Einer der berüchtigtsten Familien Rootkit auf dem heutigen Internet ist der TDSS Rootkit-Familie, die als Rootkit.Win32.TDSS, Tidserv, TDSServ oder Alureon bekannt ist. Das Rootkit begann bis 2008 verteilt in und ist eine der Ursachen für [unerlaubter Google Redirects: http://www.astuces.net/2010/01/15/another-fix-for-unauthorized-google-redirects-security/] dass die Benutzer erleben, wenn das Rootkit aktiv auf ihrem PC-System ist.
Eines der Tools zum Erkennen und Entfernen TDSS Familie Rootkits ist Kaspersky TDSSKiller, die vor kurzem in einer neuen Version veröffentlicht wurde.
Das Tool kann nicht nur erkennen und entfernen Rootkits des TDSS Familie, sondern auch Rootkits als Sinowa, Whistler, Phanta, trup und Stoned bekannt. Es kann darüber hinaus in der Lage sein Heuristiken verwenden, um unbekannte Rootkits, die aktive oder auf dem System installiert sind zu erkennen.
Detaillierte Übersicht über verdächtige Gegenstände die er finden kann
- Hidden Service - einen Registrierungsschlüssel, der von Standard-Inserat verborgen ist;
- Blockierte Service - einen Registrierungsschlüssel, die nicht durch Standard bedeutet eröffnet werden können;
- Versteckte Datei - eine Datei auf der Festplatte, die vom Standard Inserat verborgen ist;
- Gesperrte Datei - eine Datei auf der Festplatte, die nicht durch Standard bedeutet eröffnet werden können;
- Forged-Datei - wenn sie von Standard lesenbedeutet, wird der ursprüngliche Inhalt wieder anstelle der tatsächlichen ein;
- Rootkit.Win32.BackBoot.gen - ein Verdacht auf Infektion MBR mit einer unbekannten Bootkit.
[ : Http://dl.dropbox.com/u/21986221/tdsskiller.jpg]
Die Anwendung ist eine portable Software für Windows, das von jedem beliebigen Ort ausgeführt werden können, nachdem sie heruntergeladen wurde und ausgepackt. Dabei sollen sowohl die Dienste und Treiber sowie Bootsektoren standardmäßig überprüft. Es ist möglich, entweder Dienste und Treiber oder die Boot-Sektoren Objekte aus dem Scan zu entfernen.
Ein Klick auf Start Scan läuft das System zu scannen, die dauerte weniger als eine Minute auf einem schnellen Windows 7-System. Mögliche gefährliche Dateien werden angezeigt, nachdem die auf der Ergebnisseite zu scannen.
[ : Http://dl.dropbox.com/u/21986221/tdss-rootkit-remover.jpg]
Es ist normalerweise eine gute Idee, Bing oder Google nach dem Dateinamen suchenbevor das Rootkit in Quarantäne zu einem kompromittierten System desinfizieren. Eine weitere Möglichkeit ist wie senden Sie die verdächtige Datei zu einem Dienst [Virus Lab: http://support.kaspersky.com/virlab/helpdesk.html] oder [Virus Total: http://www.virustotal.com/] zu scannen es gibt eine zweite Meinung.
TDSSKiller hat mehrere Befehlszeilenoptionen:
- -L-Speichern ein Protokoll in die Datei;
- -Qpath-Quarantäne-Ordner-Pfad (automatisch erstellt, wenn es nicht vorhanden ist);
- -H - dabei helfen;
- -Sigcheck - erkennen alle nicht signierten Treiber als verdächtig;
- -Tdlfs - erkennen die TDLFS Dateisystem, dass die TDL 3 / 4 Rootkits in den letzten Sektoren einer Festplatte zur Speicherung seiner Dateien zu erstellen. Es ist möglich, all diese Dateien unter Quarantäne.
Die folgenden Tasten erlauben, um das Dienstprogramm im Silent-Modus ausführen:
- -Qall - Quarantäne alle Objekte (einschließlich sauberer sind);
- -QSUS - Isolieren Sie verdächtige Objekte nur;
- -Qmbr - Quarantäne alle MBRs;
- -Qcsvc-Quarantäne der Dienstleistung;
- -Dcsvc-löschen der Dienstleistung.
- -Silent - im stillen Modus (weisen keine Fenster) scannen zu können, um das Dienstprogramm in einer zentralisierten Weise über das Netzwerk laufen.
Die kostenlose RootkitEntferner unterstützt 32-Bit und 64-Bit-Windows-Betriebssystemen. Ein Download ist [at angeboten: http://support.kaspersky.com/viruses/solutions?qid=208280684] Kaspersky Knowledge Base.
Keine Kommentare:
Kommentar veröffentlichen