http://img165.imageshack.us/img165/7697/rkunhookersw3.gif

Утилита, предназначенная для обнаружения и удаления принадлежащих вредоносному ПО скрытых процессов и драйверов. Текущая версия 2.022.

Загрузить (http://www.rku.xell.ru/?l=e&a=dl)

Версия уже 3.0 Beta 2 (английская).
Плюс имеется собственный руткит для тестов антируткитов: http://www.rku.xell.ru/dl.php?fl=rk_demo_v12.zip

Ребята, грузите самую последнюю Rootkit Unhooker v3.0 RC4 (http://rku.xell.ru/dl.php?fl=RkU3.0.88.344.exe)

Есть мнение, хотите покритиковать (последнее не приветствуется :P ), вам сюда http://forum.xell.ru (http://forum.xell.ru/index.php?c=2)

Любителям гонять тестовый руткит не с антируткитами посвящается
http://forum.xell.ru/viewtopic.php?t=109

EvilPhantasyRootkit Unhooker рулит,но есть вопросы. При запуске RkU3.01.100.360 (c RkU3.0.88.344 было то же самое, только, после нажатия OK во втором случае, был BSOD) :Rootkit Unhooker has detected parasite inside itself!It is recommended to remove parasite, okay?Parasite type: Unknown remote threadThread ID: (меняется с каждым запуском)Priority: 8жмем OK:Parasite removed, continue loading жмем OK:RkU запускаетсяжмем Отмена:Program integrity damaged!жмем OK:RkU запускаетсяТак и должно быть???

Супер программа SSM установлена?
Может быть IE7?

Супер программа SSM? Как расшифровывается аббревиатура?
IE7, а также семь антивирусов и шесть антитроянов и antispyware, но система работает стабильно. :)

System Safety Monitor, очередная отечественная хипса. Ну раз, я так понимаю её нет, причина сообщения в IE7. Вообще можно взять Process Explorer с sysinternals и посмотреть стек этой remote thread. Есть много сообщений, что именно новый IE вызывает это сообщение. Вообще это довольно забавно, поскольку это значит, что модифицированные после установки IE компоненты винды теперь вставляют поток в каждый процесс. Мы бы давно посмотрели, но чего то нету у нас WGA-положительной винды.

p.s. Семь антивирусов и шесть антитроянов... на кой х такой зоопарк, там же поди весь user и kernel mode перехуканы на три раза? Это если и не глючит дает охрененный удар по производительности :)

Parasite detected & IE7

После долгих поисков "нормального" ie7 он был получен и раздолбан. "Загадка" разгадана, каждый процесс, использующий wininet.dll (ie7 версии) получает дополнительный поток в advapi32.dll. На кой все это надо неизвестно и совершенно неинтересно узнавать. Следующая версия RkU будет включать исправление, добавляющее "совместимость" с internet explorer 7.

Старик, у тебя на сайте валяется демо-руткит Unreal.A 1.0.1.0
Че та я нее догоняю... я его скачал, запустил, нажал кнопец Инсталл... и чего?
Как мне увидеть что он реально запустился и работает?
Как ВИЗУАЛЬНО он должен проявляться (какие файлы скрывать или что еще делать)?

Если не ошибаюсь он спикером пищит :D

спикером пищат rkdemo v1.0/1.1/1.2

анриал скрывает драйвер и ADS. драйвер переодически печатает в debug output строку >unreal

ADS этой версии анриал можно посмотреть только специализированными утилитами редактирования диска или специализированными антируткитами: RKU, GMER, IceSword - FileReg.

Complete scanning result of "UWl305774wc782.exe", received in VirusTotal at 02.19.2007, 17:27:47 (CET).

