Jak można zwalczyć złośliwe oprogramowanie z rodziny Rootkit.Win32.PMax?

Rootkit to program lub zestaw programów służących do ukrycia lub zaciemnienia faktu, że system został zainfekowany.

Dla systemów operacyjnych MS Windows, termin rootkit oznacza program, który infiltruje system i podpina tzw. haki (hooks) na funkcje systemowe (Windows API). Dzięki hakom i modyfikacji funkcji API niskiego poziomu, taki złośliwy program może efektywnie ukryć swoją obecność w systemie. Ponadto, rootkity z reguły są w stanie ukryć wszelkie procesy, foldery i pliki na dyskach, jak również klucze rejestru opisujące ich konfigurację. Wiele rootkitów instaluje w systemie swoje sterowniki i usługi (również te ukryte).

 

Narzędzie PMaxKiller.exe służy do leczenia zainfekowanych systemów zagrożeniami z rodziny Rootkit.Win32.PMax.

Narzędzie jest kompatybilne z 32-bitowymi wersjami MS Windows: 2000, XP, 2003, Vista, 2008, 7.
Ponieważ 64-bitowych wersji MS Windows nie można zainfekować zagrożeniem z rodziny Rootkit.Win32.PMax.


Dezynfekcja zainfekowanego systemu:

• Pobierz archiwum PMaxKiller.zip i wypakuj je (np.: przy pomocy WinZip) do foldera na zainfekowanym (lub prawdopodobnie zainfekowanym) komputerze;
• Uruchom plik PMaxKiller.exe.
• Zaczekaj, aż proces skanowania zostanie zakończony. W przypadku wykrycia infekcji, konieczne jest ponowne uruchomienie komputera.

Jeżeli narzędzie zostanie uruchomione bez dodatkowych argumentów:

• Uruchomi skanowanie pamięci w poszukiwaniu szkodliwych sterowników i wyleczy je, w celu zabezpieczenia przed przerwaniem działania właściwych procesów (ustawienia blokowania DACLs) próbujących uzyskać dostępu do rejestru.
• Uruchomi skanowanie plików biblioteki systemowej, które mogą być zainfekowane szkodliwym programem. W razie wykrycia infekcji, narzędzie zajmie się leczeniem po ponownym uruchomieniu systemu.
  
  

  

  
  

  Parametry wiersza poleceń dla narzędzia PMaxKiller.exe:

-c <nazwa_pliku> - resetuje listę DACL (poufna lista kontroli dostępu) wskazanego pliku (w celu wyeliminowania blokowania uruchomienia procesów przez szkodliwe oprogramowanie).
-d <nazwa_pliku> - wykonuje zrzut sterownika złośliwego programu do plik
-l <nazwa pliku> - zapisuje raport z działania narzędzia do pliku.
-v - tworzy raport szczegółowy (używany wraz z przełącznikiem -l).

Oznaki infekcji szkodliwym programem z rodziny Rootkit.Win32.PMax:

• Procesy programu antywirusowego losowo zatrzymywane są podczas procesu skanowania. Ponadto, ogranicza listę DACL (Discretionary Access Control List) ustawioną dla uruchamiania plików wykonywalnych i blokowania restartu procesów. Przy próbie uruchomienia wyświetlona zostanie wiadomość ostrzegająca, o niewystarczających uprawnieniach.
  

• Narzędzie GMER wykrywa ukryte moduły ze ścieżkami dostępu zawierającymi sekwencję "__max++>".
  
  

  

 

Powrót do sekcji "Viruses and solutions"