# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  > Антируткиты  >  Rootkit Unhooker

## HATTIFNATTOR

Утилита, предназначенная для обнаружения и удаления принадлежащих вредоносному ПО скрытых процессов и драйверов. Текущая версия 2.022.

 *Загрузить*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## MOCT

Версия уже 3.0 Beta 2 (английская).
Плюс имеется собственный руткит для тестов антируткитов: http://www.rku.xell.ru/dl.php?fl=rk_demo_v12.zip

----------


## EvilPhantasy

Ребята, грузите самую последнюю Rootkit Unhooker v3.0 RC4

Есть мнение, хотите покритиковать (последнее не приветствуется  :Stick Out Tongue:  ), вам сюда http://forum.xell.ru

----------


## EvilPhantasy

Любителям гонять тестовый руткит не с антируткитами посвящается
http://forum.xell.ru/viewtopic.php?t=109

----------


## Dont.care.a.f!g

*EvilPhantasy*Rootkit Unhooker рулит,но есть вопросы.    При запуске RkU3.01.100.360 (c RkU3.0.88.344 было то же самое, только, после нажатия OK во втором случае, был BSOD) :Rootkit Unhooker has detected parasite inside itself!It is recommended to remove parasite, okay?Parasite type: Unknown remote threadThread ID: (меняется с каждым запуском)Priority: 8жмем OK:Parasite removed, continue loading             жмем OK:RkU запускаетсяжмем Отмена:Program integrity damaged!жмем OK:RkU запускаетсяТак и должно быть???

----------


## EvilPhantasy

Супер программа SSM установлена?
Может быть IE7?

----------


## Dont.care.a.f!g

Супер программа SSM? Как расшифровывается аббревиатура?
IE7, а также семь антивирусов и шесть антитроянов и antispyware, но система работает стабильно.  :Smiley:

----------


## EvilPhantasy

System Safety Monitor, очередная отечественная хипса. Ну раз, я так понимаю её нет, причина сообщения в IE7. Вообще можно взять Process Explorer с sysinternals и посмотреть стек этой remote thread. Есть много сообщений, что именно новый IE вызывает это сообщение. Вообще это довольно забавно, поскольку это значит, что модифицированные после установки IE компоненты винды теперь вставляют поток в каждый процесс. Мы бы давно посмотрели, но чего то нету у нас WGA-положительной винды.

p.s. Семь антивирусов и шесть антитроянов... на кой х такой зоопарк, там же поди весь user и kernel mode перехуканы на три раза? Это если и не глючит дает охрененный удар по производительности  :Smiley:

----------


## EvilPhantasy

Parasite detected & IE7

После долгих поисков "нормального" ie7 он был получен и раздолбан. "Загадка" разгадана, каждый процесс, использующий wininet.dll (ie7 версии) получает дополнительный поток в advapi32.dll. На кой все это надо неизвестно и совершенно неинтересно узнавать. Следующая версия RkU будет включать исправление, добавляющее "совместимость" с internet explorer 7.

----------


## Flooter

Старик, у тебя на сайте валяется демо-руткит *Unreal.A* 1.0.1.0
Че та я нее догоняю... я его скачал, запустил, нажал кнопец Инсталл... и чего?
Как мне увидеть что он реально запустился и работает?
Как ВИЗУАЛЬНО он должен проявляться (какие файлы скрывать или что еще делать)?

----------


## Surfer

Если не ошибаюсь он спикером пищит  :Cheesy:

----------


## EvilPhantasy

спикером пищат rkdemo v1.0/1.1/1.2

анриал скрывает драйвер и ADS. драйвер переодически печатает в debug output строку >unreal

ADS этой версии анриал можно посмотреть только специализированными утилитами редактирования диска или специализированными антируткитами: RKU, GMER, IceSword - FileReg.

----------


## Surfer

Complete scanning result of "UWl305774wc782.exe", received in VirusTotal at 02.19.2007, 17:27:47 (CET).

AntiVir	7.3.1.37	02.19.2007	no virus found
Authentium	4.93.8	02.19.2007	no virus found
Avast	4.7.936.0	02.19.2007	no virus found
AVG	386	02.18.2007	no virus found
BitDefender	7.2	02.19.2007	no virus found
*CAT-QuickHeal	9.00	02.19.2007	(Suspicious) - DNAScan*
ClamAV	devel-20060426	02.19.2007	no virus found
DrWeb	4.33	02.19.2007	no virus found
*eSafe	7.0.14.0	02.19.2007	Suspicious Trojan/Worm*
eTrust-Vet	30.4.3412	02.19.2007	no virus found
Ewido	4.0	02.19.2007	no virus found
FileAdvisor	1	02.19.2007	no virus found
*Fortinet	2.85.0.0	02.19.2007	suspicious*
F-Prot	4.2.1.29	02.16.2007	no virus found
F-Secure	6.70.13030.0	02.19.2007	no virus found
Ikarus	T3.1.0.31	02.19.2007	no virus found
Kaspersky	4.0.2.24	02.19.2007	no virus found
McAfee	4965	02.16.2007	no virus found
Microsoft	1.2204	02.19.2007	no virus found
NOD32v2	2070	02.19.2007	no virus found
Norman	5.80.02	02.19.2007	no virus found
Panda	9.0.0.4	02.18.2007	no virus found
Prevx1	V2	02.19.2007	no virus found
Sophos	4.14.0	02.19.2007	no virus found
*Sunbelt	2.2.907.0	02.17.2007	VIPRE.Suspicious*
Symantec	10	02.19.2007	no virus found
TheHacker	6.1.6.060	02.19.2007	no virus found
UNA	1.83	02.16.2007	no virus found
*VBA32	3.11.2	02.18.2007	suspected of Trojan-PSW.Pinch.7 (paranoid heuristics)*
VirusBuster	4.3.19:9	02.19.2007	no virus found

_Aditional Information_
File size: 71168 bytes
MD5: 202cf16823dc113ea71e7f7f65e92ce7
SHA1: ba889fc011fa28946fd6ea6a88ce46c966d458b1
packers: PECOMPACT
packers: PecBundle, PECompact
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Хехе , даже пинч =)

----------


## Flooter

> спикером пищат rkdemo v1.0/1.1/1.2
> 
> анриал скрывает драйвер и ADS. драйвер переодически печатает в debug output строку >unreal
> 
> ADS этой версии анриал можно посмотреть только специализированными утилитами редактирования диска или специализированными антируткитами: RKU, GMER, IceSword - FileReg.