AntiVir 7.3.1.37 02.19.2007 no virus found
Authentium 4.93.8 02.19.2007 no virus found
Avast 4.7.936.0 02.19.2007 no virus found
AVG 386 02.18.2007 no virus found
BitDefender 7.2 02.19.2007 no virus found
CAT-QuickHeal 9.00 02.19.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 02.19.2007 no virus found
DrWeb 4.33 02.19.2007 no virus found
eSafe 7.0.14.0 02.19.2007 Suspicious Trojan/Worm
eTrust-Vet 30.4.3412 02.19.2007 no virus found
Ewido 4.0 02.19.2007 no virus found
FileAdvisor 1 02.19.2007 no virus found
Fortinet 2.85.0.0 02.19.2007 suspicious
F-Prot 4.2.1.29 02.16.2007 no virus found
F-Secure 6.70.13030.0 02.19.2007 no virus found
Ikarus T3.1.0.31 02.19.2007 no virus found
Kaspersky 4.0.2.24 02.19.2007 no virus found
McAfee 4965 02.16.2007 no virus found
Microsoft 1.2204 02.19.2007 no virus found
NOD32v2 2070 02.19.2007 no virus found
Norman 5.80.02 02.19.2007 no virus found
Panda 9.0.0.4 02.18.2007 no virus found
Prevx1 V2 02.19.2007 no virus found
Sophos 4.14.0 02.19.2007 no virus found
Sunbelt 2.2.907.0 02.17.2007 VIPRE.Suspicious
Symantec 10 02.19.2007 no virus found
TheHacker 6.1.6.060 02.19.2007 no virus found
UNA 1.83 02.16.2007 no virus found
VBA32 3.11.2 02.18.2007 suspected of Trojan-PSW.Pinch.7 (paranoid heuristics)
VirusBuster 4.3.19:9 02.19.2007 no virus found

Aditional Information
File size: 71168 bytes
MD5: 202cf16823dc113ea71e7f7f65e92ce7
SHA1: ba889fc011fa28946fd6ea6a88ce46c966d458b1
packers: PECOMPACT
packers: PecBundle, PECompact
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Хехе , даже пинч =)

спикером пищат rkdemo v1.0/1.1/1.2

анриал скрывает драйвер и ADS. драйвер переодически печатает в debug output строку >unreal

ADS этой версии анриал можно посмотреть только специализированными утилитами редактирования диска или специализированными антируткитами: RKU, GMER, IceSword - FileReg.

Извини ламера :'-( , что есть ADS? И как мне эту debug output увидеть?

ADS это дополнительные потоки NTFS

@Surfer

Антивирусы используют так называемую эвристику, если точнее, то это то что они понимают под этим словом. В их алгоритмах пакованное не широко распространенным пакером, к тому же со странным именем и маленьким размером автоматически становится подозрительным. На большее большинство из товарисЧей не способны.

@Flooter

DbgView

Последняя версия RkU 3.30 здесь, http://rkunhooker1.narod.ru. Предупреждаю сразу - хостинг народ.ру, поэтому скорость очень медленная. На файл uninstallера и на файл сервиса может ругаться "антивирус" AntiVir, что-то типа Trojan Agent 6556, это проблемы товарищей из AntiVir.

а чё с прошлым сайтом, за что отрубили?

EvilPhantasy насамом деле спасибо, редко встретишь такое хорошее описание антируткитов, а то, то что пишут товарищи писавшие программу, понятное дело в большинстве своём с действительностью мало общего имеют..

а чё с прошлым сайтом, за что отрубили?

Я перестал его спонсировать :)


EvilPhantasy насамом деле спасибо, редко встретишь такое хорошее описание антируткитов, а то, то что пишут товарищи писавшие программу, понятное дело в большинстве своём с действительностью мало общего имеют..

Просто мы всегда их разбираем по кусочкам в прямом смысле слова :) А в коде уж не наврешь как бы иногда не хотелось авторам :)

Скачал с http://rkunhooker1.narod.ru/ и поставил RKU(установка подозрительно долгая), проинсталлировал.
Запустил, посмотрел, вышел.
Потом antivir обнаружил два exe-ка в каталоге system32 и один в system volum. Детектит в них также Tr/Agent.6656. Это нормально?
Удалил их ручками. RKU работает и без них, новых не создает....

http://virusinfo.info/showpost.php?p=102096&postcount=17

Эту информацию видел и понял. Вопрос в другом: эти три файла являются частями драйвера RKU?
Они имеют законное право на существование?
Судя по хронологии инсталляции их поставил RKU....

Это сервис программы, строящий список видимых файлов при сканировании на предмет скрытых файлов. То что их было два в system32 означает, что программа была завершенна некорректно или помешали сторонние программы, т.к. при нормальном завершении основная программа RkU должна их удалить. В System Volume Information сервис попал по прихоти System Restore.

Это не троян, чтобы там антивирусы не орали каждый раз. В конце концов, это их сигнатурные проблемы не наши.

