Сегодня захотелось проверить на эффективность утилиты от известных (и не очень) вендоров для удаления руткита ZeroAccess/Sirefef/MAX++.
В тестировании примут участие следующие утилиты:
И заражённый драйвер:
Начинаем с Webroot Zeroaccess Remover. Запускаем, сканируем и результаты:
После перезагрузки система чиста. Webroot Zeroaccess Remover справился на отлично.
Идём дальше. Запускаем утилиту от ESET. В своей статье они рекомендуют делать это в безопасном режиме с поддержкой сети, что мы и сделаем. Результаты:
После перезагрузки системы руткит стал не активен, но служба осталась в системе, а также создался новый драйвер cdrom.sys:
ESET Sirefef Remover провалил тест, всего лишь нейтрализовав руткита и оставив его составляющие в системе.
Следующая утилита Trojan.Zeroaccess Removal Tool от Symantec. Запускаем и уходим на перезагрузку. После рестарта системы был обнаружен драйвер и успешно нейтрализован:
Но руткит остался полностью активным. Новый драйвер и активная служба:
Утилита от Symantec с треском провалила тест.
Далее утилита ZeroAccess Removal Tool от BitDefender. Запускаем и epic fail:
Проверяем утилиту Dr.Web CureIt!. Она обладает режимом усиленной защиты- то, что нам надо.
Результаты великолепные, руткит полностью уничтожен:
Тестируем HitmanPro 3.6. Обнаружен и удалён только драйвер, а служба активна:
И наконец, утилита от ЛК- Kaspersky TDSSKiller.
Результаты на высоте:
И вот таблица для визуального восприятия выше описанного ;)
В тестировании примут участие следующие утилиты:
- Webroot Zeroaccess Remover
- ESET Sirefef Remover
- Trojan.Zeroaccess Removal Tool from Symantec
- ZeroAccess Removal Tool from BitDefender
- Dr.Web CureIt! (универсальная лечащая утилита)
- HitmanPro 3.6 (универсальный облачный сканер)
- Kaspersky TDSSKiller (универсальная анти-руткит утилита)
И заражённый драйвер:
Начинаем с Webroot Zeroaccess Remover. Запускаем, сканируем и результаты:
После перезагрузки система чиста. Webroot Zeroaccess Remover справился на отлично.
Идём дальше. Запускаем утилиту от ESET. В своей статье они рекомендуют делать это в безопасном режиме с поддержкой сети, что мы и сделаем. Результаты:
После перезагрузки системы руткит стал не активен, но служба осталась в системе, а также создался новый драйвер cdrom.sys:
ESET Sirefef Remover провалил тест, всего лишь нейтрализовав руткита и оставив его составляющие в системе.
Следующая утилита Trojan.Zeroaccess Removal Tool от Symantec. Запускаем и уходим на перезагрузку. После рестарта системы был обнаружен драйвер и успешно нейтрализован:
Но руткит остался полностью активным. Новый драйвер и активная служба:
Утилита от Symantec с треском провалила тест.
Далее утилита ZeroAccess Removal Tool от BitDefender. Запускаем и epic fail:
Проверяем утилиту Dr.Web CureIt!. Она обладает режимом усиленной защиты- то, что нам надо.
Результаты великолепные, руткит полностью уничтожен:
Тестируем HitmanPro 3.6. Обнаружен и удалён только драйвер, а служба активна:
И наконец, утилита от ЛК- Kaspersky TDSSKiller.
Результаты на высоте:
И вот таблица для визуального восприятия выше описанного ;)
Смотрю уютненько у тебя в бложике :) Не знаеш как там обстоят дела с TDSS в Symantec? Делают они что либо или как всегда только ебут мозги своим пеаром?..
ОтветитьУдалитьПродукты в активном состоянии не лечат, а Norton Bootable Recovery Tool обнаруживает и лечит ;) А, ну, и утилита есть. Но в актуальном состоянии не поддерживается по-моему.
ОтветитьУдалитьКстати, в Исета есть еще SysInspector. Ты пробовал с его помощю убить руткит?
ОтветитьУдалитьТам вроде через ServiceScript плюсиками отмечаеш то что нужно удалить и запускаеш в SysInspectorе, он потом сам его выносить будет.
SysInspector от ESET нервно курит :)
ОтветитьУдалитьОн даже не определяет точно, что в системе висит руткит. Видит процесс и драйвер. А удалить не может. Мало каши он ел, чтобы ебануть такой руткит на уровне ядра.