Страница 1 из 6 12345 ... Последняя
Показано с 1 по 20 из 118.

Rootkit Unhooker

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    206

    Rootkit Unhooker


    Утилита, предназначенная для обнаружения и удаления принадлежащих вредоносному ПО скрытых процессов и драйверов. Текущая версия 2.022.

    Загрузить
    Последний раз редактировалось HATTIFNATTOR; 09.10.2006 в 13:05.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Версия уже 3.0 Beta 2 (английская).
    Плюс имеется собственный руткит для тестов антируткитов: http://www.rku.xell.ru/dl.php?fl=rk_demo_v12.zip

  4. #3
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    37
    Ребята, грузите самую последнюю Rootkit Unhooker v3.0 RC4

    Есть мнение, хотите покритиковать (последнее не приветствуется ), вам сюда http://forum.xell.ru
    Ring0 - the source of inspiration

  5. #4
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    37
    Любителям гонять тестовый руткит не с антируткитами посвящается
    http://forum.xell.ru/viewtopic.php?t=109
    Ring0 - the source of inspiration

  6. #5
    Junior Member Репутация Репутация Репутация
    Регистрация
    12.12.2006
    Сообщений
    33
    Вес репутации
    39
    EvilPhantasyRootkit Unhooker рулит,но есть вопросы. При запуске RkU3.01.100.360 (c RkU3.0.88.344 было то же самое, только, после нажатия OK во втором случае, был BSOD) :Rootkit Unhooker has detected parasite inside itself!It is recommended to remove parasite, okay?Parasite type: Unknown remote threadThread ID: (меняется с каждым запуском)Priority: 8жмем OK:Parasite removed, continue loading жмем OK:RkU запускаетсяжмем Отмена:Program integrity damaged!жмем OK:RkU запускаетсяТак и должно быть???
    Последний раз редактировалось Dont.care.a.f!g; 23.01.2007 в 08:40.

  7. #6
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    37
    Супер программа SSM установлена?
    Может быть IE7?
    Ring0 - the source of inspiration

  8. #7
    Junior Member Репутация Репутация Репутация
    Регистрация
    12.12.2006
    Сообщений
    33
    Вес репутации
    39
    Супер программа SSM? Как расшифровывается аббревиатура?
    IE7, а также семь антивирусов и шесть антитроянов и antispyware, но система работает стабильно.

  9. #8
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    37
    System Safety Monitor, очередная отечественная хипса. Ну раз, я так понимаю её нет, причина сообщения в IE7. Вообще можно взять Process Explorer с sysinternals и посмотреть стек этой remote thread. Есть много сообщений, что именно новый IE вызывает это сообщение. Вообще это довольно забавно, поскольку это значит, что модифицированные после установки IE компоненты винды теперь вставляют поток в каждый процесс. Мы бы давно посмотрели, но чего то нету у нас WGA-положительной винды.

    p.s. Семь антивирусов и шесть антитроянов... на кой х такой зоопарк, там же поди весь user и kernel mode перехуканы на три раза? Это если и не глючит дает охрененный удар по производительности
    Ring0 - the source of inspiration

  10. #9
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    37
    Parasite detected & IE7

    После долгих поисков "нормального" ie7 он был получен и раздолбан. "Загадка" разгадана, каждый процесс, использующий wininet.dll (ie7 версии) получает дополнительный поток в advapi32.dll. На кой все это надо неизвестно и совершенно неинтересно узнавать. Следующая версия RkU будет включать исправление, добавляющее "совместимость" с internet explorer 7.
    Ring0 - the source of inspiration

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    43
    Старик, у тебя на сайте валяется демо-руткит Unreal.A 1.0.1.0
    Че та я нее догоняю... я его скачал, запустил, нажал кнопец Инсталл... и чего?
    Как мне увидеть что он реально запустился и работает?
    Как ВИЗУАЛЬНО он должен проявляться (какие файлы скрывать или что еще делать)?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    493
    Если не ошибаюсь он спикером пищит

  13. #12
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    37
    спикером пищат rkdemo v1.0/1.1/1.2

    анриал скрывает драйвер и ADS. драйвер переодически печатает в debug output строку >unreal

    ADS этой версии анриал можно посмотреть только специализированными утилитами редактирования диска или специализированными антируткитами: RKU, GMER, IceSword - FileReg.
    Ring0 - the source of inspiration

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    493
    Complete scanning result of "UWl305774wc782.exe", received in VirusTotal at 02.19.2007, 17:27:47 (CET).

