Rustbfix er i skrivende stund nok det program, som jeg har lavet, der har fundet den bredeste anvendelse hos andre end mig selv. Rustbfix er et lille værktøj til at fjerne et rootkit-baseret stykke malware, der huserede meget stærkt fra 2006: Rustock B. Den var ret svært at fjerne, men i de forskellige communities fandt man efterhånden ud af, at Swandog46’s Avenger værktøj var ret effektivt. Det blev bredt anvendt i både Danmark og mange internationale antispyware fora.
Rustbfix var i sin grund bare et batch-program, der først checker efter om Rustock.B var på computeren, og hvis ja, så instruerede den Avenger i at fjerne den. Så brugeren ikke selv skulle gøre noget manuelt undervejs.
STANDARD-TALE: Hent dette værktøj, og gem det på skrivebordet: http://www.uploads.ejvindh.net/rustbfix.exe Dobbeltklik på værktøjet. Hvis værktøjet finder en Rustock-infektion, vil du efter kort tid blive bedt om at genstarte computeren. Dette skal du så acceptere. Genstarten vil muligvis tage et godt stykke tid, og måske skal der 2 genstarter til, men dette vil ske helt automatisk. Når genstarten er færdig vil der åbnes 2 logfiler (%root%\avenger.txt & %root%\rustbfix\pelog.txt), som du skal kopiere ind i tråden.
Værktøjet laver også en lille logfil, som brugeren evt. kan lægge ind i et forum med hjælpere, der kan vurdere om infektionen blev slået ned:
************************* Rustock.b-fix -- By ejvindh ************************* 19-10-2006 21:59:37,90 ******************* Pre-run Status of system ******************* Rootkit driver PE386 is found. Starting the unload-procedure.... Examine the Avenger-logfile in order to assess the success of the unload-procedure Rustock.b-ADS attached to the System32-folder: :lzx32.sys 66432 Total size: 66432 bytes. Attempting to remove ADS... system32: deleted 66432 bytes in 1 streams. ******************* Post-run Status of system ******************* Rustock.b-driver on the system: NONE! Rustock.b-ADS attached to the System32-folder: No streams found. ******************************* End of Logfile ********************************
Programmet er ikke blevet opdateret rigtig længe, så det er primært af historisk interesse.