Возможный дубликат:
Как избавиться от вредоносных программ-шпионов, вирусов и руткитов на моем ПК?
Я искал руткиты, следуя этим инструкциям http://computersight.com/software/how-to-manually-remove-rootkit/ и увидел это в моем журнале загрузки:
Loaded driver \SystemRoot\System32\Drivers\awhk9fmc.SYS
Я пытался найти это имя файла в Google, но ничего не было найдено. Я пытался посмотреть файл на диске, но не смог его найти. Почти все остальные файлы там есть. Я даже пытался загрузить Windows 98 и смонтировать NTFS и увидеть файл, но его все равно не было. Я запустил полное сканирование с помощью Microsoft Security Essentials, но оно ничего не нашло. Когда я перезагрузился, я увидел эту строку вместо этого:
Loaded driver \SystemRoot\System32\Drivers\a6n163gl.SYS
- Как мне это удалить?
- Как я могу узнать, что он делает?
- Как узнать, когда он был установлен?
- Как узнать, кто это написал?
Вот мой полный лог загрузки:
Service Pack 3 10 31 2012 17:35:36.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver sptd.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltmgr.sys
Loaded driver sr.sys
Loaded driver MpFilter.sys
Loaded driver KSecDD.sys
Loaded driver WudfPf.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver uagp35.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\amdk7.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisgrp.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
Loaded driver \SystemRoot\system32\drivers\cmuda.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbohci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisnicxp.sys
Loaded driver \SystemRoot\System32\Drivers\avzk9sf5.SYS
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\gameenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\serscan.sys
Loaded driver \SystemRoot\system32\drivers\DrmCAudio.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\tap0901.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srvkp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ctxusbm.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\cbfs3.sys
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Did not load driver \SystemRoot\System32\Drivers\StarOpen.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
решение1
Это серьезная головная боль в спине. Есть инструменты, специально разработанные для обнаружения руткитов -гмерисредство обнаружения рут-китовприходят на ум. Файлы, которые вы видите, очевидно, сами по себе не являются руткитом - они могли быть созданы другим, на самом деле скрытым файлом. Они обнаружат руткит, если будут использоваться правильно. Однако удалить их сложно, и для использования этих инструментов требуются некоторые знания.
Прежде всего, ваша системаявляетсяскомпрометирован. Вероятно, нет никаких реальных причин не уничтожить его и не заасфальтировать. Однако, предположим, что вы гипотетически хотите исследовать, что это такое. Руткиты подключаются к самой ОС, чтобы скрыться. В дополнение к ранее упомянутым инструментам, вы можете использовать антивирусный livecd для сканирования системы -проверка системы microsoftНа ум приходит «р», но есть и другие.
Я бы тогда предложил зайти с linux livecd и скопировать все файлы, которые вы боитесь потерять, а затем загрузиться обратно в windows. Сделайте AV-сканирование еще раз, просто чтобы посмотреть, что из этого выйдет.
Потом конечно переустановкаявляетсяразумный выбор здесь.
решение2
Хорошо, основная цель:
Как мне это удалить?
Единственный гарантированный способ — этоСбросить ядерную бомбу с орбиты. Переформатируйте и переустановите.
Возможно, есть более тонкие способы удалить его, но если вы точно не знаете, с чем имеете дело, вы не можете быть уверены. Это значит, что вам никогда не следует использовать этот ПК для банковских операций. Больше никаких онлайн-покупок с номерами кредитных карт и т. д.
Если у вас нет заведомо хорошей резервной копии, это чертовски раздражающая вещь. Но это единственный способ быть в безопасности.
Я предлагаю сначала сделать копию жесткого диска. Это можно сделать многими способами. Например, с помощью инструмента для работы с изображениями, напримерАкронис,Призрак,Клонезилла. Что позволит вам вернуться в то состояние, в котором вы находитесь сейчас. Простое копирование на внешний диск проще, но не думайте, что копирование всего обратно восстановит старую установку Windows (особенно, если внешний диск отформатирован в FAT32). Хороший третий вариант — создать VMDK (диск vmware) или VHD с диска (Инструменты для этогоздесь на technetиздесь для Vmware).
Затем полностью очистите. Переустановите с чистого образа.Пока не пытайтесь восстановить какие-либо файлы.. Установите сетевые драйверы, если необходимо. Затем полностью обновите Windows.
Сейчас самое время сделать еще один образ системы. Надеюсь, вам больше никогда не придется этого делать, но если вы это сделаете, это сэкономит вам кучу времени.
Установите драйверы. Загрузите их из известного безопасного источника. Установите и обновите антивирус.
Теперь у нас есть безопасная система, и вы можете начать анализировать резервные копии, которые вы сделали в начале. Запустите их проверку на вирусы. Если вирус будет обнаружен, это может дать вам ответ, который вы ищете.
Если нет, настройте виртуальную машину (без сети). Восстановите образ системы на ней. Затем установите инструменты отладки, такие какобозреватель процессов,RootkitrevealerиГМЕР.
Теперь вы готовы ответить на свой второй вопрос.
Как узнать, когда он был установлен?
Если это шпионское ПО, троян, вирус или иное «зло»: вы не можете полагаться на зараженную систему. Вам нужно будет проверить зараженную систему с помощью предыдущей резервной копии. Если у вас нет большого количества регулярных резервных копий, это, вероятно, не удастся.
Если это просто «обычное» программное обеспечение, то в файлах журналов и в самих файлах могут быть даты.
Как узнать, кто это написал?
Если это вирус или что-то подобное: Вы не можете. Если это легально написанное программное обеспечение, оно принадлежит программе или драйверу. Они должны поставляться с информацией. К сожалению, часто драйвер пишется fill in your name here.