    AntiVir 7.3.1.37 02.19.2007 no virus found
    Authentium 4.93.8 02.19.2007 no virus found
    Avast 4.7.936.0 02.19.2007 no virus found
    AVG 386 02.18.2007 no virus found
    BitDefender 7.2 02.19.2007 no virus found
    CAT-QuickHeal 9.00 02.19.2007 (Suspicious) - DNAScan
    ClamAV devel-20060426 02.19.2007 no virus found
    DrWeb 4.33 02.19.2007 no virus found
    eSafe 7.0.14.0 02.19.2007 Suspicious Trojan/Worm
    eTrust-Vet 30.4.3412 02.19.2007 no virus found
    Ewido 4.0 02.19.2007 no virus found
    FileAdvisor 1 02.19.2007 no virus found
    Fortinet 2.85.0.0 02.19.2007 suspicious
    F-Prot 4.2.1.29 02.16.2007 no virus found
    F-Secure 6.70.13030.0 02.19.2007 no virus found
    Ikarus T3.1.0.31 02.19.2007 no virus found
    Kaspersky 4.0.2.24 02.19.2007 no virus found
    McAfee 4965 02.16.2007 no virus found
    Microsoft 1.2204 02.19.2007 no virus found
    NOD32v2 2070 02.19.2007 no virus found
    Norman 5.80.02 02.19.2007 no virus found
    Panda 9.0.0.4 02.18.2007 no virus found
    Prevx1 V2 02.19.2007 no virus found
    Sophos 4.14.0 02.19.2007 no virus found
    Sunbelt 2.2.907.0 02.17.2007 VIPRE.Suspicious
    Symantec 10 02.19.2007 no virus found
    TheHacker 6.1.6.060 02.19.2007 no virus found
    UNA 1.83 02.16.2007 no virus found
    VBA32 3.11.2 02.18.2007 suspected of Trojan-PSW.Pinch.7 (paranoid heuristics)
    VirusBuster 4.3.19:9 02.19.2007 no virus found

    Aditional Information
    File size: 71168 bytes
    MD5: 202cf16823dc113ea71e7f7f65e92ce7
    SHA1: ba889fc011fa28946fd6ea6a88ce46c966d458b1
    packers: PECOMPACT
    packers: PecBundle, PECompact
    Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

    Хехе , даже пинч =)

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    43
    Цитата Сообщение от EvilPhantasy Посмотреть сообщение
    спикером пищат rkdemo v1.0/1.1/1.2

    анриал скрывает драйвер и ADS. драйвер переодически печатает в debug output строку >unreal

    ADS этой версии анриал можно посмотреть только специализированными утилитами редактирования диска или специализированными антируткитами: RKU, GMER, IceSword - FileReg.
    Извини ламера , что есть ADS? И как мне эту debug output увидеть?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    493
    ADS это дополнительные потоки NTFS

  17. #16
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    37
    @Surfer

    Антивирусы используют так называемую эвристику, если точнее, то это то что они понимают под этим словом. В их алгоритмах пакованное не широко распространенным пакером, к тому же со странным именем и маленьким размером автоматически становится подозрительным. На большее большинство из товарисЧей не способны.

    @Flooter

    DbgView
    Ring0 - the source of inspiration

  18. #17
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    37
    Последняя версия RkU 3.30 здесь, http://rkunhooker1.narod.ru. Предупреждаю сразу - хостинг народ.ру, поэтому скорость очень медленная. На файл uninstallера и на файл сервиса может ругаться "антивирус" AntiVir, что-то типа Trojan Agent 6556, это проблемы товарищей из AntiVir.
    Ring0 - the source of inspiration

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    05.07.2006
    Сообщений
    1,112
    Вес репутации
    363
    а чё с прошлым сайтом, за что отрубили?

    EvilPhantasy насамом деле спасибо, редко встретишь такое хорошее описание антируткитов, а то, то что пишут товарищи писавшие программу, понятное дело в большинстве своём с действительностью мало общего имеют..
    The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
    "Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
    Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)

  20. #19
    Full Member Репутация Аватар для EvilPhantasy
    Регистрация
    21.12.2006
    Адрес
    Orion-6B
    Сообщений
    65
    Вес репутации
    37
    а чё с прошлым сайтом, за что отрубили?
    Я перестал его спонсировать

    EvilPhantasy насамом деле спасибо, редко встретишь такое хорошее описание антируткитов, а то, то что пишут товарищи писавшие программу, понятное дело в большинстве своём с действительностью мало общего имеют..
    Просто мы всегда их разбираем по кусочкам в прямом смысле слова А в коде уж не наврешь как бы иногда не хотелось авторам
    Ring0 - the source of inspiration

  21. #20
    Junior Member Репутация
    Регистрация
    14.04.2006
    Сообщений
    42
    Вес репутации
    39
    Скачал с http://rkunhooker1.narod.ru/ и поставил RKU(установка подозрительно долгая), проинсталлировал.
    Запустил, посмотрел, вышел.
    Потом antivir обнаружил два exe-ка в каталоге system32 и один в system volum. Детектит в них также Tr/Agent.6656. Это нормально?
    Удалил их ручками. RKU работает и без них, новых не создает....

Страница 1 из 6 12345 ... Последняя

Похожие темы

  1. Что думаете по поводу лога ? (rootkit unhooker)
    От Mantopter в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 01.12.2010, 23:13
  2. Rootkit Unhooker
    От Naughty в разделе Beta Testing
    Ответов: 0
    Последнее сообщение: 21.09.2009, 23:36
  3. Ответов: 22
    Последнее сообщение: 01.05.2009, 17:27
  4. Ответов: 30
    Последнее сообщение: 11.10.2007, 01:30
  5. strange behaviour of rootkit unhooker
    От parufka в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 17.02.2007, 00:20

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01626 seconds with 25 queries