Универсальная утилита для детектирования и лечения вредоносных программ класса "буткит" (Sinowal/Mebroot/MaosBoot, Stoned Bootkit и др.)

Последняя версия: 1.0.0.3 ЗАГРУЗИТЬ (http://www.esagelab.com/files/bootkit_remover.rar) (обновлено 01-10-2009)
Поддержка ОС: 32/64-разрядные версии Microsoft Windows XP, Server 2003, Vista, Server 2008, Windows 7 (RC1, RTM)
Размер архива: 475 KB
MD5 исполняемых файлов:
d264d40b71e7a009cdfed635bf7dccf5 (http://www.virustotal.com/ru/analisis/4984ca62e037df46900ffc7b62f0973441dec58b3b87808720 255f8e8703ce97-1254421905)remover.exe

Буткит записывает свой код в главную загрузочную запись (MBR) диска, обеспечивая таким образом исполнение вредоносного кода после загрузки операционной системы. В некоторых случаях буткит также скрывает модифицированный код загрузочного сектора.

Утилита обнаруживает модифицированный (в том числе скрытый) код MBR для всех видов и модификаций буткитов. Инфицированный загрузочный код может быть заменен на чистый и/или сохранен в файл.

Поддерживается лечение всех версий Sinowal (Mebroot).



esagelab.ru (http://www.esagelab.ru/resources.php?s=bootkit_remover)

Топик на anti-malware.ru (http://www.anti-malware.ru/forum/index.php?showtopic=9689)

Утилита хороша, слов нет. Минус один: абсолютная невозможность создавать журнал работы.
Что хочу я:
1. Просканировать систему.
2а. Если что-то найдёт - делаем карантин MBR и фиксим.
2б. Если чисто - кланяемся.

Как это реализуется в работе. По п.2 всё ясно:

Сохраните текст ниже как cleanup.bat в ту же папку, где находится скачанная Вами утилита (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите 'Тип файла: все файлы' и 'Имя файла: cleanup.bat'. Не забудьте сохраниться именно в ту папку, где находится утилита!).

remover dump \\.\PhysicalDrive0 mbr.bin
remover fix \\.\PhysicalDrive0
Запустите cleanup.bat
По окончании в папке появится файл mbr.bin. Пришлите его в карантин согласно Правил (Приложение 3) (http://virusinfo.info/pravila.html).

По п.1. ничего не ясно: весь вывод в консоли, что там, как там - видит только пользователь. Что там и как там - можно понять только из слов, а если человек не знает английский? Рекомендация типа


remover.exe > log.txt
тоже не спасает: по выполнению работы утилита ждёт Any Key, если это на экране не отобразится - пользователь будет до посинения сидеть и ждать окончания работы (если по счастью на клавиатуре что-то не нажмёт).

Кто там "особо приближённый к разработчику" - можно это исправить? Или ключ scan [path_to_logfile] придумать или просто Any Key в конце убрать....