Удаление руткитов
Разработчики вредителей постоянно адаптируют свою инфекцию с целью противодействовать известным в настоящее время методам удаления. Поэтому они часто выпускают новые варианты, которые не поддаются ни одному из имеющихся способов лечения.
Многие незваные программы будут пытаться повторно установить, связанные с ними элементы автозапуска сразу после их удаления. Если это случится, можно попробовать загрузиться в безопасном режиме (safe mode), чтобы удалить этих нарушителей. Тем не менее, сначала необходимо в Process Explorer завершить работу процессов-вредителей, которые отвечают за повторную установку элементов автозапуска, если эти процессы выполняются. Некоторые программы устанавливают ключи реестра, чтобы обеспечить работу данной программы в безопасном режиме. Конечно, это делает процесс удаления связанной с ними инфекции еще более трудным.
Автозапуск из реестра
Программа может использовать несколько механизмов для того, чтобы обеспечить свою работу в безопасном режиме. Если программа запускается с мощью следующих элементов автозапуска и значению предшествует звездочка (*), такая программа будет запускаться и в безопасном режиме:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ Current Version\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\ Current Version\Run
rootkit и другие вредители устанавливают следующие два ключа реестра, чтобы обеспечить свой запуск в безопасном режиме:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SafeBoot\Minimal
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SafeBoot\Network
Microsoft также использует первый ключ, чтобы обеспечить запуск необходимых Windows сервисов в безопасном режиме.