Как удалить корневой набор из Windows XP?
Возможный дубликат:
Как избавиться от вредоносных шпионских программ, вредоносных программ, вирусов или руткитов с моего компьютера?
Я искал руткиты, следуя этим инструкциям http://computersight.com/software/how-to-manually-remove-rootkit/ и увидел это в моем журнале загрузки:
Loaded driver \SystemRoot\System32\Drivers\awhk9fmc.SYS
Я пытался найти это имя в Google, но ничего не было найдено. Я попытался посмотреть файл на диске, но не смог его найти. Почти все остальные файлы есть. Я даже пытался загрузиться в Windows 98, смонтировать NTFS и посмотреть файл, но его все еще не было. Я запустил полную проверку с Microsoft Security Essentials, но ничего не нашел. Когда я перезагрузился, я увидел эту строку вместо:
Loaded driver \SystemRoot\System32\Drivers\a6n163gl.SYS
- Как я могу удалить это?
- Как я могу узнать, что он делает?
- Как я могу узнать, когда он был вставлен?
- Как я могу узнать, кто это написал?
Вот мой полный журнал загрузки:
Service Pack 3 10 31 2012 17:35:36.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver sptd.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltmgr.sys
Loaded driver sr.sys
Loaded driver MpFilter.sys
Loaded driver KSecDD.sys
Loaded driver WudfPf.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver uagp35.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\amdk7.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisgrp.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
Loaded driver \SystemRoot\system32\drivers\cmuda.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbohci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisnicxp.sys
Loaded driver \SystemRoot\System32\Drivers\avzk9sf5.SYS
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\gameenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\serscan.sys
Loaded driver \SystemRoot\system32\drivers\DrmCAudio.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\tap0901.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srvkp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ctxusbm.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\cbfs3.sys
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Did not load driver \SystemRoot\System32\Drivers\StarOpen.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
2 ответа
ОК, основная цель:
Как я могу удалить это?
Единственный гарантированный способ - сбросить его с орбиты. Переформатируйте и переустановите.
Возможно, есть более тонкие способы его удаления, но если вы точно не знаете, с чем имеете дело, вы не можете быть уверены. Это означает, что вы никогда не должны использовать этот компьютер для банковской деятельности. Нет больше покупок в Интернете с номерами кредитных карт и т. Д.
Если у вас нет хорошей резервной копии, это чертовски раздражающая вещь. Но это единственный способ быть в безопасности.
Я предлагаю сначала сделать копию жесткого диска. Вы можете сделать это разными способами. Например, инструмент для создания изображений, например, Acronis, Ghost, Clonezilla. Что позволит вам вернуться в состояние, в котором вы сейчас находитесь. Простое копирование на внешний диск проще, но не думайте, что копирование всего обратно восстановит старую установку Windows (особенно если внешний диск отформатирован в FAT32). A nice third option is to make a VMDK (vmware disk) or a VHD from the disk (Tools for that here on technet and here for Vmware).
Then wipe completely. Reinstall from a clean image. Do not try to restore any files yet. Install network drivers if needed. Then update windows completely.
Now would be a good time to make another system image. Hopefully you will never have to do this again, but if you do it will save you a lot of time.
Установите драйверы. Download them from a known safe source. Install and update antivirus.
Now we have a safe system and you can start to analyse the backups you took in the beginning. Run a virus scan of them. If it gets identified it might just give you the answer you are looking for.
If not, setup a virtual machine (without network). Restore the system image to that. Then install debug tools such as process explorer, Rootkitrevealer and GMER.
Now you are ready to answer your second question.
How can I find out when it was put in?
If it is spyware, trojan, virus or otherwise 'evil': you can not rely on the infected system. You will need to check the infected system with a previous backup. Unless you have a lot of regular backups this will probably not succeed.
If it is just 'normal' software, then there might be dates in the log files and on the files themselves.
How can I find out who wrote it?
If it is a virus or similar: You can not. If it is legally written software it belong to a program or driver. Those should come with information. Sadly often a driver is written by fill in your name here,
Это серьезная боль в тылу, чтобы сделать. Существуют инструменты, специально предназначенные для обнаружения руткитов - на ум приходят gmer и средство обнаружения руткитов. Файлы, которые вы видите, явно не являются руткитами - они могут быть сгенерированы другим фактически скрытым файлом. Они будут обнаруживать руткит, используемый правильно. Однако удалить их сложно, и для использования этих инструментов требуется определенный опыт.
Прежде всего, ваша система взломана. Там, вероятно, нет никакой реальной причины, чтобы не разорвать и проложить его. Однако предположим гипотетически, что вы хотели исследовать, что это такое. Руткиты подключаются к самой ОС, чтобы спрятаться. В дополнение к ранее упомянутым инструментам, вы можете использовать livecd для спасения от вирусов для сканирования системы - на ум приходит система Microsoft Sweeper, но есть и другие.
Затем я предложил бы перейти с linux livecd и скопировать любые файлы, которые вы хотели бы потерять, а затем загрузиться обратно в Windows. Сделайте AV-сканирование еще раз, чтобы посмотреть, что из этого получится.
Тогда, конечно, переустановка - это разумный выбор.