나는 이 지침에 따라 루트킷을 찾고 있었습니다. http://computersight.com/software/how-to-manually-remove-rootkit/ 내 부팅 로그에서 다음을 확인했습니다.
Loaded driver \SystemRoot\System32\Drivers\awhk9fmc.SYS
Google에서 해당 파일 이름을 검색해 보았지만 아무것도 찾을 수 없었습니다. 디스크에 있는 파일을 보려고 했지만 찾을 수 없습니다. 거의 모든 다른 파일이 거기에 있습니다. Windows 98로 부팅하고 NTFS를 마운트하여 파일을 보려고 시도했지만 여전히 존재하지 않았습니다. Microsoft Security Essentials로 전체 검사를 실행했지만 아무 것도 발견되지 않았습니다. 재부팅했을 때 대신 다음 줄이 표시되었습니다.
Loaded driver \SystemRoot\System32\Drivers\a6n163gl.SYS
- 이것을 어떻게 제거할 수 있나요?
- 그것이 무엇을 하는지 어떻게 알 수 있나요?
- 언제 넣었는지 어떻게 알 수 있나요?
- 누가 썼는지 어떻게 알 수 있나요?
내 전체 부팅 로그는 다음과 같습니다.
Service Pack 3 10 31 2012 17:35:36.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver sptd.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltmgr.sys
Loaded driver sr.sys
Loaded driver MpFilter.sys
Loaded driver KSecDD.sys
Loaded driver WudfPf.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver uagp35.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\amdk7.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisgrp.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
Loaded driver \SystemRoot\system32\drivers\cmuda.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbohci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisnicxp.sys
Loaded driver \SystemRoot\System32\Drivers\avzk9sf5.SYS
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\gameenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\serscan.sys
Loaded driver \SystemRoot\system32\drivers\DrmCAudio.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\tap0901.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srvkp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ctxusbm.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\cbfs3.sys
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Did not load driver \SystemRoot\System32\Drivers\StarOpen.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
답변1
뒤쪽에 심각한 통증이 있습니다. 루트킷을 탐지하도록 특별히 설계된 도구가 있습니다.그메르그리고루트 키트 공개자생각 나다. 당신이 보고 있는 파일은 분명히 루트킷 자체가 아닙니다. 실제로 숨겨진 다른 파일에 의해 생성되었을 수도 있습니다. 이는 적절하게 사용된 루트킷을 감지합니다. 하지만 이를 제거하는 것은 어렵고 이러한 도구를 사용하려면 약간의 전문 지식이 필요합니다.
우선, 귀하의 시스템~이다타협. 아마도 핵무기를 투하하고 포장하지 않을 실질적인 이유가 없을 것입니다. 그러나 이것이 무엇인지 조사하고 싶다고 가정해 보겠습니다. 루트킷은 OS 자체에 연결되어 자신을 숨깁니다. 이전에 언급한 도구 외에도 바이러스 복구 livecd를 사용하여 시스템을 검사할 수 있습니다.마이크로소프트 시스템 스윕r이 떠오르지만 다른 것도 있습니다.
그런 다음 Linux livecd를 사용하여 잃어버리고 싶은 파일을 모두 복사한 다음 Windows로 다시 부팅하는 것이 좋습니다. AV 스캔을 다시 수행하여 결과를 확인하십시오.
그럼 당연히 재설치~이다여기서 현명한 선택.
답변2
알겠습니다. 기본 목표는 다음과 같습니다.
이것을 어떻게 제거할 수 있나요?
유일하게 보장된 방법은궤도에서 핵무기를 발사하세요. 다시 포맷하고 다시 설치하세요.
그것을 제거하는 더 미묘한 방법일 수도 있지만, 당신이 다루고 있는 것이 무엇인지 정확히 알지 않는 한 확신할 수 없습니다. 즉, 해당 PC를 은행 업무에 사용해서는 안 된다는 의미입니다. 더 이상 신용카드 번호 등으로 온라인 쇼핑을 하지 마세요.
알려진 좋은 백업이 없다면 이것은 정말 짜증나는 일입니다. 하지만 이것이 안전을 보장할 수 있는 유일한 방법입니다.
먼저 HDD 사본을 만드는 것이 좋습니다. 다양한 방법으로 그렇게 할 수 있습니다. 예를 들어 다음과 같은 이미지 도구아크로니스,귀신,클론질라. 그러면 현재 상태로 돌아갈 수 있습니다. 외부 드라이브에 일반 복사하는 것이 더 쉽지만, 모든 것을 다시 복사한다고 해서 이전 Windows 설치가 복원될 것이라고 가정하지 마십시오(특히 외부 디스크가 FAT32로 포맷된 경우는 제외). 세 번째 좋은 옵션은 디스크에서 VMDK(vmware 디스크) 또는 VHD를 만드는 것입니다(해당 도구).여기 테크넷에서그리고Vmware의 경우 여기).
그런 다음 완전히 닦으십시오. 깨끗한 이미지에서 다시 설치하세요.아직 파일을 복원하지 마세요.. 필요한 경우 네트워크 드라이버를 설치합니다. 그런 다음 창을 완전히 업데이트하십시오.
이제 또 다른 시스템 이미지를 만들 차례입니다. 다시는 이 작업을 수행할 필요가 없기를 바라지만, 그렇게 하면 많은 시간이 절약될 것입니다.
드라이버를 설치합니다. 알려진 안전한 소스에서 다운로드하세요. 바이러스 백신을 설치하고 업데이트합니다.
이제 우리는 안전한 시스템을 갖추고 있으며 처음에 수행한 백업을 분석하기 시작할 수 있습니다. 바이러스 검사를 실행하세요. 그것이 식별되면 당신이 찾고 있는 답을 줄 수도 있습니다.
그렇지 않은 경우 네트워크 없이 가상 머신을 설정하세요. 시스템 이미지를 해당 위치로 복원합니다. 그런 다음 다음과 같은 디버그 도구를 설치하십시오.프로세스 탐색기,루트킷 공개자그리고GMER.
이제 두 번째 질문에 답할 준비가 되었습니다.
언제 넣었는지 어떻게 알 수 있나요?
스파이웨어, 트로이 목마, 바이러스 또는 기타 '악'인 경우: 감염된 시스템에 의존할 수 없습니다. 이전 백업을 통해 감염된 시스템을 확인해야 합니다. 정기적으로 백업을 많이 하지 않는 이상 아마도 성공하지 못할 것입니다.
단지 '일반적인' 소프트웨어라면 로그 파일과 파일 자체에 날짜가 있을 수 있습니다.
누가 썼는지 어떻게 알 수 있나요?
바이러스 등인 경우 : 할 수 없습니다. 합법적으로 작성된 소프트웨어라면 프로그램이나 드라이버에 속합니다. 여기에는 정보가 포함되어야 합니다. 안타깝게도 드라이버는 fill in your name here.