Como executar uma varredura rootkit com a segurança da Internet Kaspersky

Para obter melhores resultados, saia de todas as aplicações e mantenha o sistema de outra forma ocioso durante o processo de digitalização rootkitrevealer.

Limitações e avisos

O aplicativo Kaspersky tem várias limitações operacionais não críticas.

Limitações para a operação de certos componentes e processamento automático de arquivos

Pontos chave:

  1. Arquivos infectados e links maliciosos são processados ​​automaticamente de acordo com as regras criadas por especialistas em Kaspersky.
  2. Você não pode modificar essas regras manualmente.
  3. As regras podem ser atualizadas após uma atualização de bancos de dados e módulos de aplicativos.
  4. Regras para firewall, proteção da webcam, gerente de aplicativos e prevenção de intrusões são atualizadas automaticamente.
  5. Os arquivos detectados em um dispositivo podem ser processados ​​automaticamente mediante solicitação do meu Kaspersky sem sua confirmação.

1. Como os arquivos infectados e links maliciosos são processados ​​no aplicativo Kaspersky?

Arquivos infectados e links maliciosos são processados ​​automaticamente de acordo com as regras criadas por especialistas em Kaspersky. Essas regras não podem ser modificadas manualmente.

2. As regras podem para o firewall, proteção da webcam, gerente de aplicativos e prevenção de intrusões?

Não, as regras para esses componentes são atualizadas automaticamente e não podem ser modificadas manualmente.

3. São arquivos detectados em um dispositivo processado automaticamente mediante solicitação do meu Kaspersky?

Sim, os arquivos detectados em um dispositivo podem ser processados ​​automaticamente mediante solicitação do meu Kaspersky sem sua confirmação.

Limitações na conexão com a Rede de Segurança Kaspersky

Pontos chave:

  1. O aplicativo pode consultar a Rede de Segurança Kaspersky para obter informações durante sua operação.
  2. Se os dados da Kaspersky Security Network não puderam ser recuperados, o aplicativo toma decisões com base nos bancos de dados antivírus locais.

4. A Kaspersky Application Query Kaspersky Security Network para obter informações?

Sim, o aplicativo pode consultar a rede de segurança Kaspersky para obter informações durante sua operação.

5. O que acontece se os dados da rede de segurança Kaspersky não puderem ser recuperados?

Se os dados da Kaspersky Security Network não puderam ser recuperados, o aplicativo toma decisões com base nos bancos de dados antivírus locais.

Limitações da funcionalidade do vigia do sistema

Pontos chave:

  1. Proteção contra criptors (malware que criptografa arquivos de usuário) tem certas limitações.
  2. A pasta do sistema temp é usada para suportar essa funcionalidade.
  3. Os arquivos temporários são excluídos automaticamente quando você fecha o aplicativo Kaspersky ou desative o componente do observador do sistema.
  4. Em caso de rescisão de emergência do aplicativo Kaspersky, arquivos temporários não são excluídos automaticamente.
  5. A proteção contra os criptografos é fornecida apenas para arquivos localizados em unidades de dados com o sistema de arquivos NTFS.
  6. O número de arquivos que podem ser restaurados não pode exceder 50 por um processo de criptografia.
  7. O volume total de modificações nos arquivos não pode exceder 100 MB.
  8. As modificações de arquivo iniciadas via interface de rede não são monitoradas.
  9. Arquivos criptografados com EFs não são suportados.
  10. Você deve reiniciar o computador para permitir a proteção contra criptografos depois que o aplicativo Kaspersky for instalado.

6. Para que é a pasta do sistema temporária usada na funcionalidade do observador do sistema?

A pasta do sistema temp é usada para suportar a funcionalidade da proteção contra os criptos (malware que criptografa arquivos de usuário).

7. Os arquivos temporários são excluídos automaticamente no aplicativo Kaspersky?

.

8. O que acontece com os arquivos temporários em caso de rescisão de emergência do aplicativo Kaspersky?

Em caso de rescisão de emergência do aplicativo Kaspersky, arquivos temporários não são excluídos automaticamente. Você precisa limpar a pasta temporária manualmente.

9. Quais arquivos são protegidos contra criptografos em Kaspersky?

A proteção contra os criptografos é fornecida apenas para arquivos localizados em unidades de dados com o sistema de arquivos NTFS.

10. Quais são as limitações no número de arquivos que podem ser restaurados em Kaspersky?

O número de arquivos que podem ser restaurados não pode exceder 50 por um processo de criptografia.

11. Qual é o volume de modificações para arquivos que são suportados em Kaspersky?

O volume total de modificações nos arquivos não pode exceder 100 MB. Arquivos com modificações que excedem esse limite não podem ser restaurados.

12. São modificações de arquivo iniciadas via interface de rede monitoradas em Kaspersky?

Não, as modificações de arquivos iniciadas via interface de rede não são monitoradas em Kaspersky.

13. São arquivos criptografados com EFS (Criptografando Sistema de Arquivos) suportado em Kaspersky?

Não, os arquivos criptografados com EFs não são suportados em Kaspersky.

14. Você precisa reiniciar o computador para permitir a proteção contra criptografos depois de instalar o Kaspersky?

Sim, você precisa reiniciar o computador para permitir a proteção contra criptografos após a instalação do aplicativo Kaspersky.

Conexões criptografadas Limitações de varredura

Pontos chave:

  1. A varredura de conexões criptografadas não suporta certas extensões do TLS 1.0 protocolo e versões posteriores.
  2. As conexões através desses protocolos podem ser limitadas.
  3. Kaspersky não suporta o processamento do tráfego de proxy HTTPS/2.
  4. Kaspersky impede a troca de dados sobre o protocolo QIC.
  5. Kaspersky monitora apenas as conexões criptografadas que é capaz de descriptografar.
  6. O aplicativo não monitora as conexões adicionadas à lista de exclusões (sites link na janela Configurações de rede).
  7. Navegação segura, dinheiro seguro e componentes do consultor de URL realizam descriptografia e varredura de tráfego criptografado por padrão.
  8. O aplicativo Kaspersky descriptografa o tráfego criptografado enquanto o usuário está usando o navegador do Google Chrome se a extensão de proteção Kaspersky estiver desativada.
  9. O aplicativo Kaspersky não monitora o tráfego se o navegador carregar uma página da web ou seus elementos de um cache local, em vez de da Internet.

