ABC der Sicherheit: Antiviren-Tools

 
 
 

Wie bekämpft man Schadprogramme der Familie Rootkit.Win32.PMax?

Artikel ID: 2980
Komplexität
2013 Nov 28
 
 
 
 

Rootkit ist ein Programm oder eine Sammlung von Programmen, die genutzt werden, um Vorhandensein eines Verbrechers oder eines Schadprogramms im System zu verbergen. 

In Windows-Systemen wird unter rootkit ein Programm gemeint, das ins System eindringt und Systemfunktionen (Windows API) abfängt. Abfangen und Modifizierung von APi-Funktionen der niedriger Ebene erlauben einem solchen Programm vor allem seine Anwesenheit im System effektiv zu tarnen. Außerdem kann ein Rootkit die Anwesenheit aller in seiner Konfiguration beschriebenen Prozessen, Ordner und Dateien auf der Laufwerk, Schlüssel in der Registrierung im System verbergen. Viele Rootkits installieren im System eigene Treiber und Services (sie sind auch unsichtbar). 

Die Desinfektion von Systemen, die mit Schadprogrammen der Familie Rootkit.Win32.PMax infiziert sind, wird mit dem Tool PMaxKiller.exe durchgeführt. 

Das Tool arbeitet auf x86 Versionen von Windows2000, XP, 2003, Vista, 2008, 7.

Die x64 Versionen von Windows können nicht von Schadprogrammen der Familie Rootkit.Win32.PMax infiziert werden. 

 

Desinfektion des infizierten Systems

  • Laden Sie das Archiv PMaxKiller.zip herunter und entpacken Sie es in einen einzelnen Ordner auf dem infizierten (oder potentiell infizierten) Rechner mit einem Archivierungsprogramm (z.B. WinZip). 
  • Starten Sie die Datei PMaxKiller.exe
  • Warten Sie bis die Untersuchung beendet wurde. Beim Erkennen einer Infektion ist der Neustart des Computer nicht erforderlich. 

 

Beim Start ohne Parameter führt das Tool folgende Aktionen aus:

  • Suche des schädlichen Treibers im Speicher, beim Erkennen solches desinfiziert ihn, um Beenden der legalen Prozesse, die sich an die Registrierung zu wenden versuchen, zu verhüten. 
  • Untersuchung der Dateien von Systembibliotheken, die vom Schadprogramm infiziert werden können. Beim Erkennen der Infektion führt das Tool die Desinfektion beim Neustart aus. 

 

Schlüssel für den Start des Tools PMaxKiller.exe aus der Befehlszeile

-c <Dateiname> - DACL in bestimmter Datei leeren (für die Beseitigung der Folgen von Sperrung des Starts von legitimen Prozessen vom Schadprogramm)

-d <Dateiname> - Ablaufverfolgungsdatei des schädlichen Treibers in eine Datei speichern.

-l <Dateiname> - Bericht des Tools in einer Datei speichern.

-v - Anzeige des detaillierten Logs (wird mit dem Schlüssel -l verwendet). 

 

Anzeichen der Infektion vom Schadprogramm der Familie Rootkit.Win32.PMax

  • Während der Antiviren-Untersuchung werden Prozessen des Anti-Virus spontan beendet. Außerdem wird der wiederholte Start dieser Prozesse blockiert, denn eine verbotende DACL (Discretionary Access Control List, freie verfügbare Zugriffskontrolliste) auf ausführbaren Dateien erstellt. Beim Versuch den Prozess zu starten erscheint die Meldung, dass Sie unzugreifende Rechte für den Zugriff auf dieses Objekt besitzen. 
  • Das Programm GMER erkennt bei der Untersuchung versteckte Module, deren Pfad die Zeile "__max++>" enthält.

 
 
 
 
Hat Ihnen dieser Artikel geholfen?
Ja Nein