我按照以下说明寻找 root 工具包 http://computersight.com/software/how-to-manually-remove-rootkit/ 在我的启动日志中看到如下内容:
Loaded driver \SystemRoot\System32\Drivers\awhk9fmc.SYS
我尝试在 Google 中搜索该文件名,但一无所获。我尝试查看磁盘上的文件,但找不到它。几乎所有其他文件都在那里。我甚至尝试在 Windows 98 中启动并挂载 NTFS 并查看该文件,但它仍然不在那里。我用 Microsoft Security Essentials 进行了全面扫描,但什么也没找到。当我重新启动时,我看到了这一行:
Loaded driver \SystemRoot\System32\Drivers\a6n163gl.SYS
- 我怎样才能删除它?
- 我怎样才能知道它的作用?
- 我怎样才能知道它是何时被放入的?
- 我怎样才能知道是谁写的?
这是我的完整启动日志:
Service Pack 3 10 31 2012 17:35:36.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver sptd.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltmgr.sys
Loaded driver sr.sys
Loaded driver MpFilter.sys
Loaded driver KSecDD.sys
Loaded driver WudfPf.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver uagp35.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\amdk7.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisgrp.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
Loaded driver \SystemRoot\system32\drivers\cmuda.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbohci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisnicxp.sys
Loaded driver \SystemRoot\System32\Drivers\avzk9sf5.SYS
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\gameenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\serscan.sys
Loaded driver \SystemRoot\system32\drivers\DrmCAudio.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\tap0901.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srvkp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ctxusbm.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\cbfs3.sys
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Did not load driver \SystemRoot\System32\Drivers\StarOpen.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
答案1
这是一件非常麻烦的事。有专门设计用于检测 rootkit 的工具 -格默尔和root 工具包揭示器突然想到。您看到的文件显然不是 rootkit 本身 - 它们可能是由另一个实际隐藏的文件生成的。如果使用得当,这些文件将检测到 rootkit。但是删除它们很困难,并且使用这些工具需要一定的专业知识。
首先,你的系统是受到威胁。可能没有真正的理由不将其摧毁并铺平道路。但是,让我们假设您想调查这是什么。Rootkit 会挂接到操作系统本身以隐藏自己。除了前面提到的工具外,您还可以使用病毒救援 livecd 来扫描系统 -微软系统扫描我想到了,但还有其他的。
然后我建议使用 Linux LiveCD 并复制出您担心丢失的任何文件,然后重新启动 Windows。再次进行 AV 扫描,看看结果如何。
然后当然重新安装是这是明智的选择。
答案2
好的,主要目标:
我怎样才能删除它?
唯一可靠的方法是从轨道上用核武器轰炸它. 重新格式化并重新安装。
可能有更巧妙的方法来删除它,但除非你确切地知道你在处理什么,否则你无法确定。这意味着你永远不应该用那台电脑进行银行业务。不再需要用信用卡号等进行网上购物。
除非您有已知的良好备份,否则这是一件非常烦人的事情。但这是唯一安全的方法。
我建议先复制硬盘。有很多方法可以做到这一点。例如,使用图像工具安克诺斯,鬼,克隆兹拉。这将允许您返回到您现在的状态。将所有内容复制到外部驱动器更容易,但不要以为将所有内容复制回来会恢复旧的 Windows 安装(尤其是当外部磁盘是 FAT32 格式时)。第三个不错的选择是从磁盘创建 VMDK(vmware 磁盘)或 VHD(为此使用工具在 Technet 上和这里是 Vmware)。
然后彻底清除。从干净的映像重新安装。暂时不要尝试恢复任何文件。如果需要,安装网络驱动程序。然后完全更新 Windows。
现在是制作另一个系统映像的好时机。希望您永远不必再这样做,但如果您这样做,它将为您节省大量时间。
安装驱动程序。从已知的安全来源下载。安装并更新防病毒软件。
现在我们有了一个安全的系统,您可以开始分析您一开始所做的备份。对它们进行病毒扫描。如果识别出来,它可能会给您想要的答案。
如果没有,请设置虚拟机(无网络)。将系统映像还原到该虚拟机。然后安装调试工具,例如进程探索器,Rootkit揭露工具和格林梅尔。
现在您可以回答第二个问题了。
我怎样才能知道它是何时被放入的?
如果它是间谍软件、木马、病毒或其他“邪恶”软件:您不能依赖受感染的系统。您需要使用以前的备份检查受感染的系统。除非您有大量的定期备份,否则这可能不会成功。
如果它只是“普通”软件,那么日志文件和文件本身可能会有日期。
我怎样才能知道是谁写的?
如果是病毒或类似病毒:您不能。如果它是合法编写的软件,则它属于程序或驱动程序。这些应该附带信息。遗憾的是,驱动程序通常由 编写fill in your name here。