Извини ламера  :Cry:  , что есть ADS? И как мне эту debug output увидеть?

----------


## Surfer

ADS это дополнительные потоки NTFS

----------


## EvilPhantasy

@Surfer

Антивирусы используют так называемую эвристику, если точнее, то это то что они понимают под этим словом. В их алгоритмах пакованное не широко распространенным пакером, к тому же со странным именем и маленьким размером автоматически становится подозрительным. На большее большинство из товарисЧей не способны.

@Flooter

DbgView

----------


## EvilPhantasy

Последняя версия RkU 3.30 здесь, http://rkunhooker1.narod.ru. Предупреждаю сразу - хостинг народ.ру, поэтому скорость очень медленная. На файл uninstallера и на файл сервиса может ругаться "антивирус" AntiVir, что-то типа Trojan Agent 6556, это проблемы товарищей из AntiVir.

----------


## Ego1st

а чё с прошлым сайтом, за что отрубили?

EvilPhantasy насамом деле спасибо, редко встретишь такое хорошее описание антируткитов, а то, то что пишут товарищи писавшие программу, понятное дело в большинстве своём с действительностью мало общего имеют..

----------


## EvilPhantasy

> а чё с прошлым сайтом, за что отрубили?


Я перестал его спонсировать  :Smiley: 




> EvilPhantasy насамом деле спасибо, редко встретишь такое хорошее описание антируткитов, а то, то что пишут товарищи писавшие программу, понятное дело в большинстве своём с действительностью мало общего имеют..


Просто мы всегда их разбираем по кусочкам в прямом смысле слова  :Smiley:  А в коде уж не наврешь как бы иногда не хотелось авторам  :Smiley:

----------


## АлександрУ

Скачал с http://rkunhooker1.narod.ru/ и поставил RKU(установка подозрительно долгая), проинсталлировал. 
Запустил, посмотрел, вышел.
Потом antivir обнаружил  два exe-ка в каталоге system32 и один в system volum. Детектит в них также Tr/Agent.6656. Это нормально?
Удалил их ручками. RKU работает и без них, новых не создает....

----------


## EvilPhantasy

http://virusinfo.info/showpost.php?p...6&postcount=17

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## АлександрУ

Эту информацию видел и понял. Вопрос в другом: эти три файла являются частями драйвера RKU? 
Они имеют законное право на существование? 
Судя по хронологии инсталляции их поставил RKU....

----------


## EvilPhantasy

Это сервис программы, строящий список видимых файлов при сканировании на предмет скрытых файлов. То что их было два в system32 означает, что программа была завершенна некорректно или помешали сторонние программы, т.к. при нормальном завершении основная программа RkU должна их удалить. В System Volume Information сервис попал по прихоти System Restore.

Это не троян, чтобы там антивирусы не орали каждый раз. В конце концов, это их сигнатурные проблемы не наши.

----------


## Erekle

> То что их было два в system32 означает, что программа была завершенна некорректно или помешали сторонние программы, т.к. при нормальном завершении основная программа RkU должна их удалить.



Их что, основная программа создаёт?
Меня интересовал комплект без инсталляции. Скопировал с ПрограмФайлз и Систем32, удалил программу. Она работает... В первый раз ("6656" был в это время только в другой папке, не в каталоге основного файла; и не в Систем32) сказала, что "драйвер уже загружен" и запустилась. И потом без разницы: скопирую "6656" в Систем32, или удалю оттуда и с резервной папки (так что остаётся только в ящике) - программа всё равно работает, скрытые файлы ищет без претензии. Другой вопрос, что дело долгое, ни разу не довёл до конца. Поэтому и не удостоверился, удаляет ли программа этот файл (файл с начала-то уже на "месте", и если вообще не буду включать этот пойск, он не удаляется)...

----------


## EvilPhantasy

Программа работает без инсталяции, все необходимые файлы внутри, по принципу программ от Руссиновича. Инсталятор нужен лишь для создания иконок в Пуске и рандомизации имени приложения.

----------


## Erekle

Ну, насчёт инсталлятора - это только обстоятельство, при котором появились вопросы (в свете цитаты): если "6656" должен удаляться, то как он появляется в следующий раз? Каким драйвером/службой руководствовалась программа, написав, что драйвер загружен, когда файла "9338CE7C" не было ни в System32, ни в папке программы. И как она искала потом скрытые файлы, если "9338CE7C" был только в ящике? Или у RkU есть скрытые файлы?

----------


## EvilPhantasy

Публичная версия (которая в открытом download) RkU состоит из трех компонентов:

- главное приложение
- драйвер
- сервис

драйвер называется rkhdrvXX.sys, где XX номер версии

сервис называется по разному, в вашем случае 9338ce7c, каждый раз выбирается новое имя

приложение тоже называется случайным образом, это обусловлено, что некоторые китайские руткиты начали искать его по имени.

драйвер и сервис извлекаются из основного приложения, когда в них есть необходимость.

Сервис извлекается всегда, когда происходит сканирование скрытых файлов. После окончания работы он автоматически удаляется с диска.

----------


## Erekle

Понятно - по необходимости. Должен был догадаться следить за создаваемыми файлами, тогда не спросил бы. Моя вина.  :Smiley: 

Спасибо за разъяснение. И за программу, само собой.

----------


## Flooter

> Публичная версия (которая в открытом download) RkU состоит из трех компонентов:
> 
> - главное приложение
> - драйвер
> - сервис
> 
> драйвер называется rkhdrvXX.sys, где XX номер версии
> 
> сервис называется по разному, в вашем случае 9338ce7c, каждый раз выбирается новое имя
> ...


Кстати, а есть ли смысл с переименованием?
В конце концов имхо не сложно просканировать каталог, откуда запускается экзешник и поискать там строку rkhdrvXX.sys. А если нашли - считаем что данный файл и есть RkUnhooker. Это я к тому, что если переименовывать, то все сразу  :Smiley: 

А что за Приватная версия, чего там есть такого чего нету в публичной?  :Wink:

----------


## EvilPhantasy

> В конце концов имхо не сложно просканировать каталог, откуда запускается экзешник и поискать там строку rkhdrvXX.sys.