То что их было два в system32 означает, что программа была завершенна некорректно или помешали сторонние программы, т.к. при нормальном завершении основная программа RkU должна их удалить.
Их что, основная программа создаёт?
Меня интересовал комплект без инсталляции. Скопировал с ПрограмФайлз и Систем32, удалил программу. Она работает... В первый раз ("6656" был в это время только в другой папке, не в каталоге основного файла; и не в Систем32) сказала, что "драйвер уже загружен" и запустилась. И потом без разницы: скопирую "6656" в Систем32, или удалю оттуда и с резервной папки (так что остаётся только в ящике) - программа всё равно работает, скрытые файлы ищет без претензии. Другой вопрос, что дело долгое, ни разу не довёл до конца. Поэтому и не удостоверился, удаляет ли программа этот файл (файл с начала-то уже на "месте", и если вообще не буду включать этот пойск, он не удаляется)...

Программа работает без инсталяции, все необходимые файлы внутри, по принципу программ от Руссиновича. Инсталятор нужен лишь для создания иконок в Пуске и рандомизации имени приложения.

Ну, насчёт инсталлятора - это только обстоятельство, при котором появились вопросы (в свете цитаты): если "6656" должен удаляться, то как он появляется в следующий раз? Каким драйвером/службой руководствовалась программа, написав, что драйвер загружен, когда файла "9338CE7C" не было ни в System32, ни в папке программы. И как она искала потом скрытые файлы, если "9338CE7C" был только в ящике? Или у RkU есть скрытые файлы?

Публичная версия (которая в открытом download) RkU состоит из трех компонентов:

- главное приложение
- драйвер
- сервис

драйвер называется rkhdrvXX.sys, где XX номер версии

сервис называется по разному, в вашем случае 9338ce7c, каждый раз выбирается новое имя

приложение тоже называется случайным образом, это обусловлено, что некоторые китайские руткиты начали искать его по имени.

драйвер и сервис извлекаются из основного приложения, когда в них есть необходимость.

Сервис извлекается всегда, когда происходит сканирование скрытых файлов. После окончания работы он автоматически удаляется с диска.

Понятно - по необходимости. Должен был догадаться следить за создаваемыми файлами, тогда не спросил бы. Моя вина. :)

Спасибо за разъяснение. И за программу, само собой.

Публичная версия (которая в открытом download) RkU состоит из трех компонентов:

- главное приложение
- драйвер
- сервис

драйвер называется rkhdrvXX.sys, где XX номер версии

сервис называется по разному, в вашем случае 9338ce7c, каждый раз выбирается новое имя

приложение тоже называется случайным образом, это обусловлено, что некоторые китайские руткиты начали искать его по имени.
Кстати, а есть ли смысл с переименованием?
В конце концов имхо не сложно просканировать каталог, откуда запускается экзешник и поискать там строку rkhdrvXX.sys. А если нашли - считаем что данный файл и есть RkUnhooker. Это я к тому, что если переименовывать, то все сразу :)

А что за Приватная версия, чего там есть такого чего нету в публичной? ;)

В конце концов имхо не сложно просканировать каталог, откуда запускается экзешник и поискать там строку rkhdrvXX.sys.

Мда? В пакованном то виде? :)


А что за Приватная версия, чего там есть такого чего нету в публичной?

ну, например

1. Сканирование файловых систем через порты ввода-вывода
2. Реестр через предыдущее
3. Дополнительные вещи, которые не требуются обычным / продвинутым пользователям ;)

EvilPhantasy

А где можно скачать Ваш тестовый руткит о котором так много говорится на Вашем сайте? И есть ли у Вашей программы форум?
Внешне все выглядит просто замечательно, но необходимо больше информации.

SSDas

Форума нет и в ближайшее время не предвидится, так как это narod.ru и nm.ru

Оба руткита, возможно, будут в d/l летом, выйдут они вместе с четвертой версией RkU и по объективным причинам, раньше релиза программы они появиться не могут. Лично я был против досрочных заявлений и публикаций каких-либо скриншотов.

Первый руткит предназначен для тестирования ARK на поиск скрытых драйверов и полностью обходит антируткиты с такими методами поиска: PsLoadedModulesList, Object Directory, Drivers Objects, Device Objects, Objects Pool Brute-Force, сканирование памяти ядра на предмет PE заголовков, таблиц двордов, M$ NotifyRoutines (LoadImage, CreateThread), анализ двухсвязных списков, очередей драйверов.

Второй более интересен и сложен. По поводу его публикации все есть большие сомнения. В нем удалось реализовать практически абсолютно не поддающийся детектированию стелс файлов / реестра и patch-protection. Предупреждаю сразу, этот руткит не рекомендуется запускать на вашей настоящей машине, так как это может привести к непоправимым последствиям в случае ошибок.