15. Quais extensões do protocolo TLS não são suportadas em conexões criptografadas?

A varredura de conexões criptografadas não suporta certas extensões do TLS 1.0 protocolo e versões posteriores.

16. Kaspersky suporta o processamento de https/2 tráfego de proxy?

Não, Kaspersky não suporta o processamento do tráfego de proxy HTTPS/2.

17. Kaspersky impede a troca de dados sobre o protocolo QIC?

Sim, Kaspersky impede a troca de dados sobre o protocolo QIC.

18. ?

Os componentes de navegação segura, dinheiro seguro e consultor de URL realizam descriptografia e varredura de tráfego criptografado por padrão em Kaspersky.

19. O aplicativo Kaspersky descriptografa tráfego criptografado no navegador do Google Chrome?

Sim, o aplicativo Kaspersky descriptografa o tráfego criptografado enquanto o usuário está usando o navegador do Google Chrome se a extensão de proteção Kaspersky estiver desativada.

20. Kaspersky monitora o tráfego se o navegador carregar uma página da web ou seus elementos de um cache local, em vez de da Internet?

Não, o aplicativo Kaspersky não monitora o tráfego se o navegador carregar uma página da web ou seus elementos de um cache local, em vez de da Internet.

Limitações na digitalização do cliente BAT Encrypted Connections

Pontos chave:

  1. O cliente do BAT Mail usa sua própria loja de certificados.
  2. Kaspersky identifica o certificado usado para estabelecer uma conexão HTTPS entre o cliente BAT e o servidor como não confiável.
  3. Para evitar isso, configure o cliente do BAT Mail para trabalhar com a loja de certificados Windows local.

21. Que problema de certificado pode ocorrer ao digitalizar as conexões criptografadas do cliente BAT?

Kaspersky identifica o certificado usado para estabelecer uma conexão HTTPS entre o cliente BAT e o servidor como não confiável.

22. Como você pode impedir o problema do certificado ao digitalizar as conexões criptografadas do cliente BAT?

Para evitar o problema do certificado, configure o cliente do BAT Mail para trabalhar com a loja de certificados Windows local.

Limitações nas conexões criptografadas exclusões de varredura

Pontos chave:

  1. Conexões criptografadas com sites adicionados a exclusões ainda podem ser digitalizados por determinados componentes.
  2. Os componentes anti-banner, consultor de URL e navegação privados podem continuar a digitalizar conexões criptografadas.
  3. Dinheiro seguro e componentes de navegação segura não digitalizam sites que foram adicionados às exclusões.

23. Faça conexões criptografadas com sites adicionados às exclusões são completamente excluídos da digitalização?

Não, conexões criptografadas com sites adicionados a exclusões ainda podem ser digitalizados por determinados componentes.

24. Quais componentes podem continuar a digitalizar conexões criptografadas com sites adicionados a exclusões?

Os componentes anti-banner, consultor de URL e navegação privados podem continuar a digitalizar conexões criptografadas com sites adicionados a exclusões.

25. Faça dinheiro seguro e componentes de navegação seguros, digitalize sites que foram adicionados às exclusões?

Não, dinheiro seguro e componentes de navegação segura não digitalizam sites que foram adicionados às exclusões.

Backup e restaurar limitações

Pontos chave:

  1. O armazenamento on -line de cópias de backup fica indisponível quando o disco rígido ou o computador é substituído.
  2. A edição de arquivos de serviço do armazenamento de backup pode resultar na perda de dados de backup.

26. O que acontece com o armazenamento on -line de cópias de backup quando o disco rígido ou o computador é substituído?

O armazenamento on -line de cópias de backup fica indisponível quando o disco rígido ou o computador é substituído.

27. Pode editar arquivos de serviço do backup resultar na perda de dados de backup?

Sim, a edição de arquivos de serviço do armazenamento de backup pode resultar na perda de dados de backup.

Como executar uma varredura rootkit com a segurança da Internet Kaspersky

Para obter melhores resultados, saia de todas as aplicações e mantenha o sistema de outra forma ocioso durante o processo de digitalização rootkitrevealer.

Limitações e avisos

O aplicativo Kaspersky tem várias limitações operacionais não críticas.

Limitações para a operação de certos componentes e processamento automático de arquivos

Arquivos infectados e links maliciosos são processados ​​automaticamente de acordo com as regras criadas por especialistas em Kaspersky. Você não pode modificar essas regras manualmente. As regras podem ser atualizadas após uma atualização de bancos de dados e módulos de aplicativos. As regras para firewall, proteção da webcam, gerente de aplicativos e prevenção de intrusões também são atualizadas automaticamente.

Se uma varredura de dispositivo for iniciada no meu Kaspersky, os arquivos serão processados ​​automaticamente com base nas regras especificadas no aplicativo. Os arquivos detectados em um dispositivo podem ser processados ​​automaticamente mediante solicitação do meu Kaspersky sem sua confirmação.

Limitações na conexão com a Rede de Segurança Kaspersky

Durante sua operação, o aplicativo pode consultar a Kaspersky Security Network para obter informações. Se os dados da Kaspersky Security Network não puderam ser recuperados, o aplicativo toma decisões com base nos bancos de dados antivírus locais.

Limitações da funcionalidade do vigia do sistema

A proteção contra os criptos (malware que criptografa os arquivos de usuário) tem as seguintes limitações:

  • A pasta do sistema temp é usada para suportar essa funcionalidade. Se o sistema acionar com a pasta Temper não tiver espaço de disco insuficiente para criar arquivos temporários, a proteção contra os criptos não será fornecida. Nesse caso, o aplicativo não exibe uma notificação de que os arquivos não são backup (a proteção não é fornecida).
  • Os arquivos temporários são excluídos automaticamente quando você fecha o aplicativo Kaspersky ou desative o componente do observador do sistema.
  • Em caso de rescisão de emergência do aplicativo Kaspersky, arquivos temporários não são excluídos automaticamente. Para excluir arquivos temporários, limpe a pasta Temp manualmente. Para fazer isso, abra a janela de corrida e no tipo de campo aberto %temp % . Clique OK .
  • A proteção contra os criptografos é fornecida apenas para arquivos localizados em unidades de dados que foram formatadas com o sistema de arquivos NTFS.
  • O número de arquivos que podem ser restaurados não pode exceder 50 por um processo de criptografia.
  • O volume total de modificações nos arquivos não pode exceder 100 MB. Arquivos com modificações que excedem esse limite não podem ser restaurados.
  • As modificações de arquivo iniciadas via interface de rede não são monitoradas.
  • Arquivos criptografados com EFs não são suportados.
  • Você deve reiniciar o computador para permitir a proteção contra criptografos depois que o aplicativo Kaspersky for instalado.

