Как бороться с вредоносными программами семейства Rootkit.Win32.PMax

Rootkit (руткит) — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

В ОС Windows под руткитом принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать свое присутствие в системе. Кроме того, как правило, руткит может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. Многие руткиты устанавливают в систему свои драйверы и службы (они также являются «невидимыми»).

Лечение систем, зараженных вредоносными программами семейства Rootkit.Win32.PMax, производится с помощью утилиты PMaxKiller.exe.

1. Признаки заражения
При выполнении сканирования антивирусом самопроизвольно завершаются процессы антивируса. Более того, блокируется повторный запуск этих процессов путем выставления запрещающего DACL (Discretionary Access Control List, список прав доступа) на исполняемых файлах. При попытке запуска будет выдаваться сообщение:

Программа GMER обнаруживает при сканировании скрытые модули, путь к которым содержит характерную строку «__max++>».

2. Описание работы утилиты
В ходе своей работы утилита при запуске без параметров выполняет следующие действия:

Поиск зловредного драйвера в памяти, при обнаружении лечит его с целью предотвратить завершение (и выставление блокирующих DACL) легальных процессов, пытающихся обратиться к реестру.
Сканирование файлов системных библиотек, которые могут быть заражены зловредом. При обнаружении заражения утилита выполнит лечение при перезагрузке.

3. Как вылечить систему
Чтобы вылечить систему, выполните следующие действия:

Скачайте файл PMaxKiller.exe. Информацию о том, как скачать файл, вы можете найти на следующих страницах.
для пользователей ОС Windows 8
для пользователей ОС Windows 7
для пользователей ОС Windows Vista
Запустите файл PMaxKiller.exe на зараженной (или потенциально зараженной) машине.
Утилита работает на 32-битных версия ОС Windows: 2000, XP, 2003, Vista, 2008, 7. (64-х битные ОС Windows не подвержены заражению вредоносными программами семейства Rootkit.Win32.PMax).

Дождитесь окончания сканирования. В случае обнаружения заражения перезагрузка компьютера обязательна.

4. Ключи для запуска утилиты из командной строки
-c <имя_файла> – сбросить DACL на заданном файле (для устранения последствий блокировки вредоносной программой запуска легальных процессов).
-d <имя_файла> – выполнить дамп зловредного драйвера в файл.
-l <имя_файла> – вывод отчета работы утилиты в файл.
-v – вывод подробного лога (используется вместе с ключом -l).