Bootkit Remover version 1.1 Copyright 2009-2010 eSage Lab http://www.esagelab.ru support@esagelab.com Данная утилита представляет собой универсальное средство для детектирования и лечения вредоносных программ класса "буткит" (Sinowal/Mebroot/MaosBoot, Stoned Bootkit и др.) Буткит записывает свой код в главную загрузочную запись (MBR) диска, обеспечивая таким образом исполнение вредоносного кода после загрузки операционной системы. В некоторых случаях буткит также скрывает модифицированный код загрузочного сектора. Утилита обнаруживает модифицированный (в том числе скрытый) код MBR для всех видов и модификаций буткитов. Инфицированный загрузочный код может быть заменен на чистый и/или сохранен в файл. *** Отличительные особенности программы 1. Корректно детектирует и лечит активное заражение как распространенных in the wild буткитов (включая все модификации Sinowal/Mebroot), так и неизвестных зловредов их класса. 2. Протестирована и работает на 32-х и 64-х разрядных операционных системах Microsoft Windows XP, Server 2003, Vista, Server 2008 и Windows 7 (RC1 и RTM). Windows 2000 не поддерживается. 3. Работает исключительно из режима пользователя, без использования драйверов и каких-либо недокументированных механизмов операционной системы. 4. Требует привилегий администратора. *** Использование Утилита работает из командной строки, открытой с правами администратора. 1. Проверка чистоты MBR для диска, на котором находится системный раздел: > remover.exe В отчете сканирования выводится один из трех вердиктов: OK (DOS/Win32 Boot code found) - MBR содержит оригинальный загрузочный код операционной системы DOS/Windows. Unknown boot code - MBR содержит неизвестный загрузочный код. На практике это может означать, что в системе присутствует буткит, который не скрывает модифицированный загрузочный код. Кроме того, такой статус будет выводиться в случае иcпользования какого-либо нестандартного мененджера загрузки (например, GRUB). Controlled by rootkit! - в системе обнаружен активный буткит, который препятствует чтению модифицированного загрузочного кода стандартными средствами. 2. Проверка MBR для произвольного диска: > remover.exe check ... где - системное имя физического накопителя, на котором необходимо восстановить загрузочный код (например, \\.\PhysicalDrive0). 3. Восстановление оригинального загрузочного кода Windows: > remover.exe fix ... где - системное имя физического накопителя, на котором необходимо восстановить загрузочный код (например, \\.\PhysicalDrive0). 4. Дамп загрузочного кода в консоль или в файл: > remover.exe dump [output_file] ... где [output_file] - необязательное имя выходного файла, в который будет записан дамп загрузочного кода. *** ВНИМАНИЕ! При перезаписи MBR всегда существует небольшой риск нанести вред операционной системе. Поэтому, перед тем как использовать утилиту Bootkit Remover, обязательно приготовьте загрузочный установочный диск с используемой версией Windows, с помощью которого (Recovery Console) можно восстановить MBR в случае его повреждения. *** ИСТОРИЯ ВЕРСИЙ 22.07.2010: версия 1.1 - По умолчанию проверяется только диск с системным разделом - Добавлена опция 'check' для проверки произвольных дисков - Логгирование в файл "bootkit_remover_debug_log.txt" 03.10.2009: версия 1.0.0.3 - Первая публичная сборка