Conexões criptografadas Limitações de varredura

Devido às limitações técnicas da implementação de algoritmos de varredura, a varredura de conexões criptografadas não suporta certas extensões do TLS 1.0 protocolo e versões posteriores (particularmente NPN e ALPN). As conexões através desses protocolos podem ser limitadas. Navegadores com suporte do protocolo SPDY Use o protocolo HTTP sobre TLS em vez de SPDY, mesmo que o servidor com o qual a conexão seja estabelecida suporta SPDY. Isso não afeta o nível de segurança da conexão. Se o servidor suportar apenas o protocolo SPDY e for impossível estabelecer a conexão através do protocolo HTTPS, o aplicativo não monitora a conexão estabelecida.

Kaspersky não suporta o processamento do tráfego de proxy HTTPS/2. O aplicativo não processa tráfego transmitido por extensões do protocolo HTTP/2.

Kaspersky impede a troca de dados sobre o protocolo QIC. Os navegadores usam um protocolo de transporte padrão (TLS ou SSL), independentemente de o suporte ou não do protocolo QIC está ativado no navegador.

Kaspersky monitora apenas as conexões criptografadas que é capaz de descriptografar. O aplicativo não monitora as conexões adicionadas à lista de exclusões (sites link na janela Configurações de rede).

Os componentes a seguir executam descriptografia e varredura do tráfego criptografado por padrão:

  • Navegação segura;
  • Dinheiro seguro;
  • Conselheiro de URL.

O aplicativo Kaspersky descriptografa o tráfego criptografado enquanto o usuário está usando o navegador do Google Chrome se a extensão de proteção Kaspersky estiver desativada neste navegador.

O aplicativo Kaspersky não monitora o tráfego se o navegador carregar uma página da web ou seus elementos de um cache local, em vez de da Internet.

Limitações na digitalização do cliente BAT Encrypted Connections

Como o Bat Mail Client usa seu próprio armazenamento de certificados, o aplicativo Kaspersky identifica o certificado usado para estabelecer uma conexão HTTPS entre esse cliente e o servidor como não confiável. Para impedir que isso aconteça, configure o cliente Bat Mail para trabalhar com a loja de certificados Windows local.

Limitações nas conexões criptografadas exclusões de varredura

Ao digitalizar conexões criptografadas com sites que foram adicionados a exclusões, certos componentes como anti-banhner, consultor de URL e navegação privada podem continuar a digitalizar conexões criptografadas. O dinheiro seguro e os componentes de navegação seguros não digitalizam sites que foram adicionados às exclusões.

Backup e restaurar limitações

As seguintes limitações se aplicam ao backup e restauração:

  • O armazenamento on -line de cópias de backup fica indisponível quando o disco rígido ou o computador é substituído. Visite o site de suporte técnico da Kaspersky para obter informações sobre como restaurar a conexão com o armazenamento on -line depois de substituir seu hardware.
  • A edição de arquivos de serviço do armazenamento de backup pode resultar em perda de acesso ao armazenamento de backup e incapacidade de restaurar seus dados.
  • Como o aplicativo faz o backup do serviço de cópia sombra do sistema, o arquivo de dados do Outlook offline (.OST) não está incluído no conjunto de backup porque não foi projetado para ser backup.

Limitações da funcionalidade Secret Vault

Quando um cofre secreto é criado no sistema de arquivos FAT32, o tamanho do arquivo Secret Vault na unidade não deve exceder 4 GB.

Especificos da digitalização da memória do kernel para rootkits no modo de navegador protegido

Quando um módulo não confiável é detectado no modo de navegador protegido, uma nova guia do navegador abre com uma notificação sobre detecção de malware. Se isso acontecer, é recomendável sair do navegador e executar uma varredura completa do computador.

Específicos da proteção de dados da área de transferência

O aplicativo Kaspersky permite que um aplicativo acesse a área de transferência nos seguintes casos:

  • Um aplicativo com a janela ativa tenta colocar dados na área de transferência. A janela ativa é a janela que você está usando atualmente.
  • Um processo confiável de um aplicativo tenta colocar dados em uma área de transferência.
  • Um processo confiável de um aplicativo ou um processo com a janela ativa tenta receber dados da área de transferência.
  • Um processo de aplicação que colocou anteriormente dados em uma área de transferência tenta receber esses dados da área de transferência.

Específicos do processamento de arquivos infectados por componentes de aplicação

Por padrão, o aplicativo pode excluir arquivos infectados que não podem ser desinfetados. A remoção por padrão pode ser realizada durante o processamento de arquivos por componentes como prevenção de intrusões, e-mail antivírus, arquivo antivírus, durante tarefas de varredura e também quando o observador do sistema detecta atividade maliciosa de aplicações.

Limitações aplicáveis ​​a determinados componentes em caso de instalação de aplicativos, juntamente com a prevenção de fraudes de Kaspersky para terminais

A operação dos seguintes componentes do aplicativo Kaspersky é limitada no navegador protegido se o aplicativo for instalado juntamente com a prevenção de fraudes Kaspersky para pontos de extremidade:

  • Navegação segura, exceto anti-phishing;
  • Conselheiro de URL
  • Anti-Banner

Específicos da operação do processo autorun

O processo autorun registra os resultados de sua operação. Os dados são registrados nos arquivos de texto nomeados “KL-Autorun-.registro”. Para visualizar os dados, abra a janela Executar e, no tipo de campo aberto % temp % e clique em OK .