Мда? В пакованном то виде?  :Smiley: 




> А что за Приватная версия, чего там есть такого чего нету в публичной?


ну, например

1. Сканирование файловых систем через порты ввода-вывода
2. Реестр через предыдущее
3. Дополнительные вещи, которые не требуются обычным / продвинутым пользователям  :Wink:

----------


## SSDas

EvilPhantasy

А где можно скачать Ваш тестовый руткит о котором так много говорится на Вашем сайте? И есть ли у Вашей программы форум? 
Внешне все выглядит просто замечательно, но необходимо больше информации.

----------


## EvilPhantasy

SSDas

Форума нет и в ближайшее время не предвидится, так как это narod.ru и nm.ru

Оба руткита, возможно, будут в d/l летом, выйдут они вместе с четвертой версией RkU и по объективным причинам, раньше релиза программы они появиться не могут. Лично я был против досрочных заявлений и публикаций каких-либо скриншотов.

Первый руткит предназначен для тестирования ARK на поиск скрытых драйверов и полностью обходит антируткиты с такими методами поиска: PsLoadedModulesList, Object Directory, Drivers Objects, Device Objects, Objects Pool Brute-Force, сканирование памяти ядра на предмет PE заголовков, таблиц двордов, M$ NotifyRoutines (LoadImage, CreateThread), анализ двухсвязных списков, очередей драйверов.

Второй более интересен и сложен. По поводу его публикации все есть большие сомнения. В нем удалось реализовать практически абсолютно не поддающийся детектированию стелс файлов / реестра и patch-protection. Предупреждаю сразу, этот руткит не рекомендуется запускать на вашей настоящей машине, так как это может привести к непоправимым последствиям в случае ошибок.

----------


## SSDas

Спасибо.

----------


## SSDas

Кстати не могли бы Вы мне помочь здесь, раз уж форума нет. У меня установлено на компьютере две операционные системы WindowsXP SP2. Одна рабочая, старая с 2004 года работает как часы, на ней установлены все программы и выход во внешний мир. Так вот на ней Ваша программа работает замечательно. Другая же новая, на ней ничего не установлено и нету даже выхода в сеть. Система абсолютно чистая. AVZ выдает абсолютно чистые логи. Руткитов по данным других антируткитов нет. Но Ваш антируткит почему-то не запускается. Выдает ошибку:"Error loading data file". Причем драйвер он успевает загрузить до ошибки. Я теряюсь в догадках.

----------


## EvilPhantasy

Баги / ограничения в текущей реализации парсера NTFS. Она разбирается самостоятельно через disk.sys минуя ntfs.sys.

После того как малвара начала лочить системные файлы на диске, не давая тем самым их проверить RkU был полностью переведен (v.3.31) на собственный парсер ntfs, абсолютно все. Как и ожидалось полезли баги. В следующей версии мы постараемся от этого избавиться.

----------


## SSDas

Спасибо еще раз.

----------


## lynx rus

Если тыкнуть в какой-нибудь пункт меню то программа стабильно вешается, съедая при этом 100% CPU. Убить не могу ни через таск менеджер ни через процес эксплорер  :Sad: 
 Система WinXPSP2 Corp, NOD32.

----------


## drongo

> Если тыкнуть в какой-нибудь пункт меню то программа стабильно вешается, съедая при этом 100% CPU. Убить не могу ни через таск менеджер ни через процес эксплорер 
>  Система WinXPSP2 Corp, NOD32.


Попробуйте выгрузить нод32 из памяти , проблема исчезла ?

----------


## SSDas

EvilPhantasy
В деле обнаружения руткитов Вы лучшие.
Может быть, как-то можно получить 4 версию RKU, а то уж очень хочется быть до конца уверенным в надежности функционирования тех компьютеров, которые я обслуживаю.

----------


## Kuzz

*EvilPhantasy*, на Win2k3 SP2 при попытке запуска RkU получаю:
Error loading driver, NTSTATUS code: C0000183.
Возникает вопрос: это лаг моей системы, или баг RkU?

----------


## Surfer

*EvilPhantasy*

Просканился, пишет
*!!Обнаружена возможная руткит-активность!! =)*

 :Smiley:  Как я понимаю это скорее всего Касперский 7 даёт о себе знать ?
Ещё много всяких [unknown_code_page] , unknown page with executable code
В "драйверах" висят unknown_irp_handler, некоторые дрова пишутся не абсолютным путём -  ни скопировать, ни снять дамп с них нельзя.

На всякий случай прилагаю лог, проанализируйте плз  :Smiley: )

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## pushick

Я отвечу на вопросы к EvilPhantasy, т.к. являюсь со-автором rku.

@SSDas

К несчастью вашу просьбу невозможно удовлетворить.




> EvilPhantasy, на Win2k3 SP2 при попытке запуска RkU получаю:
> Error loading driver, NTSTATUS code: C0000183.
> Возникает вопрос: это лаг моей системы, или баг RkU?


Windows 2003 SP2 не поддерживается RkU ниже 3.7

@Surfer

Лог содержит список хуков Касперского и ZoneAlarm в SSDT/IAT/EAT. Плюс участки выполняемого кода вне видимых модулей в стелс-детекторе. Ничего необычного для систем с кав

----------


## Surfer

*pushick*
Ясно, спасибо.
А можете реализовать ADS-редактор на уровне файловой системы, чтоб можно было просматривать и удалять ? 
Это ведь тоже потенциальное логово руткитов.

----------


## Surfer

*This site hacked by Kaspersky Antivirus Labs team.* 

 :Cheesy:   :Cheesy:   :Cheesy: 

http://rku.nm.ru/

----------


## vaber

http://rkunhooker1.narod.ru/
Кто-то больно юморной попался  :Smiley:

----------


## АлександрУ

Поискал и не нашел где можно скачать RKU старше 3.3.
Проект закрылся или его заблокировали авторы "Kaspersky Antivirus Labs team. "

----------


## Alaska Kid

См. здесь http://slil.ru/24900732/1285768269/RkU3.7.300.506.zip

----------


## Trotil

Сайт rku.nm.ru в настоящее время не работает.

