4/Server 2003/XP SP2/Vista/7 (64-битная Windows 7 не поддерживается); – не менее 256МБ оперативной памяти (рекомендуется 512МБ); – не менее 50МБ свободного дискового пространства.
3. Программа сканирует только диск C:\.
4. Продолжительность полного сканирования (установлены все флажки в разделе Target Selection) зависит от количества файлов и мощности ПК (например, 250 тыс. файлов будут сканироваться примерно 40 мин).
5. Лог-файл сканирования (TMRB00001.TXT) сохраняется в папке TMRBLog.
Валерий Сидоров
|
|
© 2005 – 2010. All rights reserved.
При использовании материалов сайта «Слово» прошу указывать источник информации!