Todos os arquivos de rastreamento são salvos no caminho para configurar arquivos que foram baixados durante a operação do processo de autorun. Os dados são armazenados para a duração da operação do processo de autorun e excluídos permanentemente quando esse processo é encerrado. Os dados não são enviados para nenhum lugar.

As limitações de aplicativos Kaspersky no Microsoft Windows 10 RS4 com o modo de guarda do dispositivo habilitado

A operação da seguinte funcionalidade é parcialmente limitada:

  • Proteção à área de transferência
  • Proteção do navegador a partir de emuladores de entrada do teclado e do mouse (falsificação de entrada)
  • Proteção contra aplicativos de gerenciamento remoto
  • Proteção do navegador (Gerenciamento por meio da API, proteção contra ataques que usam mensagens perigosas para janelas do navegador, proteção contra gerenciamento da fila de mensagens)
  • Análise heurística (emulação da startup de aplicações maliciosas)

Se o modo UMCI estiver ativado no Windows, o aplicativo Kaspersky não detectará armários de tela.

Sobre o registro de eventos no log de eventos do Windows relacionados ao contrato de licença do usuário final e à Kaspersky Security Network

Os eventos que envolvem aceitar e recusar os termos do contrato de licença do usuário final e também aceitar e recusar a participação na Kaspersky Security Network, estão gravados no log de eventos do Windows.

Limitações nos verificações de reputação de endereço local na Rede de Segurança Kaspersky

Links para recursos locais não são digitalizados na Kaspersky Security Network.

Aviso sobre aplicativos que coletam informações

Se um aplicativo que coletar informações e enviá -lo a ser processado estiver instalado no seu computador, o aplicativo Kaspersky poderá classificar este aplicativo como malware. Para evitar isso, você pode excluir o aplicativo da digitalização, configurando o aplicativo Kaspersky, conforme descrito neste documento.

Aviso sobre a criação de um relatório de instalação do aplicativo

Um arquivo de relatório de instalação é criado quando o aplicativo é instalado em um computador. Se a instalação do aplicativo concluída com um erro, um arquivo de relatório de instalação será salvo e você pode enviá -lo para o suporte técnico da Kaspersky. Você pode visualizar o conteúdo do arquivo de relatório de instalação clicando no link na janela do aplicativo. Se o aplicativo for instalado com sucesso, o arquivo de relatório de instalação será excluído imediatamente do seu computador.

Limitações ao controle da webcam na atualização do Microsoft Windows 10 Anniversary (Redstone 1) Sistema operacional

Depois de instalar o aplicativo na atualização do Microsoft Windows 10 Anniversary (Redstone 1), o controle do acesso à webcam não é garantido até que o computador seja reiniciado.

Limitação em backup on -line e restauração de dados de cópias de backup

Você não pode executar simultaneamente uma tarefa de backup de Kaspersky e as tarefas de recuperação de dados da utilitário de restauração Kaspersky no mesmo computador.

O firewall não controla conexões locais instaladas por aplicativos controlados.

Limitações do componente de prevenção de intrusões

Se o Veracrypt estiver instalado no seu computador, o aplicativo Kaspersky poderá terminar ao trabalhar com o componente de prevenção de intrusões. Para resolver este problema, atualize o veracrypt para a versão 1.19 ou mais tarde.

Limitações quando o aplicativo é iniciado pela primeira vez após a atualização do Microsoft Windows 7 para o Microsoft Windows 10

Se você atualizou o Microsoft Windows 7 para o Microsoft Windows 8/8.1 ou Microsoft Windows 10 / RS1 / RS2 / RS3, o aplicativo Kaspersky opera com as seguintes limitações quando iniciado pela primeira vez:

  • Somente o arquivo antivírus (proteção em tempo real) está em execução. Outros componentes do aplicativo não estão funcionando.
  • A autodefesa dos arquivos e o registro do sistema está em execução. A autodefesa dos processos não está em execução.
  • A interface do aplicativo não está disponível até você reiniciar o computador. .
  • Somente a opção de saída está disponível no menu de contexto do ícone do aplicativo na área de notificação.
  • O aplicativo não exibe notificações e escolhe automaticamente a ação recomendada.

Aviso sobre o erro Adaptando os drivers de aplicativos ao atualizar o sistema operacional do Windows 7 para o Windows 10

A atualização do Windows 7 para o Windows 10 pode resultar em um erro adaptando os drivers do aplicativo Kaspersky. Os motoristas são adaptados em segundo plano, o que significa que você não recebe notificações sobre seu progresso.

Se houver um erro adaptando os drivers, você não poderá usar os seguintes recursos do aplicativo:

  • Firewall
  • Detecção de ameaças enquanto o sistema operacional está carregando
  • Proteção dos processos de aplicativos usando a tecnologia de luz do processo protegida (PPL) da Microsoft Corporation

Você pode usar os seguintes métodos para corrigir o erro:

  • Reinicie o computador e reinicie a adaptação do aplicativo da notificação no centro de notificação.
  • Desinstale o aplicativo e reinstale-o.

Os dispositivos na minha funcionalidade de componente de rede limitações

Alterar as configurações de uma rede Ethernet no registro do sistema pode causar os dispositivos no meu componente de rede para mostrar a rede Ethernet na lista de redes Wi-Fi detectadas e exibir os dispositivos conectados a esta rede.

Limitações no tráfego de varredura enviado sobre HTTPs no navegador Mozilla Firefox

Em Mozilla Firefox 58.X e versões posteriores, o aplicativo não verifica o tráfego transmitido pelo protocolo HTTPS se as configurações do navegador a modificação for protegida por uma senha primária. Quando uma senha primária é detectada no navegador, o aplicativo mostra uma notificação contendo um link para um artigo na base de conhecimento. O artigo contém instruções sobre como resolver este problema.

Se o tráfego HTTPS não for monitorado, a operação dos seguintes componentes será limitada:

  • Navegação segura;
  • Anti-phishing;
  • Controle dos pais;
  • Anti-Banner;
  • Entrada de dados segura;
  • Dinheiro seguro

Limitações da extensão de proteção Kaspersky no Google Chrome e Mozilla Firefox

A extensão de proteção Kaspersky não opera no Google Chrome e Mozilla Firefox se houver malwarebytes para o Windows instalado no seu computador.

