我正在按照這些說明尋找 root 工具包 http://computersight.com/software/how-to-manually-remove-rootkit/ 並在我的啟動日誌中看到了這一點:
Loaded driver \SystemRoot\System32\Drivers\awhk9fmc.SYS
我嘗試在 Google 中搜尋該文件名,但一無所獲。我試圖查看磁碟上的文件,但找不到它。幾乎所有其他文件都在那裡。我什至嘗試在 Windows 98 中啟動並安裝 NTFS 並查看該文件,但它仍然不存在。我使用 Microsoft Security Essentials 進行了全面掃描,但什麼也沒發現。當我重新啟動時,我看到了這一行:
Loaded driver \SystemRoot\System32\Drivers\a6n163gl.SYS
- 我怎麼才能刪除這個?
- 我怎樣才能知道它的作用?
- 我怎麼知道它是什麼時候放進去的?
- 我怎麼知道是誰寫的?
這是我的完整啟動日誌:
Service Pack 3 10 31 2012 17:35:36.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver sptd.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltmgr.sys
Loaded driver sr.sys
Loaded driver MpFilter.sys
Loaded driver KSecDD.sys
Loaded driver WudfPf.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver uagp35.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\amdk7.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisgrp.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
Loaded driver \SystemRoot\system32\drivers\cmuda.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbohci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisnicxp.sys
Loaded driver \SystemRoot\System32\Drivers\avzk9sf5.SYS
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\gameenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\serscan.sys
Loaded driver \SystemRoot\system32\drivers\DrmCAudio.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\tap0901.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srvkp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ctxusbm.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\cbfs3.sys
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Did not load driver \SystemRoot\System32\Drivers\StarOpen.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
答案1
這樣做會造成背部嚴重疼痛。有專門設計用於檢測 Rootkit 的工具 -格梅爾和Root Kit揭示者浮現在腦海中。您看到的檔案顯然不是 Rootkit 本身 - 它們可能是由另一個實際隱藏的檔案產生的。如果使用得當,這些將檢測 Rootkit。不過,刪除它們很困難,而且這些工具需要一些專業知識才能使用。
首先,你的系統是妥協了。可能沒有真正的理由不用核武攻擊它並鋪平道路。然而,讓我們假設您想調查這是什麼。 Rootkit 會掛接到作業系統本身以隱藏自己。除了前面提到的工具之外,您還可以使用病毒救援 livecd 來掃描系統 -微軟系統掃一掃我想到了 r,但還有其他。
然後我建議使用 Linux livecd 並複製出您介意丟失的所有文件,然後重新啟動到 Windows。再次進行 AV 掃描,看看會發生什麼情況。
然後當然是重新安裝是這裡是明智的選擇。
答案2
好的,主要目標:
我怎麼才能刪除這個?
唯一保證的方法是從軌道上用核武攻擊它。重新格式化並重新安裝。
刪除它可能是更微妙的方法,但除非您確切地知道您正在處理什麼,否則您無法確定。這意味著您永遠不應該使用該電腦進行銀行業務。不再需要使用信用卡號碼等進行線上購物。
除非你有一個已知的良好備份,否則這是一件非常煩人的事情。但這是確保安全的唯一方法。
我建議先製作硬碟的副本。您可以透過多種方式做到這一點。例如影像工具,例如安克諾斯,鬼,克隆屬。這會讓你回到現在的狀態。簡單地複製到外部磁碟機會更容易,但不要假設將所有內容複製回來將恢復舊的 Windows 安裝(尤其是如果外部磁碟是 FAT32 格式的,則不會)。第三個不錯的選擇是從磁碟製作 VMDK(vmware 磁碟)或 VHD(用於該工具的工具)在科技網上和這裡是VMware)。
然後徹底擦拭。從乾淨的映像重新安裝。暫時不要嘗試恢復任何文件。如果需要,安裝網路驅動程式。然後徹底更新Windows。
現在是製作另一個系統映像的好時機。希望您永遠不必再這樣做,但如果您這樣做,將會節省您很多時間。
安裝驅動程式。從已知的安全來源下載它們。安裝並更新防毒軟體。
現在我們有了一個安全的系統,您可以開始分析您一開始進行的備份。對它們進行病毒掃描。如果它被識別出來,它可能會給你你正在尋找的答案。
如果沒有,請設定虛擬機器(無網路)。將系統映像恢復到該狀態。然後安裝調試工具如流程瀏覽器,Rootkit揭露者和格默。
現在您準備好回答第二個問題了。
我怎麼知道它是什麼時候放進去的?
如果它是間諜軟體、木馬、病毒或其他「邪惡」:您不能依賴受感染的系統。您需要使用先前的備份來檢查受感染的系統。除非您有大量定期備份,否則這可能不會成功。
如果它只是“普通”軟體,那麼日誌檔案和檔案本身可能有日期。
我怎麼知道是誰寫的?
如果是病毒或類似病毒:則不能。如果它是合法編寫的軟體,則它屬於程式或驅動程式。這些應該附帶資訊。遺憾的是,驅動程式通常是由fill in your name here.