# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  > Антируткиты  >  XueTr

## avsdeg

Сравнительно новый антируткит китайского происхождения.
Блог, в котором сообщается о выходе новых версий (на китайском): http://huaidan.org/archives/2781.html
Последняя версия - 0.28.

Скачать: http://linxer.cn/download/XueTr.zip

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## avsdeg

Программа обновилась до версии 0.29.

Скачать: http://www15.piaodown.com/20090912/200904/XueTr.rar

----------


## craftix

Что-то у меня нет желания даже проверять этот антируткит. Неизвестно, антируткит это вообще или очередная подделка.
P.S. Название смешное)
Кто-нибудь попробовал его?

----------


## tnn

https://www.virustotal.com/ru/analis...df7-1258978119

----------


## avsdeg

Вышла новая версия 0.30. Скачать.

----------


## Erekle

Определенно хороший инструмент.
Например, перехваты IRP_MJ - если другие видят "неизвестного", этот называет виновника.
Взял в штат.

----------


## avsdeg

Вышла версия 0.32. Скачать.

Также появился сайт разработчика (на китайском языке).

----------


## Erekle

Как и в менеджерах автозапуска, скажем, и в антируткитах несколько разная картина по определению и выводу информации... Два дня ломал голову над двумя компьютерами, на которых сабж в разделе Модули Кернела показывал красным Suspicius driver object, две штуки, а сохранять дампы отказывался. Снимать с памяти - пожалуйста, но они появлялись сразу же. Другие утилиты по теме не видели такого. Не знаю, сколько времены это продолжалось бы, - а должно было, потому что на обоих компах несколько месяцев назад были TDSS, и было подозрение, что это от них, - если бы по догадке не удалил sptd от Daemon Tools в.4. А, между прочим, sptd и spxx отображались отдельно. Удалил, и объектов сдуло как ветром. Кстати, на компьютере, где был Daemon Tools классической версии 3.47, "объектов" по сабжу не было.
Эти "объекты" говорят в пользу сабжа, или наоборот?

----------


## gjf

Дело не в Daemon Tools, а в SPTD. Трудно сказать, хорошо ли, что он их видит, или плохо: на этот драйвер все антируткиты реагируют специфично, дело привычки - это не замечать.

Кстати, последняя версия детектируется как Backdoor.Win32.Agent.aqld

----------


## Гриша

> Кстати, последняя версия детектируется как Backdoor.Win32.Agent.aqld


Кем?

----------


## gjf

*Гриша*, угадай с трёх раз  :Wink: 



> Здравствуйте,
> 
> Это было ошибочное срабатывание.
> Оно будет исправлено.
> Благодарим Вас за помощь.
> 
> 
> >> From: [email protected]
> >> Sent: 07.03.2010 1:22:59
> ...

----------


## Гриша

> Гриша, угадай с трёх раз


Я думал ты про sptd.sys  :Smiley:

----------


## Юльча

я тоже подумала про sptd ))

а на XueTr.exe сейчас ругаются 5из42 антивирусов: eSafe,McAfee+Artemis,Sophos,Sunbelt,Symantec -_-
VT

----------


## gjf

*Гриша, Юльча,* блин, видимо стал уже невнятно свои мысли выражать. Старею. Извините. Имелся в виду, конечно, сабж.

----------


## Erekle

SPTD удалял после DT отдельно, разумеется. Который тоже не замечаю (а что, если на нем подцеплено что-нибудь ещё более руткитное, чем он сам, с самозащитой в порядке?  :Smiley:  ), но речь была о "подозрительных объектах типа драйвера", которых со старой версией DT (и sptd) нет. И о том, корректно ли сабж этих "подозрительных", кроме обычных sptd и sp??, определял. Если правильно, это будет плюсом по сравнению с аналогами, если нет - минусом.

----------


## avsdeg

Вышла версия 0.33. Скачать.




> 2009-04-01 V0.33:
> *Added Hot key enumeration feature
> *Added Process's timer enumeration feature
> *Added Windows Firewall rules display
> *Fixed several bugs.

----------


## avsdeg

Вышла версия 0.34. Скачать.




> *Added MBR Rootkit detection feature
> *Added Input Method Editor(IME) enumeration feature
> *Added classpnp\atapi\acpi irp hook scan
> *Fixed two potential BSODs
> *Fixed several bugs.

----------


## tar

а где русский можно скачать?

----------


## avsdeg

> а где русский можно скачать?


Прога не переведена на русский язык.

----------


## valho

Парень из MVP https://mvp.support.microsoft.com/de...1-9dfdddbfe7b6
Говорит на lixer



> The PTR associated with this record appears to be deliberately invalid (if no hostname is specified, it should fail resolution). Chances are high that this is a malicious IP.


Эти ресурсы , тем более всякие антивирусные и прочее не должны быть отмечены что на них могут быть вирусы, подозрение на трояны, тучи эксплойтов иначе мы туда не будем ходить, чем больше будет подозрений, тем меньше будем ходить  :Smiley:

----------


## Surfer

XueTr 0.35 (07.07.2010)




> *Fixed one potential BSOD
> *Fixed several bugs.


Гуглоперевод с китайского  :Smiley: 



> Теперь реализованы следующие функции: 
> 1. Процесс, нить, процесс модулей, окно процесса, процесса памяти, таймер, "горячие" клавиши для просмотра информации, убить процесс, убить поток, выгрузить модуль и другие функции 
> 2. Ядро драйвера модуля просмотра в поддержку модуль ядра драйвер на память копию 
> 3.SSDT, Тень SSDT, FSD, KBD, TCPIP, Classpnp, ATAPI, ACPI, SCSI, IDT информации зрения, и может обнаружить и восстановить SSDT крючок и встроенный крючок 
> 4.CreateProcess, CreateThread, LoadImage, CmpCallback, BugCheckCallback Завершение работы ", Lego и т.д. Подписаться Оперативная информация зрения, а также поддержать устранение этих Подписаться на регулярной 
> 5. Порт информацию мнению, нынешняя система не поддерживает 2000 
> 6. Посмотреть сообщение крючок 
> 7. Модулей ядра IAT, есть, встроенный крючок, патчи обнаружения и восстановления 
> 8. Диска, объем, клавиатура, сетевой уровень драйвер фильтра тестирование и поддержку за удаление 
> ...


 :Cheesy: 

http://xuetr.com/download/XueTr.zip

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Surfer

XueTr 0.36 (16.07.2010)




> *Added GDT detection feature
> *Added Object Hijack detection feature for detecting the *TDL3* malware
> *Fixed one potential BSOD


http://xuetr.com/download/XueTr.zip

----------


## avsdeg

XueTr 0.37



> *Added mouse driver irp hook scan
> *Added user32.ll:_apfnDispatch hook scan
> *Added LSP/Safeboot repair feature
> *Added list and remove feature for hidden reg
> *Fixed several bugs.


http://xuetr.com/download/XueTr.zip

----------


## Lavissa

меня лично радует гугловский встроенный крючок)
ну а вообще программа наверняка стоит внимания.

----------


## avsdeg

XueTr 0.39




> *Improved kernel hook scan
> *Improved object hook scan
> *Fixed several bugs.


xuetr.com/download/XueTr.zip

----------


## Vvvyg

Xuetr 0.44



> *Added computer examination feature
> *Fixed several bugs.


http://xuetr.com/download/XueTr.zip
http://www.xuetr.com/download/XueTr_Cmd.zip

----------


## Vvvyg

GUI-версия обновилась до 0.45, ссылка та же. Из изменений - только багфиксы.

----------