Considerações especiais ao instalar o aplicativo no Microsoft Windows 7 Service Pack 0 e Service Pack 1

Ao instalar o aplicativo em um sistema operacional que não suporta certificados com uma assinatura digital SHA256, o aplicativo instala seu próprio certificado confiável.

Sobre o teste automático da funcionalidade de aplicativos Kaspersky

Kaspersky Lab Applications, incluindo o aplicativo Kaspersky, possui uma API especial (interface de programação de aplicativos) para teste automático da funcionalidade do aplicativo. Esta API deve ser usada apenas por desenvolvedores de Kaspersky.

Como executar uma varredura rootkit com a segurança da Internet Kaspersky

Como executar um Rootkit Scan Kaspersky Internet Security

Você pode usar um comando run para iniciar uma varredura rootkit com a segurança da Internet Kaspersky. Você também usa isso para a versão total de segurança do programa. O comando Run funciona ativando manualmente a digitalização através dos arquivos de dados do programa.

1. Abra o menu de início do Windows e pesquise “Correr”, Em seguida, abra o aplicativo Run.

Abra o aplicativo Run

2. Insira o seguinte texto no aplicativo Run. Certifique -se de incluir as aspas.
“%ProgramFiles (x86)%\ Kaspersky Lab \”

Diretório Kaspersky

3. Uma nova pasta será aberta. Localize e observe a pasta de segurança Kaspersky. Isso será total de segurança ou segurança na Internet.

4. Reabrir o aplicativo Run e adicione o destino da pasta que você acabou de encontrar.
“%ProgramFiles (x86)%\ Kaspersky Lab \ Kaspersky Total Security 20.0 \ “

5. Adicione AVP.com antes da última cotação.

6. Termine com um espaço, então “Iniciar Scan_qScan”, Sem as aspas.
“%ProgramFiles (x86)%\ Kaspersky Lab \ Kaspersky Total Security 20.0 \ avp.com “start scan_qscan

Run Kaspersky Rootkit Scan

7. Imprensa “OK” Para testar que funciona. Uma janela de prompt de comando deve ser lançada e Kaspersky começará a executar a varredura rootkit.

O aplicativo Run manterá o texto de ativação da varredura rootkit salvo. Ele permanecerá lá, a menos que você o exclua ou faça uma restauração do sistema. Seria uma boa ideia copiar e colar seu comando run em um documento de texto que você pode economizar para uso posterior.

O que é uma varredura de rootkit de Kaspersky?

Uma varredura de rootkit é uma varredura especializada que só procura por raízes em seu sistema. Porque é limitado, leva muito menos tempo e coloca menos tensão no seu sistema.

O que é um rootkit?

Rootkits são um tipo de malware que se esconde em seus arquivos e intercepta o seu sistema funções. Eles podem instalar mais ferramentas em segundo plano para permitir acesso remoto ao seu dispositivo. Eles geralmente são bem maliciosos e devem ser removidos imediatamente se infectados.

Com que frequência você deve executar uma varredura rootkit?

Kaspersky vai executar uma varredura rootkit todos os dias logo após a startup. Esta é a configuração padrão para ajudar a maximizar sua proteção. É uma boa ideia deixá -lo funcionar diariamente para garantir que seu sistema esteja limpo de qualquer malware.O cronograma padrão deve ser bom para a maioria dos usuários.

Se você se encontrar em um ambiente de alto risco (visitando sites inseguros e baixando regularmente), seria uma boa ideia executar verificações mais frequentes. Você pode optar por iniciar manualmente as varreduras rootkit ou até mesmo usar uma varredura completa.

?

As varreduras rootkit apenas pesquisam os arquivos vitais em seu computador. Isso ajuda a acelerar o processo e a torna a melhor verificação diária de fundo. A maioria dos usuários deve ver a varredura completa em menos de 15 minutos.

Como desativar a Scankit Scan em Kaspersky

Você pode desativar a varredura automática de rootkit através das configurações de desempenho.Isto é n’T recomendado, a menos que você’já estou executando uma varredura completa diariamente.

1. Abra sua versão do Kaspersky, Internet ou segurança total.

2. Selecione Configurações através do ícone Cog.

3. Escolha o desempenho das categorias.

4. Desmarque a opção que diz “Pesquise software destinado a ocultar traços de um programa malicioso no sistema (rootkits)”.

Você precisa executar uma varredura rootkit se você executar uma varredura completa?

Você não’preciso executar uma varredura rootkit se você já executou uma varredura completa com a segurança da Internet Kaspersky. Uma varredura completa procurará Rootkits, bem como muitas outras infecções maliciosas.

O que é uma varredura completa de Kaspersky?

Uma varredura completa é uma pesquisa mais detalhada em todos os arquivos do seu computador. Procurando por qualquer coisa maliciosa ou deslocada. Kaspersky usará uma porcentagem maior de CPU para executar uma varredura completa com eficiência. Enquanto um está em execução, você pode notar uma diminuição significativa no desempenho da sua máquina. Para garantir que seu desempenho não’T interfira no seu uso, você pode agendar suas varreduras completas para correr enquanto você’não estou no seu sistema.

Com que frequência você deve executar uma varredura completa?

A maioria dos usuários deve executar uma varredura completa do Kaspersky pelo menos uma vez por semana. Se você sente que seu sistema pode ter sido comprometido, é aconselhável executar uma varredura completa o mais rápido possível. Se você estiver em um ambiente de alto risco, deve executar uma varredura diariamente ou a cada dois dias.

Você pode agendar uma varredura completa para correr diariamente com a segurança total da Kaspersky e a segurança da Internet. No entanto, isso é recomendado apenas em sistemas mais poderosos ou quando o dispositivo não está’t em uso.

?

O tempo que uma varredura completa levará varia. Em máquinas de desempenho superior, uma varredura geralmente dura entre 10 minutos e uma hora. Dispositivos com desempenho mais baixo podem levar várias horas para concluir.

O processo de digitalização pesquisará todos os arquivos em sua máquina. Quanto mais arquivos em seu harddrive, mais arquivos Kaspersky terá que digitalizar. Isso significa que quanto menos documentos o seu dispositivo tiver mais rápido, a varredura será.

