-
eSage Lab: Bootkit remover
Универсальная утилита для детектирования и лечения вредоносных программ класса "буткит" (Sinowal/Mebroot/MaosBoot, Stoned Bootkit и др.)
Последняя версия: 1.0.0.3 ЗАГРУЗИТЬ (обновлено 01-10-2009)
Поддержка ОС: 32/64-разрядные версии Microsoft Windows XP, Server 2003, Vista, Server 2008, Windows 7 (RC1, RTM)
Размер архива: 475 KB
MD5 исполняемых файлов:
d264d40b71e7a009cdfed635bf7dccf5 remover.exe
Буткит записывает свой код в главную загрузочную запись (MBR) диска, обеспечивая таким образом исполнение вредоносного кода после загрузки операционной системы. В некоторых случаях буткит также скрывает модифицированный код загрузочного сектора.
Утилита обнаруживает модифицированный (в том числе скрытый) код MBR для всех видов и модификаций буткитов. Инфицированный загрузочный код может быть заменен на чистый и/или сохранен в файл.
Поддерживается лечение всех версий Sinowal (Mebroot).
Топик на anti-malware.ru
The worst foe lies within the self...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Утилита хороша, слов нет. Минус один: абсолютная невозможность создавать журнал работы.
Что хочу я:
1. Просканировать систему.
2а. Если что-то найдёт - делаем карантин MBR и фиксим.
2б. Если чисто - кланяемся.
Как это реализуется в работе. По п.2 всё ясно:
Код:
Сохраните текст ниже как cleanup.bat в ту же папку, где находится скачанная Вами утилита (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите 'Тип файла: все файлы' и 'Имя файла: cleanup.bat'. Не забудьте сохраниться именно в ту папку, где находится утилита!).
Код:
remover dump \\.\PhysicalDrive0 mbr.bin
remover fix \\.\PhysicalDrive0
Запустите cleanup.bat
По окончании в папке появится файл mbr.bin. Пришлите его в карантин согласно Правил (Приложение 3).
По п.1. ничего не ясно: весь вывод в консоли, что там, как там - видит только пользователь. Что там и как там - можно понять только из слов, а если человек не знает английский? Рекомендация типа
Код:
remover.exe > log.txt
тоже не спасает: по выполнению работы утилита ждёт Any Key, если это на экране не отобразится - пользователь будет до посинения сидеть и ждать окончания работы (если по счастью на клавиатуре что-то не нажмёт).
Кто там "особо приближённый к разработчику" - можно это исправить? Или ключ scan [path_to_logfile] придумать или просто Any Key в конце убрать....
-