TDSSKiller, Kaspersky TDSS Rootkit Remover
- Категория: Безопасность
Одно из самых известных семейств руткитов в современном Интернете - это семейство руткитов TDSS, которое известно как Rootkit.Win32.TDSS, Tidserv, TDSServ или Alureon. Руткит начал распространяться в 2008 году и является одной из причин несанкционированные переадресации Google что пользователи испытывают, когда руткит активен в системе их ПК.
Одним из инструментов, предназначенных для обнаружения и удаления руткитов семейства TDSS, является TDSSKiller от Kaspersky, недавно выпущенный в новой версии.
Инструмент может не только обнаруживать и удалять руткиты семейства TDSS, но и руткиты, известные как Sinowa, Whistler, Phanta, Trup и Stoned. Кроме того, он может использовать эвристику для обнаружения неизвестных руткитов, которые активны или установлены в системе.
Подробный обзор подозрительных объектов, которые он может найти
- Скрытый сервис - ключ реестра, который скрыт от стандартного списка;
- Заблокированная служба - ключ реестра, который нельзя открыть стандартными средствами;
- Скрытый файл - файл на диске, скрытый из стандартного списка;
- Заблокированный файл - файл на диске, который нельзя открыть стандартными средствами;
- Подделанный файл - при чтении стандартными средствами возвращается исходный контент вместо фактического;
- Rootkit.Win32.BackBoot.gen - подозрение на заражение MBR неизвестным буткитом.
Приложение представляет собой портативное программное обеспечение для Windows, которое можно запускать из любого места после того, как оно было загружено и распаковано. По умолчанию он сканирует как службы, так и драйверы, а также загрузочные секторы. Из проверки можно удалить как службы и драйверы, так и объекты загрузочных секторов.
Щелчок по Start Scan запускает сканирование системы, которое в быстрой системе Windows 7 заняло менее минуты. Возможные опасные файлы отображаются после проверки на странице результатов.
Обычно рекомендуется выполнить поиск в Bing или Google по имени файла перед перемещением руткита в карантин для лечения скомпрометированной системы. Другой вариант - отправить подозрительный файл в службу, например Вирусная лаборатория или Всего вирусов просканировать его там, чтобы получить второе мнение.
TDSSKiller имеет несколько переключателей командной строки:
- -l - сохранить лог в файл;
- -qpath - путь к папке карантина (создается автоматически, если она не существует);
- -h - это справка;
- -sigcheck - определять все неподписанные драйверы как подозрительные;
- -tdlfs - определить файловую систему TDLFS, которую руткиты TDL 3/4 создают в последних секторах жесткого диска для хранения его файлов. Все эти файлы можно поместить в карантин.
Следующие клавиши позволяют запустить утилиту в тихом режиме:
- -qall - поместить на карантин все объекты (в том числе и чистые);
- -qsus - помещать на карантин только подозрительные объекты;
- -qmbr - поместить в карантин все MBR;
- -qcsvc - поместить службу в карантин;
- -dcsvc - удалить службу.
- -silent - сканировать в автоматическом режиме (не отображать никаких окон), чтобы иметь возможность запускать утилиту централизованно по сети.
Бесплатная программа для удаления руткитов поддерживает 32-битные и 64-битные операционные системы Windows. Скачивание предлагается на База знаний Касперского.