Possível duplicata:
Como me livro de spyware, malware, vírus ou rootkits maliciosos do meu PC?
Eu estava procurando por root kits seguindo estas instruções http://computersight.com/software/how-to-manually-remove-rootkit/ e vi isso no meu log de inicialização:
Loaded driver \SystemRoot\System32\Drivers\awhk9fmc.SYS
Tentei procurar esse nome de arquivo no Google, mas não encontrei absolutamente nada. Tentei ver o arquivo no disco, mas não consegui encontrá-lo. Quase todos os outros arquivos estão lá. Até tentei inicializar no Windows 98 e montar o NTFS e ver o arquivo, mas ainda não estava lá. Executei uma verificação completa com o Microsoft Security Essentials, mas não encontrei nada. Quando reiniciei, vi esta linha:
Loaded driver \SystemRoot\System32\Drivers\a6n163gl.SYS
- Como posso remover isso?
- Como posso descobrir o que isso faz?
- Como posso saber quando foi colocado?
- Como posso descobrir quem escreveu isso?
Aqui está meu log de inicialização completo:
Service Pack 3 10 31 2012 17:35:36.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver sptd.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltmgr.sys
Loaded driver sr.sys
Loaded driver MpFilter.sys
Loaded driver KSecDD.sys
Loaded driver WudfPf.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver uagp35.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\amdk7.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisgrp.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
Loaded driver \SystemRoot\system32\drivers\cmuda.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbohci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisnicxp.sys
Loaded driver \SystemRoot\System32\Drivers\avzk9sf5.SYS
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\gameenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\serscan.sys
Loaded driver \SystemRoot\system32\drivers\DrmCAudio.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\tap0901.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srvkp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ctxusbm.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\cbfs3.sys
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Did not load driver \SystemRoot\System32\Drivers\StarOpen.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
Responder1
É uma grande dor de cabeça fazer isso. Existem ferramentas projetadas especificamente para detectar rootkits -gmererevelador de root kitvêm à mente. Os arquivos que você está vendo obviamente não são rootkits - eles podem ser gerados por outro arquivo realmente oculto. Eles detectariam o rootkit, usado corretamente. Porém, removê-los é difícil e essas ferramentas precisam de algum conhecimento para serem usadas.
Em primeiro lugar, o seu sistemaécomprometido. Provavelmente não há razão real para não detonar e pavimentar. No entanto, vamos supor que hipoteticamente você queira investigar o que é isso. Os rootkits se conectam ao próprio sistema operacional para se esconderem. Além das ferramentas mencionadas anteriormente, você pode usar um livecd de resgate de vírus para verificar o sistema -varredura do sistema microsoftr vem à mente, mas há outros.
Eu sugiro então entrar com um livecd do Linux e copiar todos os arquivos que você se importa em perder e, em seguida, inicializar novamente no Windows. Faça uma varredura AV novamente apenas para ver o que acontece.
Então, claro, reinstalaçãoéa escolha inteligente aqui.
Responder2
OK, objetivo principal:
Como posso remover isso?
A única maneira garantida éTire-o da órbita. Reformate e reinstale.
Podem ser maneiras mais sutis de removê-lo, mas a menos que você saiba exatamente com o que está lidando, não terá certeza. O que significa que você nunca deve usar esse PC para operações bancárias. Chega de compras online com números de cartão de crédito, etc.
A menos que você tenha um bom backup, isso é uma coisa muito chata. Mas é a única maneira de estar seguro.
Sugiro fazer uma cópia do HDD primeiro. Você pode fazer isso de várias maneiras. Por exemplo, uma ferramenta de imagem comoAcronis,Fantasma,Clonezilla. O que permitirá que você retorne ao estado em que se encontra agora. Uma cópia simples para uma unidade externa é mais fácil, mas não presuma que copiar tudo de volta restaurará a instalação antiga do Windows (especialmente se o disco externo estiver formatado em FAT32). Uma boa terceira opção é criar um VMDK (disco VMware) ou um VHD a partir do disco (ferramentas para issoaqui no techneteaqui para VMware).
Em seguida, limpe completamente. Reinstale a partir de uma imagem limpa.Não tente restaurar nenhum arquivo ainda. Instale drivers de rede, se necessário. Em seguida, atualize o Windows completamente.
Agora seria um bom momento para criar outra imagem do sistema. Esperamos que você nunca precise fazer isso novamente, mas se fizer isso, você economizará muito tempo.
Instale drivers. Baixe-os de uma fonte segura conhecida. Instale e atualize antivírus.
Agora temos um sistema seguro e você pode começar a analisar os backups que fez no início. Execute uma verificação de vírus neles. Se for identificado, poderá fornecer a resposta que você está procurando.
Caso contrário, configure uma máquina virtual (sem rede). Restaure a imagem do sistema para isso. Em seguida, instale ferramentas de depuração, comoexplorador de processos,Revelador de rootkiteGMER.
Agora você está pronto para responder à sua segunda pergunta.
Como posso saber quando foi colocado?
Se for spyware, trojan, vírus ou qualquer outra coisa “maligna”: você não pode confiar no sistema infectado. Você precisará verificar o sistema infectado com um backup anterior. A menos que você tenha muitos backups regulares, isso provavelmente não terá êxito.
Se for apenas um software 'normal', poderá haver datas nos arquivos de log e nos próprios arquivos.
Como posso descobrir quem escreveu isso?
Se for um vírus ou similar: Você não pode. Se for um software escrito legalmente, ele pertence a um programa ou driver. Esses devem vir com informações. Infelizmente, muitas vezes um driver é escrito por fill in your name here.