O programa é executado usando sua CPU. Muitas vezes vai correr mais rápido se você’não estou usando outros aplicativos enquanto a varredura é executada. Uma CPU moderna será capaz de lidar melhor com a multitarefa enquanto executa as varreduras Kaspersky necessárias.

Pensamentos finais

O recurso Scankit Kaspersky Rootkit oferece grande proteção contra malware. Serve como uma boa varredura diária que pode ser feita em minutos em segundo plano. É uma boa ideia permitir que a varredura rootkit ocorra diariamente e digitalize manualmente se você’eu é incerto sobre a segurança.

Embora a varredura de rootkit padrão seja ideal, não é um substituto para uma varredura completa. Você ainda deve permitir que Kaspersky execute uma varredura completa o mais rápido possível. Isso pode ser ativado manualmente ou agendado. Isto’S Recomendou que você use os recursos de rootkit e varredura completa oferecidos pela Kaspersky.

O TDSSKiller gratuito de Kaspersky cava rootkits

Recentemente, passei algum tempo resgatando o laptop da minha cunhada de um malware seriamente desagradável. Mesmo depois de executar utilitários como Malwarebytes anti-malware, depois de usar o UNHIDE para restaurar os ícones e pastas ausentes do sistema, algo estava seqüestrando os navegadores da web. Sempre que eu clicava em um link no Internet Explorer ou Firefox (as mais recentes versões de ambos, FYI), um pouco de código malicioso redirecionava o navegador para um site de phishing. Isso é seqüestro em poucas palavras, e é extremamente frustrante.

Como estava acontecendo nos dois navegadores, eu sabia que havia um problema mais profundo do que apenas um plug-in ou barra de ferramentas desonestos. Melhor palpite: um rootkit, uma forma de malware que pode se esconder de métodos normais de detecção. E, com certeza, foram os notórios TDSs, que, como relatado outro dia pela IDG News, agora estão sendo distribuídos por alguns blogs movidos a WordPress. Este laptop pode ter sido infectado apenas por visitar um site aparentemente inofensivo.

Então, como se banida com TDSs quando os limpadores de malware habituais falham? O Tdsskiller gratuito de Kaspersky trabalhou para mim. eventualmente. Quando eu baixei e corri pela primeira vez, nada aconteceu. A interface nunca apareceu, então eu não pude iniciar uma varredura. Acontece que o TDSS é tão desagradável que pode até bloquear o Tdsskiller de executar. Felizmente, Kaspersky postou uma versão atualizada que fez o truque.

Depois que eu enviei o TDSS de volta ao inferno, o seqüestro de navegador parou. Sua milhagem pode variar, é claro, mas se você tentou outras medidas e seu sistema ainda está exibindo sintomas de infecção, o TDSSKiller pode ser a inoculação final que você precisa.

Nota: O botão de download leva você ao site do fornecedor, onde você pode baixar a versão mais recente do software.

  • As 10 empresas mais poderosas de segurança cibernética
  • 7 tendências quentes de segurança cibernética (e 2 indo frio)
  • As vulnerabilidades Apache Log4J: uma linha do tempo
  • Usando a estrutura de segurança cibernética do NIST para lidar com o risco organizacional
  • 11 Ferramentas de teste de penetração Os profissionais usam
  • Cibercrime
  • Antivírus
  • Malware
  • Segurança
  • Aplicações Enterprise
  • Serviços de utilidade pública
  • Kaspersky Lab

Por mais de 20 anos, Rick Broida escreveu sobre todo tipo de tecnologia, de Amigas a servidores de negócios e palmpilots. Seus créditos incluem dezenas de livros, blogs e revistas. Ele dorme com um iPad sob o travesseiro.

Copyright © 2012 IDG Communications, Inc.

Rootkitrevealer v1.71

Download

Faça o download rootkitrevealer (231 KB)
Corra agora dos sysinternals vivem.

Introdução

Rootkitrevealer é um utilitário de detecção de rootkit avançado. Ele é executado no Windows XP (32 bits) e no Windows Server 2003 (32 bits), e sua saída lista as discrepâncias da API de registro e sistema de arquivos que podem indicar a presença de um modo de usuário ou rootkit de modo de kernel. Rootkitrevealer detecta com sucesso muitos raiz persistentes, incluindo AFX, Vanquish e HackerDefender (Nota: Rootkitrevealer não se destina a detectar rootkits como Fu que não tentam ocultar seus arquivos ou chaves de registro). Se você o usar para identificar a presença de um rootkit, por favor, informe -nos!

A razão pela qual não há mais uma versão da linha de comando é que os autores de malware começaram a direcionar a varredura do rootkitrevealer usando seu nome de executável. Portanto, atualizamos o rootkitrevealer para executar sua varredura de uma cópia de nome aleatoriamente que é executada como um serviço do Windows. Este tipo de execução não é propício a uma interface da linha de comando. Observe que você pode usar as opções da linha de comando para executar uma varredura automática com resultados registrados em um arquivo, que é o equivalente ao comportamento da versão da linha de comando.

O que é um rootkit?

O termo rootkit é usado para descrever os mecanismos e técnicas em que o malware, incluindo vírus, spyware e trojans, tentam esconder sua presença de bloqueadores de spyware, antivírus e utilitários de gerenciamento de sistemas. Existem várias classificações de rootkit, dependendo se o malware sobrevive à reinicialização e se ele é executado no modo de usuário ou no modo de kernel.

Rootkits persistentes
Um rootkit persistente está associado a malware que ativa cada vez que o sistema inicializa. Como esse malware contém código que deve ser executado automaticamente, cada sistema inicia ou quando um usuário faz login, eles devem armazenar código em uma loja persistente, como o registro ou sistema de arquivos, e configurar um método pelo qual o código é executado sem intervenção do usuário.

Rootkits baseados em memória
Rootkits baseados em memória são malware que não têm código persistente e, portanto, não sobrevive a uma reinicialização.

