Сравнительно новый антируткит китайского происхождения.
Блог, в котором сообщается о выходе новых версий (на китайском): http://huaidan.org/archives/2781.html
Последняя версия - 0.28.

Скачать: http://linxer.cn/download/XueTr.zip

Программа обновилась до версии 0.29.

Скачать: http://www15.piaodown.com/20090912/200904/XueTr.rar

Что-то у меня нет желания даже проверять этот антируткит. Неизвестно, антируткит это вообще или очередная подделка.
P.S. Название смешное)
Кто-нибудь попробовал его?

https://www.virustotal.com/ru/analisis/85a5bdf62ddc9bbf6f56381cd0d3049e1893d72b2eeac41c8d c7f643812fadf7-1258978119

Вышла новая версия 0.30. Скачать (http://forum.eviloctal.com/attachment.php?aid=12949).

Определенно хороший инструмент.
Например, перехваты IRP_MJ - если другие видят "неизвестного", этот называет виновника.
Взял в штат.

Вышла версия 0.32. Скачать (http://www.xuetr.com/download/XueTr.zip).

Также появился сайт (http://www.xuetr.com/) разработчика (на китайском языке).

Как и в менеджерах автозапуска, скажем, и в антируткитах несколько разная картина по определению и выводу информации... Два дня ломал голову над двумя компьютерами, на которых сабж в разделе Модули Кернела показывал красным Suspicius driver object, две штуки, а сохранять дампы отказывался. Снимать с памяти - пожалуйста, но они появлялись сразу же. Другие утилиты по теме не видели такого. Не знаю, сколько времены это продолжалось бы, - а должно было, потому что на обоих компах несколько месяцев назад были TDSS, и было подозрение, что это от них, - если бы по догадке не удалил sptd от Daemon Tools в.4. А, между прочим, sptd и spxx отображались отдельно. Удалил, и объектов сдуло как ветром. Кстати, на компьютере, где был Daemon Tools классической версии 3.47, "объектов" по сабжу не было.
Эти "объекты" говорят в пользу сабжа, или наоборот?

Дело не в Daemon Tools, а в SPTD (http://www.disc-tools.com/download/sptd). Трудно сказать, хорошо ли, что он их видит, или плохо: на этот драйвер все антируткиты реагируют специфично, дело привычки - это не замечать.

Кстати, последняя версия детектируется как Backdoor.Win32.Agent.aqld

Кстати, последняя версия детектируется как Backdoor.Win32.Agent.aqld

Кем?

Гриша, угадай с трёх раз ;)

Здравствуйте,

Это было ошибочное срабатывание.
Оно будет исправлено.
Благодарим Вас за помощь.


>> From: [email protected]
>> Sent: 07.03.2010 1:22:59
>> To: [email protected]
>> Subject: [VirLabSRF][False Alarm][M:1][LN:RU][L:0]
>>
>>
>> LANG: ru
>> email: [email protected]
>> product: KIS 9.0.0.736 abc
>> viruses_date: 07.03.2010
>>
>> description:
>> Вложение детектируется как Backdoor.Win32.Agent.aqld. На самом деле - это антируткит китайского производства, см. http://virusinfo.info/showthread.php?t=50823
>>
>> Загруженные файлы:
>> XueTr.zip

С уважением, Виталий Якутенко
Вирусный аналитик
ЗАО "Лаборатория Касперского"

Гриша, угадай с трёх раз

Я думал ты про sptd.sys :)

я тоже подумала про sptd ))

а на XueTr.exe сейчас ругаются 5из42 антивирусов: eSafe,McAfee+Artemis,Sophos,Sunbelt,Symantec -_-
VT (https://www.virustotal.com/ru/analisis/6aca2a5dedc04786ff47976d81d4909739478bc4da9655ec1e fc98cc3ed828d9-1267953333)

Гриша, Юльча, блин, видимо стал уже невнятно свои мысли выражать. Старею. Извините. Имелся в виду, конечно, сабж.

SPTD удалял после DT отдельно, разумеется. Который тоже не замечаю (а что, если на нем подцеплено что-нибудь ещё более руткитное, чем он сам, с самозащитой в порядке? :) ), но речь была о "подозрительных объектах типа драйвера", которых со старой версией DT (и sptd) нет. И о том, корректно ли сабж этих "подозрительных", кроме обычных sptd и sp??, определял. Если правильно, это будет плюсом по сравнению с аналогами, если нет - минусом.

