TDSSKiller


  • В системах Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать свое присутствие в системе. Кроме того, как правило, rootkit может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. Многие rootkit устанавливают в систему свои драйверы и службы (они также являются "невидимыми"). Лечение систем, зараженных вредоносными программами семейства Rootkit.Win32.TDSS, производится с помощью утилиты TDSSKiller.exe.

Лечение зараженной системы



  • Скачайте архив и распакуйте его в отдельную папку на зараженной (или потенциально зараженной) машине, используя программу-архиватор (например, WinZip).

  • Запустите файл TDSSKiller.exe.

  • Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения требуется.

В ходе своей работы утилита при запуске без параметров:



  • Производит поиск скрытых сервисов в реестре. Если утилита смогла определить скрытые сервисы как принадлежащие TDSS, она производит их удаление.

    Иначе, пользователю выдается запрос на удаление сервиса.

    Удаление производится при перезагрузке.

  • Проверяются системные драйверы на предмет наличия их заражения, в случае обнаружения заражения утилита выполняет поиск резервной копии зараженного файла.

    Если копия обнаружена, то файл восстанавливается из этой копии. Иначе, выполняется лечение.

  • По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

    Например,  C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt

  • По окончании работы утилита предлагает выполнить перезагрузку для завершения лечения.

    При следующей загрузке системы драйвер выполнит все запланированные операции и удалит себя.