Rootkits de modo de usuário
Existem muitos métodos pelos quais os rootkits tentam evitar a detecção. Por exemplo, um rootkit de modo de usuário pode interceptar todas as chamadas para as APIs do Windows FindFirstFile/FindNextFile, que são usadas pelos utilitários de exploração do sistema de arquivos, incluindo explorador e o prompt de comando, para enumerar o conteúdo dos diretórios do sistema de arquivos. Quando um aplicativo executa uma listagem de diretório que retornaria os resultados que contêm entradas identificando os arquivos associados ao rootkit, o rootkit intercepta e modifica a saída para remover as entradas.

A API nativa do Windows serve como a interface entre clientes em modo de usuário e serviços de modo de kernel e mais sofisticadas funções de enumeração de arquivos de interceptação no modo de usuário, funções de enumeração de processo da API nativa. Isso impede sua detecção por scanners que comparam os resultados de uma enumeração da API do Windows com a devolvida por uma enumeração nativa da API.

Rootkits de modo de kernel
Os rootkits do modo de kernel podem ser ainda mais poderosos, pois não apenas eles podem interceptar a API nativa no modo de kernel, mas também pode manipular diretamente as estruturas de dados do modo de kernel. Uma técnica comum para ocultar a presença de um processo de malware é remover o processo da lista de processos ativos do kernel. Como as APIs de gerenciamento de processos dependem do conteúdo da lista, o processo de malware não será exibido em ferramentas de gerenciamento de processos como gerente de tarefas ou explorador de processos.

Como funciona o rootkitrevealer

Como os rootkits persistentes funcionam alterando os resultados da API para que uma visualização do sistema usando APIs seja diferente da visão real do armazenamento, o rootkitrevealer compara os resultados de uma varredura do sistema no nível mais alto com o do nível mais baixo. O nível mais alto é a API do Windows e o nível mais baixo é o conteúdo bruto de um volume do sistema de arquivos ou uma colméia de registro (um arquivo de hive é o formato de armazenamento no registro no registro). Assim, os rootkits, se o modo do usuário ou o modo de kernel, que manipulam a API do Windows ou a API nativa para remover sua presença de uma listagem de diretórios, por exemplo, serão vistos pelo rootkitrevealer como uma discrepância entre as informações retornadas pela API do Windows e aquelas vistas na varredura bruta de uma gordura ou NTFS Sistema de sistema de volume de NTFs.

Um rootkit se esconde do rootkitrevealer
Teoricamente é possível que um rootkit se esconda do rootkitrevealer. . No entanto, isso exigiria um nível de sofisticação não visto em rootkits até o momento. Alterações nos dados exigiriam um conhecimento íntimo dos NTFs, formatos de gordura e registro de hive, além da capacidade de alterar as estruturas de dados, de modo que ocultam o rootkit, mas não causam estruturas inconsistentes ou inválidas ou discrepâncias de efeito colateral que seriam sinalizadas pelo rootkitRevealer.

Existe uma maneira segura de saber da presença de um rootkit
Em geral, não de dentro de um sistema em execução. Um rootkit de modo de kernel pode controlar qualquer aspecto do comportamento de um sistema, de modo que as informações retornadas por qualquer API, incluindo as leituras brutas da colméia de registro e dados do sistema de arquivos executados pelo rootkitrevealer, podem ser comprometidos. Ao comparar uma varredura on-line de um sistema e uma varredura off-line de um ambiente seguro, como uma inicialização em uma instalação do sistema operacional baseado em CD, é mais confiável, o Rootkits pode segmentar essas ferramentas para evitar a detecção, mesmo.

O ponto principal é que nunca haverá um scanner de rootkit universal, mas os scanners mais poderosos haverão scanners de comparação on-line/off-line que se integram com antivírus.

Usando rootkitrevealer

Rootkitrevealer exige que a conta da qual sua execução tenha atribuído a ele os arquivos e diretórios de backup, carregue drivers e execute tarefas de manutenção de volume (no Windows XP e Superior) Privilégios. O Grupo de Administradores recebe esses privilégios por padrão. Para minimizar os falsos positivos, execute rootkitrevealer em um sistema ocioso.

Para obter melhores resultados, saia de todas as aplicações e mantenha o sistema de outra forma ocioso durante o processo de digitalização rootkitrevealer.

Se você tiver dúvidas ou problemas, visite o fórum de rootkitrevealer sysinternals.

Varredura manual

Para digitalizar um sistema iniciá -lo no sistema e pressionar o botão de varredura. Rootkitrevealer digitaliza o sistema que relata suas ações em uma área de status na parte inferior de sua janela e observando discrepâncias na lista de saída. As opções que você pode configurar:

  • Ocultar arquivos de metadados NTFS: Esta opção está ligada por padrão e tem rootkitrevealer não mostra arquivos de metadados NTFs padrão, que estão ocultos da API do Windows.
  • Registro de varredura: Essa opção está ativada por padrão. Desmarcando isso tem rootkitrevealer não executar uma varredura de registro.

Lançando uma varredura automática

Rootkitrevealer suporta várias opções para sistemas de varredura automática:

Uso: rootkitrevealer [-a [-c] [-m] [-r] outputfile]

Parâmetro Descrição
-a Digitalize e saia automaticamente quando terminar.
-c Saída de formato como CSV.
-m Mostrar arquivos de metadados NTFS.
-r Não escaneie o registro.

Observe que o local da saída do arquivo deve estar em um volume local.

Se você especificar a opção -c, ele não relata o progresso e as discrepâncias são impressas no formato CSV para facilitar a importação em um banco de dados. Você pode executar verificações de sistemas remotos, executando-os com o utilitário SysInternals PSEXEC usando uma linha de comando como a seguinte:

psexec \\ remote -c rootkitrevealer.exe -a c: \ windows \ system32 \ rootkit.registro

Interpretando a saída

Esta é uma captura de tela do rootkitrevealer que detecta a presença do popular hackerdefender rootkit. As discrepâncias das chaves do registro mostram que as chaves do registro que armazenam as configurações de driver de dispositivo e serviço do Hackerdefender não são visíveis para a API do Windows, mas estão presentes na varredura bruta dos dados do Registry Hive. Da mesma forma, os arquivos associados ao hackerdefender não são visíveis para varreduras de diretório da API do Windows, mas estão presentes na varredura dos dados do sistema de arquivos brutos.