Вышла версия 0.33. Скачать (http://xuetr.com/download/XueTr.zip).


2009-04-01 V0.33:
*Added Hot key enumeration feature
*Added Process's timer enumeration feature
*Added Windows Firewall rules display
*Fixed several bugs.

Вышла версия 0.34. Скачать (http://xuetr.com/download/XueTr.zip).


*Added MBR Rootkit detection feature
*Added Input Method Editor(IME) enumeration feature
*Added classpnp\atapi\acpi irp hook scan
*Fixed two potential BSODs
*Fixed several bugs.

а где русский можно скачать?

а где русский можно скачать?
Прога не переведена на русский язык.

Парень из MVP https://mvp.support.microsoft.com/default.aspx/profile=cb2530a1-0edb-41f6-8021-9dfdddbfe7b6
Говорит на lixer

The PTR associated with this record appears to be deliberately invalid (if no hostname is specified, it should fail resolution). Chances are high that this is a malicious IP.
Эти ресурсы , тем более всякие антивирусные и прочее не должны быть отмечены что на них могут быть вирусы, подозрение на трояны, тучи эксплойтов иначе мы туда не будем ходить, чем больше будет подозрений, тем меньше будем ходить :)

XueTr 0.35 (07.07.2010)


*Fixed one potential BSOD
*Fixed several bugs.

Гуглоперевод с китайского :)

Теперь реализованы следующие функции:
1. Процесс, нить, процесс модулей, окно процесса, процесса памяти, таймер, "горячие" клавиши для просмотра информации, убить процесс, убить поток, выгрузить модуль и другие функции
2. Ядро драйвера модуля просмотра в поддержку модуль ядра драйвер на память копию
3.SSDT, Тень SSDT, FSD, KBD, TCPIP, Classpnp, ATAPI, ACPI, SCSI, IDT информации зрения, и может обнаружить и восстановить SSDT крючок и встроенный крючок
4.CreateProcess, CreateThread, LoadImage, CmpCallback, BugCheckCallback Завершение работы ", Lego и т.д. Подписаться Оперативная информация зрения, а также поддержать устранение этих Подписаться на регулярной
5. Порт информацию мнению, нынешняя система не поддерживает 2000
6. Посмотреть сообщение крючок
7. Модулей ядра IAT, есть, встроенный крючок, патчи обнаружения и восстановления
8. Диска, объем, клавиатура, сетевой уровень драйвер фильтра тестирование и поддержку за удаление
9. Редактора реестра
10. Процесс IAT, есть, встроенный крючок, патчи обнаружения и восстановления
11. Файловая система мнению, поддержка основных файловых операций
12. Просмотреть (Edit) IE плагин, SPI, запуск, обслуживание, Host файла изображения заложников, ассоциации файлов, системные правила брандмауэра, IME
13.ObjectType Hook обнаружения и восстановления
14.DPC обнаружения и удаления таймера
15.MBR Rootkit обнаружения и исправления

Отказ: это бесплатный инструмент для оказания помощи малым, если вы используете этот инструмент, чтобы вы, прямо или косвенно причиной утраты, повреждения, я не отвечаю. Из-за использования мелких инструментов этого момента, вы, как считается, приняли этот отказ.
:D

http://xuetr.com/download/XueTr.zip

XueTr 0.36 (16.07.2010)


*Added GDT detection feature
*Added Object Hijack detection feature for detecting the TDL3 malware
*Fixed one potential BSOD

http://xuetr.com/download/XueTr.zip

XueTr 0.37


*Added mouse driver irp hook scan
*Added user32.ll:_apfnDispatch hook scan
*Added LSP/Safeboot repair feature
*Added list and remove feature for hidden reg
*Fixed several bugs.

http://xuetr.com/download/XueTr.zip

меня лично радует гугловский встроенный крючок)
ну а вообще программа наверняка стоит внимания.

XueTr 0.39


*Improved kernel hook scan
*Improved object hook scan
*Fixed several bugs.


xuetr.com/download/XueTr.zip

Xuetr 0.44

*Added computer examination feature
*Fixed several bugs.

http://xuetr.com/download/XueTr.zip
http://www.xuetr.com/download/XueTr_Cmd.zip

GUI-версия обновилась до 0.45, ссылка та же. Из изменений - только багфиксы.