На сайте было выложен обзор АнтиРуткиты: Невидимая Война (EP_X0FF)

http://www.rku.nm.ru/invisible_war.rar (увы, не работает)

Просьба тем, у кого есть копия этого обзора, выложить ее в альтернативный доступ.

----------


## santy

записал обзор вот сюда:
http://slil.ru/24920090

----------


## Muffler

Rootkit Unhooker updated to 3.7.300.509

Changes:
*fixed:* (we hope) detection for several types of hooks
*fixed:* raw ntfs glitch at start
*important:* _this version by default disables extended method of hidden processes detection, to enable it start rku from console with the following parameter "-hookswap" without quotes (e.g. Rku.exe -hookswap)_ 

*Download:*
Rootkit Unhooker 3.7.300.509
Mirror

----------


## Ego1st

> миниобзоре "инвизибл варс"


а можно попросить ссылочку или еще чего, а то как-то руки не дошли до прочтения..

нашел=)

----------


## xxxman

Может ли кто-то помочь связаться в авторами Rootkit Unhooker ?
Есть ряд комерческих предложений.
Если это возможно напишите на xxxman At m17.biz
Либо в личку на форуме.

----------


## Surfer

http://www.rootkits.ru/viewforum.php?id=14

----------


## Mad Scientist

EP_X0FF and Rootkit Unhooker уехали в Microsoft (с 4.1 версией). Мекрософт, скорее всего, бесплатно давать скачивать ее не будет). История повторяется, как некогда было и с Марком Руссиновичем.
http://www.antirootkit.com/blog/2007...-to-microsoft/

----------


## Geser

> Microsoft have just gained one of the best anti rootkit teams on the planet.


 :Smiley:

----------


## Surfer

Хмм, а разве эта фиговина лучшая ?
Вроде лучшим всегда был pjf.
Теперь ясно кому они ... место очень долго  :Smiley:

----------


## MaxQ

У меня при загрузке выдает Ошибку: "02 Error loading data file"
Кто знает как исправить?

----------


## XP user

> У меня при загрузке выдает Ошибку: "02 Error loading data file"
> Кто знает как исправить?


Насколько я понял, это ошибка парсера NTFS. Не исключено, что дефрагментация и полная проверка диска поможет, но НЕ гарантирую.

Paul

----------


## MaxQ

> Насколько я понял, это ошибка парсера NTFS. Не исключено, что дефрагментация и полная проверка диска поможет, но НЕ гарантирую.
> 
> Paul


Да, не помогло  :Smiley:  еще варианты есть?
Система Windows XP SP2 NTFS

----------


## psw

Поскольку появление новых версий RkU не ожидается, то мне кажется полезным предупредить о неожиданной проблеме, возникшей при использовании этой программы.
Возникла она на пустом месте. Делается скан ПК, все хорошо, данные показываются на вкладке Report, жизнь чудесна. 
Но настоящие чудеса начинаются при попытке сохранить этот отчет. Операция проходит, но результирующий файл имеет длину 0. Повторяем - снова 0. Опять повторяем - размер файла 31К. Открываем файл с якобы нулевой длиной в Блокноте - вся информация присутствует, сохраняем - размер 128К.

Используем chkdsk для проверки диска. Обнаруживаем ошибки в $BITMAP  и еще чем-то. Запускаем chkdsk /F, планируем проверку при перезагрузке.

И вот она, перезагрузка. Отработал chkdsk, и ... BSOD. SESSION5_INITIALIZATION_FAILURE 0x71 (0 0 0 0)
Попытка загрузиться в Safe моде - неудачна. Единственное, что сработало: загрузка из Last Known Good.
Так что, теперь я рискну сохранять отчеты в RkU только на носитель, которого не жалко.

----------


## sewell

Утилита очень хороша, но у меня есть одна проблемка - после ее использования после перезагрузки система падает в BSOD. Проблема исходит от их драйвера rkhdrv40.sys.  Причем как моинимум в 50% использования утилиты промсходит такая трабла при загрузке Винды. Поэтому после использования тулзы сразу отключаю ее драйвер с автозагруза, тогда все проходит тип-топ.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Nick1978

вышла новая версия Rootkit Unhooker LE v3.8.340.550
подробнее http://www.rootkit.com/newsread.php?newsid=902 и http://forum.sysinternals.com/forum_...1269&PID=75700
ссылка: http://rapidshare.com/files/13300065...0.550.rar.html
http://rapidshare.com/files/134702156/2local.rar.html

----------


## priv8v

> added: bootkit (Sinowal/MaosBoot) hot start detection and removal (use with caution!! Possible damage of the MBR)


радует :Smiley:

----------


## priv8v

выше линк на версию 3.8.340.550, а вот линк на версию 3.8.341.552:
http://rapidshare.com/files/13696576...1.552.rar.html

----------


## Karlson

а я нашел версию v3.8.342.554 :p

тут обсуждение этого апдейта.

----------


## priv8v

Ну ничего... я сейчас тоже что-нибудь найду)))

----------


## senyak

А вообще хорошая программа?

----------


## Ego1st

Одна из лучших имхо..

----------


## Romero

а есть подробное описание на русском языке этой программы?

----------


## sewell

А что там не понятного? Если есть непонятки рекомендую почитать Марка Русиновича или Бозуэлла по внутреннему устройству Windows. Иначе она не только безполезна, но и опасна.

----------


## avsdeg

Русский интерфейс можно скачать здесь : http://www.rootkit.com/board.php?thr...12425&closed=1

Хотя какой толк от этого не совсем понятно.

----------


## Sanja

Люди, выложите плиз еще раз "Invisible_war.rar". cпс.

и если у кого есть то и остальное с сайта rke (rk_demo, unreal.a) е.т.с.

да, да, я пишу еще 1н антируткит....

----------


## aintrust

Хм... =)

----------


## rav

http://rapidshare.com/files/21578174...e_war.rar.html

----------


## Sanja

Спасибо )

----------


## zhelezyaka

http://www.rku.xell.ru/dl.php?fl=rk_demo_v12.zip 

http://rku.xell.ru/dl.php?fl=RkU3.0.88.344.exe

http://www.rku.xell.ru/dl.php?fl=RkU3.01.100.360.exe

показывает: Internet Explorer не может отобразить эту веб-страницу

где можно еще загрузить эту прогу!???