Você deve examinar todas as discrepâncias e determinar a probabilidade de indicar a presença de um rootkit. Infelizmente, não existe uma maneira definitiva de determinar, com base na saída, se um rootkit estiver presente, mas você deve examinar todas as discrepâncias relatadas para garantir que sejam explicáveis. Se você determinar que tem um rootkit instalado, pesquise na web as instruções de remoção. Se você não tiver certeza de como remover um rootkit, você deve reformular o disco rígido do sistema e reinstalar o Windows.

Além das informações abaixo sobre possíveis discrepâncias de rootkitrevealer, o fórum rootkitrevealer em sysinternals discute os rootkits detectados e os falsos-positivos específicos.

Escondido da API do Windows

Essas discrepâncias são as exibidas pela maioria dos raízes; No entanto, se você não verificou os arquivos de metadados da OLCE NTFS, espera ver várias dessas entradas em qualquer volume NTFS, uma vez que o NTFS oculta seus arquivos metadá, como $ MFT e $ Secure, da API do Windows. Os arquivos de metadados presentes nos volumes NTFS variam de acordo com a versão do NTFS e os recursos do NTFS que foram ativados no volume. Também existem produtos antivírus, como o Kaspersky Antivirus, que usam técnicas de rootkit para ocultar dados que eles armazenam no NTFS Alternate Data Streams. Se você estiver executando um scanner de vírus tão. Rootkitrevealer não suporta filtros de saída porque os rootkits podem tirar proveito de qualquer filtragem. Finalmente, se um arquivo for excluído durante uma varredura, você também poderá ver essa discrepância.

Esta é uma lista de arquivos de metadados NTFS definidos no Windows Server 2003:

  • $ Attdef
  • $ Badclus
  • $ Badclus: $ ruim
  • $ Bitmap
  • $ Bota
  • $ Logfile
  • $ Mft
  • $ Mftmirr
  • $ Seguro
  • $ Upcase
  • $ Volume
  • $ Estender
  • $ Extend \ $ reparos
  • $ Extend \ $ objid
  • $ Extend \ $ usnjrnl
  • $ Extend \ $ usnjrnl: $ max
  • $ Estend \ $ cota

Acesso negado.
Rootkitrevealer nunca deve relatar essa discrepância, pois usa mecanismos que permitem acessar qualquer arquivo, diretório ou chave de registro em um sistema.

Visível na API do Windows, índice de diretório, mas não na MFT.
Visível na API do Windows, mas não no índice de MFT ou diretório.
Visível na API do Windows, MFT, mas não no índice de diretório.
Visível no índice de diretório, mas não na API do Windows ou na MFT.

Uma varredura do sistema de arquivos consiste em três componentes: a API do Windows, a tabela de arquivos mestre NTFS (MFT) e as estruturas de índice de diretório de diretório NTFS no Dinco. Essas discrepâncias indicam que um arquivo aparece em apenas uma ou duas das varreduras. Um motivo comum é que um arquivo é criado ou excluído durante as varreduras. Este é um exemplo do relatório de discrepância do rootkitrevealer para um arquivo criado durante a digitalização:

C: \ newfile.TXT
01/03/2005 17:26
8 bytes
Visível na API do Windows, mas não no índice de MFT ou diretório.

Comprimento da API do Windows não consistente com dados de hive crua.
Rootkits pode tentar se esconder deturpando o tamanho de um valor do registro para que seu conteúdo não seja visível para a API do Windows. Você deve examinar essa discrepância, embora também possa parecer resultado de valores do registro que mudam durante uma varredura.

Digite Indatibilidade entre a API do Windows e dados de Hive Raw.
Os valores do registro têm um tipo, como DWORD e REG_SZ, e essa discrepância observa que o tipo de valor relatado através da API do Windows difere da dos dados de hive bruto. Um rootkit pode mascarar seus dados armazenando -os como um valor reg_binário, por exemplo, e fazendo com que a API do Windows acredite que seja um valor reg_sz; Se ele armazenar um 0 no início dos dados, a API do Windows não poderá acessar dados subsequentes.

O nome da chave contém nulos incorporados.
A API do Windows trata os nomes de chave como seqüências de cordas terminadas nulas, enquanto o kernel os trata como cordas contadas. Assim, é possível criar chaves de registro que sejam visíveis para o sistema operacional, mas apenas parcialmente visíveis para ferramentas de registro como Regedit. O código de amostra Reghide na SysInternals demonstra esta técnica, usada por malware e rootkits para ocultar dados do registro. Use o utilitário SYSINTERNALS REGDELNULL para excluir chaves com nulos incorporados.

Indatibilidade de dados entre a API do Windows e dados de Hive Raw.
Essa discrepância ocorrerá se um valor do registro for atualizado enquanto a varredura do registro estiver em andamento. Valores que mudam freqüentemente incluem registros de data e hora como o valor de tempo de atividade do servidor Microsoft SQL, mostrado abaixo e valores “Last Scan” de vírus “Last Scan”. Você deve investigar qualquer valor relatado para garantir que seja um aplicativo válido ou valor do registro do sistema.

HKLM \ Software \ Microsoft \ Microsoft SQL Server \ Recuperação
01/03/2005 16:33
8 bytes

Recursos Rootkit

Os seguintes sites e livros são fontes de mais informações sobre rootkits:

Sony, Rootkits e Gerenciamento de Direitos Digitais foram longe demais
Leia a entrada do blog de Mark sobre sua descoberta e análise de um Sony Rootkit em um de seus computadores.

Desenterrando rootkits
Junho de Mark Windows It Pro Magazine O artigo fornece uma visão geral das tecnologias rootkit e como funciona o rootkitrevealer.

Rootkits: subvertendo o kernel do Windows
Este livro de Greg Hoglund e Jamie Butler é o tratamento mais abrangente de raízes disponíveis.

www..org
Este site armazena o arquivo de Phrack, Uma revista orientada a cracker, onde os desenvolvedores discutem falhas em produtos relacionados à segurança, técnicas de rootkit e outros truques de malware.

Windows Internals, 4ª edição, Por Mark Russinovich e Dave Solomon (o livro não fala sobre rootkits, mas entender a arquitetura do Windows é útil para entender os rootkits).

Download

Faça o download rootkitrevealer (231 KB)

Corra agora dos sysinternals vivem.