Руткиты и скрытые элементы автозапуска

Удаление руткитов

Разработчики вредителей постоянно адаптируют свою инфекцию с целью противодействовать известным в настоящее время методам удаления. Поэтому они часто выпускают новые варианты, которые не поддаются ни одному из имеющихся способов лечения.

Многие незваные программы будут пытаться повторно установить, свя­занные с ними элементы автозапуска сразу после их удаления. Если это случится, можно попробовать загрузиться в безопасном режиме (safe mode), чтобы удалить этих нарушителей. Тем не менее, сначала необхо­димо в Process Explorer завершить работу процессов-вредителей, кото­рые отвечают за повторную установку элементов автозапуска, если эти процессы выполняются. Некоторые программы устанавливают ключи реестра, чтобы обеспечить работу данной программы в безопасном ре­жиме. Конечно, это делает процесс удаления связанной с ними инфек­ции еще более трудным.

Автозапуск из реестра

Программа может использовать несколько механизмов для того, чтобы обеспечить свою работу в безопасном режиме. Если программа запускается с мощью следующих элементов автозапуска и значению предшествует звездочка (*), такая программа будет запускаться и в безопасном режиме:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ Current Version\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ Current Version\Run

rootkit и другие вредители устанавливают следующие два ключа реестра, чтобы обеспечить свой запуск в безопасном режиме:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SafeBoot\Minimal
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SafeBoot\Network

Microsoft также использует первый ключ, чтобы обеспечить запуск необхо­димых Windows сервисов в безопасном режиме.

2016  Командная строка Windows  
top Яндекс.Метрика