----------


## Kuzz

http://www.rootkit.com/vault/DiabloN....8.342.554.rar
Локаль http://www.rootkit.com/vault/DiabloNova/Locals.rar

----------


## zhelezyaka

у меня *Rootkit Unhooker* нашел  "  >Перехваты  ntkrnlpa.exe+0x0006EC6E, Тип: Inline - RelativeJump по адресу 0x80545C6E обработчик перехватчика расположен в [ntkrnlpa.exe] "  -  что это вирус или что????!!

в Report :
RkUnhooker report generator v0.7
==============================================
Rootkit Unhooker kernel version: 3.8.342.554
==============================================
Windows Major Version: 5
Windows Minor Version: 1
Windows Build Number: 2600
==============================================
>Состояние SSDT
==============================================
>Shadow
==============================================
>Процессы
Процесс: System
Id Процесса 4
Адрес EPROCESS: 0x863C4A00

Процесс: C:\Program Files\DrWeb\spidernt.exe
Id Процесса 452
Адрес EPROCESS: 0x85C89020

Процесс: C:\Program Files\DrWeb\spiderui.exe
Id Процесса 456
Адрес EPROCESS: 0x85C6EA88

Процесс: C:\WINDOWS\system32\smss.exe
Id Процесса 528
Адрес EPROCESS: 0x861C5670

Процесс: C:\WINDOWS\system32\csrss.exe
Id Процесса 576
Адрес EPROCESS: 0x8616EDA0

Процесс: C:\WINDOWS\system32\winlogon.exe
Id Процесса 600
Адрес EPROCESS: 0x862AE908

Процесс: C:\WINDOWS\system32\services.exe
Id Процесса 644
Адрес EPROCESS: 0x861A0550

Процесс: C:\WINDOWS\system32\lsass.exe
Id Процесса 656
Адрес EPROCESS: 0x85D53020

Процесс: C:\WINDOWS\system32\svchost.exe
Id Процесса 824
Адрес EPROCESS: 0x8613CDA0

Процесс: C:\WINDOWS\soundman.exe
Id Процесса 832
Адрес EPROCESS: 0x85C82BE0

Процесс: C:\WINDOWS\system32\svchost.exe
Id Процесса 868
Адрес EPROCESS: 0x861C3BF0

Процесс: C:\WINDOWS\system32\svchost.exe
Id Процесса 920
Адрес EPROCESS: 0x8618F848

Процесс: C:\WINDOWS\system32\svchost.exe
Id Процесса 1008
Адрес EPROCESS: 0x85DA62A0

Процесс: C:\WINDOWS\system32\svchost.exe
Id Процесса 1036
Адрес EPROCESS: 0x861646D8

Процесс: C:\Program Files\DrWeb\drwebscd.exe
Id Процесса 1100
Адрес EPROCESS: 0x85C2F9E0

Процесс: C:\WINDOWS\system32\spoolsv.exe
Id Процесса 1192
Адрес EPROCESS: 0x8616DA48

Процесс: C:\Program Files\Download Master\dmaster.exe
Id Процесса 1284
Адрес EPROCESS: 0x85C02020

Процесс: C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
Id Процесса 1312
Адрес EPROCESS: 0x85C69A60

Процесс: C:\WINDOWS\system32\rundll32.exe
Id Процесса 1340
Адрес EPROCESS: 0x85CA54F8

Процесс: C:\WINDOWS\system32\nvsvc32.exe
Id Процесса 1344
Адрес EPROCESS: 0x8615A560

Процесс: C:\Program Files\DrWeb\spiderml.exe
Id Процесса 1524
Адрес EPROCESS: 0x85C7A408

Процесс: C:\WINDOWS\system32\alg.exe
Id Процесса 1580
Адрес EPROCESS: 0x85D1E780

Процесс: C:\WINDOWS\system32\ctfmon.exe
Id Процесса 1732
Адрес EPROCESS: 0x85C30DA0

Процесс: C:\Program Files\DrWeb\drweb32w.exe
Id Процесса 1880
Адрес EPROCESS: 0x85BD4318

Процесс: C:\WINDOWS\explorer.exe
Id Процесса 2044
Адрес EPROCESS: 0x85CFE3B0

Процесс: D:\Others\Portable _programm\LE38\53LmPhp7oi3Qy.exe
Id Процесса 1164
Адрес EPROCESS: 0x85C38020

==============================================
>Драйверы
Драйвер: C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
Адрес: 0xF6CF2000
Размер: 6311936 байт

Драйвер: C:\WINDOWS\System32\nv4_disp.dll
Адрес: 0xBF012000
Размер: 6189056 байт

Драйвер: C:\WINDOWS\system32\drivers\ALCXWDM.SYS
Адрес: 0xF68CE000
Размер: 4112384 байт

Драйвер: C:\WINDOWS\system32\ntkrnlpa.exe
Адрес: 0x804D7000
Размер: 2150400 байт

Драйвер: PnpManager
Адрес: 0x804D7000
Размер: 2150400 байт

Драйвер: RAW
Адрес: 0x804D7000
Размер: 2150400 байт

Драйвер: WMIxWDM
Адрес: 0x804D7000
Размер: 2150400 байт

Драйвер: Win32k
Адрес: 0xBF800000
Размер: 1847296 байт

Драйвер: C:\WINDOWS\System32\win32k.sys
Адрес: 0xBF800000
Размер: 1847296 байт

Драйвер: Ntfs.sys
Адрес: 0xF739D000
Размер: 577536 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
Адрес: 0xF440E000
Размер: 458752 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\update.sys
Адрес: 0xF6795000
Размер: 385024 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\tcpip.sys
Адрес: 0xF4541000
Размер: 364544 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\srv.sys
Адрес: 0xBA349000
Размер: 335872 байт

Драйвер: C:\PROGRA~1\DrWeb\spider.sys
Адрес: 0xB9F03000
Размер: 307200 байт

Драйвер: C:\WINDOWS\System32\Drivers\HTTP.sys
Адрес: 0xB9E9A000
Размер: 266240 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\rdpdr.sys
Адрес: 0xF681B000
Размер: 196608 байт

Драйвер: ACPI.sys
Адрес: 0xF74E1000
Размер: 188416 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\mrxdav.sys
Адрес: 0xBA3EB000
Размер: 184320 байт

