Избавиться от rootkit-а

[Darhazer]

Привет,

У моего друга проблема.

F-Secure нашел:

Spyware detected:

Type: Undefined

Family:

Name: Adware.NaviPromo

Object: C:\WINDOWS\SYSTEM32\MSCLOCK32.DLL

На сайте F-Secure-а напино что это rootkit, но BlackLight не может его удалить.

Что эму делать?

P.S. http://www.f-secure.com/sw-desc/navipromo.shtml

Изменено 19 марта, 2006 пользователем Darhazer

[Siberex]

Сам не сталкивался, но считается, что на 100% от руткита можно избавиться только переустановкой системы.

В принципе должна сработать неполная переустановка, т.е. установка системы в режиме восстановления. Антивирусы против руткитов, как правило, бессильны.

Хотя руткит под Win - довольно странно :(

[Darhazer]

AVZ выличила болезн

[Saule]

Хотя руткит под Win - довольно странно :D

Rootkit для UNIX операционных систем типично использовались, чтобы поднять привилегии пользователя до уровня администратора. Верно, что именно оттуда это и началось... В Windows rootkit-технологии используются прежде всего для того, чтобы скрыть работу вредоносного программного обеспечения (не только от пользователя, но и от антивирусного сканера).

AVZ выличила болезн

Самый простой способ борьбы с руткитом - это загрузка с чистого диска (и всё тайное сразу же становится явным :))

Но если такой возможности нет, то на помощь приходят антируткиты.

http://www.softboard.ru/index.php?s=&showt...ndpost&p=251752

Обязательно нужно заметить, что универсальной программы против всех возможных видов rootkit нет.

Каждая отличается каким-либо рядом своих технологий, которые в некоторых случаях работают, а в некоторых нет.

Поэтому в следующий раз, если у вас вдруг возникнет проблема подобного рода, действительно для начала просто пробуйте другой антируткит.

Rootkit Revealer - читает диск/реестр через API и напрямую, сравнивает результаты, успешно детектируя таким образом практически любой вид rootkit, включая AFX, Vanquish и HackerDefender. Но не предназначена для обнаружения FU-rootkit.

AVZ - показывает перехваты и умеет очень очень много всего.

F-Secure BackLite - ловит FU-rootkit

SpySweaper (триал-версия на 14 дней) - очень эффективно удаляет некоторые вещи, которые другие программы удалить не могут.

Lavasoft ARIES Rootkit Remover - избавляет от руткита, созданного First4Internet и используемого Sony BMG, чтобы скрыть их DRM (Digital Rights Management) программное обеспечение.

Antikit (запуск из командной строки)

VICE

-----------------------

В вашем случае нужно было просто выгрузить левые процессы из памяти, а потом уже спокойно прибить файл MSCLOCK32.DLL

На всякий случай расскажу как это делается, а то мало ли...

1. Скачиваем триал-версию Ewido

http://www.ewido.net/en/download/

Инсталируем и делаем его update.

2. Нажимаем на scanner; И выбираем сначала только: Memory Scan

Сканируем и в конце сохраняем отчет.

3. Открываем его (отчет) и дальше работаем с номерами процессов, которые ему не понравились.

По идее в вашем случае это должно было выглядеть примерно следующим образом:

[1632] VM_10001000 -> Adware.NaviPromo : Error during cleaning

[1652] VM_10001000 -> Adware.NaviPromo : Error during cleaning

Номер в скобках - [1632] - это номер процесса, который нужно остановить (их могло быть около 5-20 штук).

Теперь в левом меню нажимаем на analysis > processes, находим эти процессы и останавливаем их (кнопка Terminate process).

4. После делаем полное сканирование системы, удаляя то, что Ewido найдет.