Rootkit (по-русски, "руткит") — программа или набор
программ для скрытия следов присутствия злоумышленника или вредоносной
программы в системе.
В системах Windows под rootkit принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API).
Перехват и модификация низкоуровневых API-функций, в первую очередь,
позволяет такой программе достаточно качественно маскировать свое
присутствие в системе. Кроме того, как правило, rootkit может
маскировать присутствие в системе любых описанных в его конфигурации
процессов, каталогов и файлов на диске, ключей в реестре. Многие rootkit устанавливают в систему свои драйверы и службы (они также являются "невидимыми").
Лечение систем, зараженных вредоносными программами семейства Rootkit.Win32.PMax, производится с помощью утилиты PMaxKiller.exe.
Утилита работает на x86 версиях ОС Windows: 2000, XP, 2003, Vista, 2008, 7. Версии ОС Windows x64 не подвержены заражению вредоносными программами семейства Rootkit.Win32.PMax.
Лечение зараженной системы
- Скачайте файл PMaxKiller.exe.
- Запустите файл PMaxKiller.exe на зараженной (или потенциально зараженной) машине.
- Дождитесь окончания сканирования. В случае обнаружения заражения перезагрузка компьютера обязательна.
В ходе своей работы утилита при запуске без параметров:
- Выполняет поиск зловредного драйвера в памяти, при обнаружении лечит
его с целью предотвратить завершение (и выставление блокирующих DACL)
легальных процессов, пытающихся обратиться к реестру.
- Выполняет сканирование файлов системных библиотек, которые могут
быть заражены зловредом. При обнаружении заражения утилита выполнит
лечение при перезагрузке.
Ключи для запуска утилиты из командной строки
-c <имя_файла> - сбросить DACL на заданном файле (для устранения последствий блокировки вредоносной программой запуска легальных процессов). -d <имя_файла> - выполнить дамп зловредного драйвера в файл. -l <имя_файла> - вывод отчета работы утилиты в файл. -v - вывод подробного лога (используется вместе с ключом -l).
Признаки заражения системы вредоносной программой семейства Rootkit.Win32.PMax
- При выполнении сканирования антивирусом самопроизвольно завершаются
процессы антивируса. Более того, блокируется повторный запуск этих
процессов путем выставления запрещающего DACL (Discretionary Access Control List ,список прав доступа) на исполняемых файлах. При попытке запуска будет выдаваться сообщение:
- Программа GMER обнаруживает при сканировании скрытые модули, путь к которым содержит характерную строку "__max++>".
|