Драйвер: NDIS.sys
Адрес: 0xF7370000
Размер: 184320 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\rdbss.sys
Адрес: 0xF447E000
Размер: 176128 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\netbt.sys
Адрес: 0xF44F1000
Размер: 163840 байт

Драйвер: dmio.sys
Адрес: 0xF748B000
Размер: 155648 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\ipnat.sys
Адрес: 0xF44CB000
Размер: 155648 байт

Драйвер: C:\WINDOWS\System32\Drivers\Fastfat.SYS
Адрес: 0xB9C82000
Размер: 147456 байт

Драйвер: C:\WINDOWS\system32\drivers\portcls.sys
Адрес: 0xF68AA000
Размер: 147456 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\USBPORT.SYS
Адрес: 0xF6CBA000
Размер: 147456 байт

Драйвер: C:\WINDOWS\system32\drivers\ks.sys
Адрес: 0xF6887000
Размер: 143360 байт

Драйвер: C:\WINDOWS\System32\drivers\afd.sys
Адрес: 0xF44A9000
Размер: 139264 байт

Драйвер: ACPI_HAL
Адрес: 0x806E4000
Размер: 134400 байт

Драйвер: C:\WINDOWS\system32\hal.dll
Адрес: 0x806E4000
Размер: 134400 байт

Драйвер: fltMgr.sys
Адрес: 0xF7453000
Размер: 131072 байт

Драйвер: ftdisk.sys
Адрес: 0xF74B1000
Размер: 126976 байт

Драйвер: Mup.sys
Адрес: 0xF7356000
Размер: 106496 байт

Драйвер: atapi.sys
Адрес: 0xF7473000
Размер: 98304 байт

Драйвер: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Адрес: 0xF43B7000
Размер: 98304 байт

Драйвер: C:\Program Files\UltraISO\drivers\ISODrive.sys
Адрес: 0xF43F7000
Размер: 94208 байт

Драйвер: KSecDD.sys
Адрес: 0xF742A000
Размер: 94208 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\ndiswan.sys
Адрес: 0xF685C000
Размер: 94208 байт

Драйвер: C:\WINDOWS\system32\drivers\wdmaud.sys
Адрес: 0xBA08C000
Размер: 86016 байт

Драйвер: C:\DOCUME~1\Users\LOCALS~1\Temp\AH7s2j4W.sys
Адрес: 0xB9CA6000
Размер: 81920 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\parport.sys
Адрес: 0xF6873000
Размер: 81920 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS
Адрес: 0xF6CDE000
Размер: 81920 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\ipsec.sys
Адрес: 0xF459A000
Размер: 77824 байт

Драйвер: C:\WINDOWS\System32\drivers\dxg.sys
Адрес: 0xBF000000
Размер: 73728 байт

Драйвер: sr.sys
Адрес: 0xF7441000
Размер: 73728 байт

Драйвер: pci.sys
Адрес: 0xF74D0000
Размер: 69632 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\psched.sys
Адрес: 0xF684B000
Размер: 69632 байт

Драйвер: C:\WINDOWS\System32\Drivers\Cdfs.SYS
Адрес: 0xF7850000
Размер: 65536 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Адрес: 0xF7730000
Размер: 65536 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\serial.sys
Адрес: 0xF7700000
Размер: 65536 байт

Драйвер: C:\WINDOWS\system32\drivers\drmk.sys
Адрес: 0xF76F0000
Размер: 61440 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\redbook.sys
Адрес: 0xF7740000
Размер: 61440 байт

Драйвер: C:\WINDOWS\system32\drivers\sysaudio.sys
Адрес: 0xBA211000
Размер: 61440 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\usbhub.sys
Адрес: 0xF77C0000
Размер: 61440 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Адрес: 0xF7650000
Размер: 53248 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\i8042prt.sys
Адрес: 0xF7710000
Размер: 53248 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
Адрес: 0xF7750000
Размер: 53248 байт

Драйвер: VolSnap.sys
Адрес: 0xF7630000
Размер: 53248 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\raspptp.sys
Адрес: 0xF7770000
Размер: 49152 байт

Драйвер: C:\WINDOWS\System32\Drivers\Fips.SYS
Адрес: 0xF7820000
Размер: 45056 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\imapi.sys
Адрес: 0xF7720000
Размер: 45056 байт

Драйвер: MountMgr.sys
Адрес: 0xF7620000
Размер: 45056 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\raspppoe.sys
Адрес: 0xF7760000
Размер: 45056 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\intelppm.sys
Адрес: 0xF76E0000
Размер: 40960 байт

Драйвер: isapnp.sys
Адрес: 0xF7610000
Размер: 40960 байт

Драйвер: C:\WINDOWS\System32\Drivers\NDProxy.SYS
Адрес: 0xF77B0000
Размер: 40960 байт

Драйвер: PxHelp20.sys
Адрес: 0xF7660000
Размер: 40960 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\termdd.sys
Адрес: 0xF7790000
Размер: 40960 байт

Драйвер: disk.sys
Адрес: 0xF7640000
Размер: 36864 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS
Адрес: 0xF7840000
Размер: 36864 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\msgpc.sys
Адрес: 0xF7780000
Размер: 36864 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\netbios.sys
Адрес: 0xF7810000
Размер: 36864 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\wanarp.sys
Адрес: 0xF7800000
Размер: 36864 байт

Драйвер: C:\WINDOWS\System32\Drivers\Npfs.SYS
Адрес: 0xF7950000
Размер: 32768 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\usbehci.sys
Адрес: 0xF78D8000
Размер: 32768 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\fdc.sys
Адрес: 0xF78E8000
Размер: 28672 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\HIDPARSE.SYS
Адрес: 0xF7958000
Размер: 28672 байт

Драйвер: C:\WINDOWS\System32\Drivers\karlchen.SYS
Адрес: 0xF79D8000
Размер: 28672 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\kbdclass.sys
Адрес: 0xF78F0000
Размер: 28672 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Адрес: 0xF7890000
Размер: 28672 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\mouclass.sys
Адрес: 0xF7910000
Размер: 24576 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
Адрес: 0xF78E0000
Размер: 24576 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\usbuhci.sys
Адрес: 0xF78D0000
Размер: 24576 байт

Драйвер: C:\WINDOWS\System32\drivers\vga.sys
Адрес: 0xF7940000
Размер: 24576 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\flpydisk.sys
Адрес: 0xF7930000
Размер: 20480 байт

Драйвер: C:\WINDOWS\System32\Drivers\Msfs.SYS
Адрес: 0xF7948000
Размер: 20480 байт

Драйвер: PartMgr.sys
Адрес: 0xF7898000
Размер: 20480 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\ptilink.sys
Адрес: 0xF7900000
Размер: 20480 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\raspti.sys
Адрес: 0xF7908000
Размер: 20480 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\TDI.SYS
Адрес: 0xF78F8000
Размер: 20480 байт

Драйвер: C:\WINDOWS\System32\watchdog.sys
Адрес: 0xF7968000
Размер: 20480 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\mssmbios.sys
Адрес: 0xF7ACC000
Размер: 16384 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\ndisuio.sys
Адрес: 0xBA6F0000
Размер: 16384 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\serenum.sys
Адрес: 0xF7AA8000
Размер: 16384 байт

Драйвер: C:\WINDOWS\system32\BOOTVID.dll
Адрес: 0xF7A20000
Размер: 12288 байт

Драйвер: C:\WINDOWS\System32\drivers\Dxapi.sys
Адрес: 0xF45E5000
Размер: 12288 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\hidusb.sys
Адрес: 0xF67FF000
Размер: 12288 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\mouhid.sys
Адрес: 0xF67FB000
Размер: 12288 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\ndistapi.sys
Адрес: 0xF7AB0000
Размер: 12288 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\rasacd.sys
Адрес: 0xF732E000
Размер: 12288 байт

Драйвер: C:\WINDOWS\System32\drivers\ws2ifsl.sys
Адрес: 0xF731A000
Размер: 12288 байт

Драйвер: C:\WINDOWS\System32\Drivers\Beep.SYS
Адрес: 0xF7B26000
Размер: 8192 байт

Драйвер: dmload.sys
Адрес: 0xF7B14000
Размер: 8192 байт

Драйвер: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Адрес: 0xF7B2C000
Размер: 8192 байт

Драйвер: C:\WINDOWS\System32\Drivers\Fs_Rec.SYS
Адрес: 0xF7B24000
Размер: 8192 байт

Драйвер: C:\WINDOWS\system32\KDCOM.DLL
Адрес: 0xF7B10000
Размер: 8192 байт

Драйвер: C:\WINDOWS\System32\Drivers\mnmdd.SYS
Адрес: 0xF7B28000
Размер: 8192 байт

Драйвер: C:\WINDOWS\System32\Drivers\ParVdm.SYS
Адрес: 0xF7B6C000
Размер: 8192 байт

Драйвер: C:\WINDOWS\System32\DRIVERS\RDPCDD.sys
Адрес: 0xF7B2A000
Размер: 8192 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\swenum.sys
Адрес: 0xF7B16000
Размер: 8192 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\USBD.SYS
Адрес: 0xF7B1A000
Размер: 8192 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\WMILIB.SYS
Адрес: 0xF7B12000
Размер: 8192 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\audstub.sys
Адрес: 0xF7C48000
Размер: 4096 байт

Драйвер: C:\WINDOWS\System32\drivers\dxgthk.sys
Адрес: 0xF7D27000
Размер: 4096 байт

Драйвер: C:\WINDOWS\System32\Drivers\Null.SYS
Адрес: 0xF7CB1000
Размер: 4096 байт

Драйвер: pciide.sys
Адрес: 0xF7BD8000
Размер: 4096 байт

==============================================
>Стелс
==============================================
>Файлы
==============================================
>Перехваты

ntkrnlpa.exe+0x0006EC6E, Тип: Inline - RelativeJump по адресу 0x80545C6E обработчик перехватчика расположен в [ntkrnlpa.exe]

----------


## priv8v

есть подозрения? -> в "Помогите"

----------


## URBANUTS

у меня аваст говорит что это троян ген!?

----------


## Гриша

> у меня аваст говорит что это троян ген!?


False...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Kuzz

Апдейт:
RkU v3.8 LE build 380/580 Service Release 1 @ Sep 15 2009, 13:56 (UTC+0)




> Important:
> This version doesn't contains significant detection improvements / innovations
> It's service release targeting mostly support of the new Microsoft NT versions.
> 
> added: Windows 7 build 7600 (RTM) support
> added: Windows Vista SP2 support
> added: Window Hooks viewer (as promised to Twister in old 200
> added: more callback types to explore / remove
> updated: all build up with latest UG North RTL's
> ...

----------


## avsdeg

Обновление Rootkit Unhooker LE 3.8.384.586 SR1.

Что нового по сравнению с билдом 380/580:



> added: little fix for drivers scan
>  fixed: some application and driver bugs
> 
>  added: unlinked dll's detection
>  fixed: BSOD under Vista/7
>  fixed: vulnerability reported by Fyyre
> 
>  improved: stealth code detection (thanks NTInternals)
>  fixed: some bugs
> ...

----------


## Erekle

...и у драйвера теперь красивое имя - кактус такой есть.  :Smiley:

----------


## Veterwar

Привет.
Народ помогите новичку.?!
Посоветуйте прогу на русском, сколько искал все иностранка.
Заранее спасибо.

----------


## priv8v

А зачем Вам? 
 :Smiley:

----------


## Alex_Goodwin

есть рку на русском.

----------


## avirarus

Veterwar скачивайте dll http://www.rootkit.com/vault/DiabloNova/rku_rus.rar - кидайте в ту папку где лежит Rootkit Unhooker и выбирайте язык!

----------


## avsdeg

Rootkit Unhooker LE 3.8.386.588 SR1




> added: callgates detector (thanks to Dreg)
> fixed: some application and driver bugs

----------


## marssx

Помогите пожалуйста разобраться, не могу понять, что происходит!? Установил Rootkit Unhooker  3.8.386.588 и после входа в программу постоянно вылетает синий экран..... Спровоцировать ЭТО может практически любое действие, как в самой программе (попытка копирования текста, сканирования, свернуть окно программы,...), так и вне её (попытка свернуть браузер).
      Заранее благодарен!

----------


## Rampant

Нужен минидамп на анализ - C:\WINDOWS\Minidump

----------


## avsdeg

Rootkit Unhooker LE 3.8.386.589 SR1



> fixed: incompatibilities with some 3rd party software


По поводу возможных ложных срабатываний антивирусов можно прочитать здесь.

----------


## gjf

Зарелизилась новая версия RkU3.8.388.590 SR2
MD5: 9851e184d15b4326b8a78262d413ca0f
SHA1: 85f028da197f7669eb36ece54aa67764c2ac8809

Standalone exe (удобен для рекомендации пользователям при сканировании)
MD5: 271ead1d88f23c65af7f0d3b0596d46f)
SHA1: ca51f559177cd09967586de34c7b22ceb560f4f4

Dll для русскоязычной локализации
local.dll MD5: c8feb0e9bf0530354fbe88af5decf0da

----------


## Alexander044

Сноски на русик не работают...

----------


## ALEX(XX)

> Сноски на русик не работают...


Всё нормально. Работает, только что скачал

----------


## niknik

Хотел скачать Dll для русскоязычной локализации Rootkit Unhooker, но ссылка не работает. Не могли бы Вы выложить ее снова. 
Заранее Вам благодарен

----------


## gjf

Это странно, что оффсайт не работает, но вот зеркало для последней версии.

----------


## niknik

Спасибо Вам gif за такой быстрый отзыв, но к сожалению эта dll не подходит для моей версии Rootkit Unhooker LE v3.8.431.552
Если Вам не будет в тягость, то дайте ссылку на этот Rootkit Unhooker.
Еще раз огромное Вам спасибо

----------


## gjf

RkU.3.8.388.590.7z

----------


## niknik

gif 
Я не только Вас замучал но и сам замучался. Дважды скачал файл по Вашей ссылке, но никак не могу его разархивировать с помошью 7-zip v 9.18. Появляется сообщение "Не удалось открыть файл как архив".  Размер архивного файла 634338 байт. Кроме того много раз пытался скачивать эту программу с других сайтов, но все безуспешно. Очень бы хотелось установить эту программу с local.dll полученную от Вас

----------


## zhelezyaka

У меня тоже Появляется сообщение "Не удалось открыть файл так как архив поврежден!!!!!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## alexRRR

Вот, у себя нашел RkU3.8.388.590:
http://rghost.ru/3498719

----------


## vladovs

Rootkit_Unh_.exe AhnLab-V3	2011.01.27.01	2011.01.27	Win-Trojan/Xema.variant  AVG	10.0.0.1190	2011.01.30	Generic20.AOQZ  CAT-QuickHeal	11.00	2011.01.30	(Suspicious) - DNAScan  ClamAV	0.96.4.0	2011.01.30	PUA.Packed.PECompact-1  eSafe	7.0.17.0	2011.01.27	Suspicious File  McAfee	5.400.0.1158	2011.01.30	Generic.dx!vqw  Norman	6.06.12	2011.01.30	W32/Smalltroj.ZLDS  nProtect	2011-01-18.01	2011.01.18	Trojan/W32.Agent.99328.GE  TrendMicro	9.120.0.1004	2011.01.30	PAK_Generic.001   MD5   : b44d543b43c81751530d3a5f333402c9 SHA1  : 1f90a298774ab03e2885b3722bd1854acb3d63fa SHA256: 80d6072fd41136781b4d11d6fff81e99e184e9e9228b92cc82  1d01c020c0d683    http://www.virustotal.com/file-scan/...683-1296392259

----------


## gjf

*vladovs*, и что Вы хотели сказать этим эпохальным сообщением?

----------


## vladovs

Собственно говоря, пытался попробовать утилиту, проверил на Вирустотал и обнаружил интересный результат. Удивило, что Макаффи тоже считает вредоносом, хотя, Макаффи и так все креки считает таковыми. Просто удивило количество антивирусов - 9. Ведь утилитка-то полезная. Теперь и запускать опасно ))))))) Можете развеять опасения?

----------


## gjf

Если качать утилиту с офсайта, она безопасна. Я же не знаю, что и откуда Вы скачали.

----------


## vladovs

в данной теме давались разные ссылки. подскажите, пожалуйста,правильную. ссылку для скачивания мне предложили на сайте техподдержики DrWeb (с одного из их сайтов)

----------


## gjf

http://www.kernelmode.info/ARKs/RkU3.8.388.590.rar

----------


## legion107

> http://www.kernelmode.info/ARKs/RkU3.8.388.590.rar


Ребята! А там правда вирус! Сейчас он у меня в карантине в антивируснике сидит.

----------


## Iron Monk

> Ребята! А там правда вирус! Сейчас он у меня в карантине в антивируснике сидит.


По этой ссылке, в архиве - чистый файл. Вирустотал...

----------


## gjf

Ссылка на последнюю версию. Развитие проекта приостановлено, так что ожидать апдейтов пока не приходится.

----------


## venus

загрузил, установил.
теперь он сидит у меня в процессах , не убивается и грузит цп на 90-100
видимого окна не появляется

----------


## Никита Соловьев

> загрузил, установил.
> теперь он сидит у меня в процессах , не убивается и грузит цп на 90-100
> видимого окна не появляется


А зачем Вы его запускали без надобности?

----------


## gjf

*venus*, сабж крайне не дружит с антивирусами, хипсами и прочим. Если их не отключать, то можете схватить даже бсод.

----------


## venus

> А зачем Вы его запускали без надобности?


Было подозрение на руткит, т.к. в АВЗ была маскировка процессов, а сам аВЗ ничего не находил.



> сабж крайне не дружит с антивирусами, хипсами и прочим. Если их не отключать, то можете схватить даже бсод.


Заметил. На втором компьютере запустился без проблем с отключенным антивирусом

----------


## Беттер

Есть ли еще у кого архивчик с обзором "*invisible_war.rar*" (АнтиРуткиты: Невидимая Война [EP_X0FF])? 
Сбросьте пожалуйста очень надо...

----------


## avsdeg

> Есть ли еще у кого архивчик с обзором "*invisible_war.rar*" (АнтиРуткиты: Невидимая Война [EP_X0FF])? 
> Сбросьте пожалуйста очень надо...


http://zalil.ru/31738155

----------


## Беттер

Большое спасибо!

----------