Спасибо.

Кстати не могли бы Вы мне помочь здесь, раз уж форума нет. У меня установлено на компьютере две операционные системы WindowsXP SP2. Одна рабочая, старая с 2004 года работает как часы, на ней установлены все программы и выход во внешний мир. Так вот на ней Ваша программа работает замечательно. Другая же новая, на ней ничего не установлено и нету даже выхода в сеть. Система абсолютно чистая. AVZ выдает абсолютно чистые логи. Руткитов по данным других антируткитов нет. Но Ваш антируткит почему-то не запускается. Выдает ошибку:"Error loading data file". Причем драйвер он успевает загрузить до ошибки. Я теряюсь в догадках.

Баги / ограничения в текущей реализации парсера NTFS. Она разбирается самостоятельно через disk.sys минуя ntfs.sys.

После того как малвара начала лочить системные файлы на диске, не давая тем самым их проверить RkU был полностью переведен (v.3.31) на собственный парсер ntfs, абсолютно все. Как и ожидалось полезли баги. В следующей версии мы постараемся от этого избавиться.

Спасибо еще раз.

Если тыкнуть в какой-нибудь пункт меню то программа стабильно вешается, съедая при этом 100% CPU. Убить не могу ни через таск менеджер ни через процес эксплорер :(
Система WinXPSP2 Corp, NOD32.

Если тыкнуть в какой-нибудь пункт меню то программа стабильно вешается, съедая при этом 100% CPU. Убить не могу ни через таск менеджер ни через процес эксплорер :(
Система WinXPSP2 Corp, NOD32.
Попробуйте выгрузить нод32 из памяти , проблема исчезла ?

EvilPhantasy
В деле обнаружения руткитов Вы лучшие.
Может быть, как-то можно получить 4 версию RKU, а то уж очень хочется быть до конца уверенным в надежности функционирования тех компьютеров, которые я обслуживаю.

EvilPhantasy, на Win2k3 SP2 при попытке запуска RkU получаю:
Error loading driver, NTSTATUS code: C0000183.
Возникает вопрос: это лаг моей системы, или баг RkU?

EvilPhantasy

Просканился, пишет
!!Обнаружена возможная руткит-активность!! =)

:) Как я понимаю это скорее всего Касперский 7 даёт о себе знать ?
Ещё много всяких [unknown_code_page] , unknown page with executable code
В "драйверах" висят unknown_irp_handler, некоторые дрова пишутся не абсолютным путём - ни скопировать, ни снять дамп с них нельзя.

На всякий случай прилагаю лог, проанализируйте плз :))

Я отвечу на вопросы к EvilPhantasy, т.к. являюсь со-автором rku.

@SSDas

К несчастью вашу просьбу невозможно удовлетворить.


EvilPhantasy, на Win2k3 SP2 при попытке запуска RkU получаю:
Error loading driver, NTSTATUS code: C0000183.
Возникает вопрос: это лаг моей системы, или баг RkU?

Windows 2003 SP2 не поддерживается RkU ниже 3.7

@Surfer

Лог содержит список хуков Касперского и ZoneAlarm в SSDT/IAT/EAT. Плюс участки выполняемого кода вне видимых модулей в стелс-детекторе. Ничего необычного для систем с кав

pushick
Ясно, спасибо.
А можете реализовать ADS-редактор на уровне файловой системы, чтоб можно было просматривать и удалять ?
Это ведь тоже потенциальное логово руткитов.

This site hacked by Kaspersky Antivirus Labs team.

:D :D :D

http://rku.nm.ru/

http://rkunhooker1.narod.ru/
Кто-то больно юморной попался :)

Поискал и не нашел где можно скачать RKU старше 3.3.
Проект закрылся или его заблокировали авторы "Kaspersky Antivirus Labs team. "

См. здесь http://slil.ru/24900732/1285768269/RkU3.7.300.506.zip

Сайт rku.nm.ru в настоящее время не работает.

На сайте было выложен обзор АнтиРуткиты: Невидимая Война (EP_X0FF)

http://www.rku.nm.ru/invisible_war.rar (увы, не работает)

Просьба тем, у кого есть копия этого обзора, выложить ее в альтернативный доступ.

записал обзор вот сюда:
http://slil.ru/24920090

Rootkit Unhooker updated to 3.7.300.509

Changes:
fixed: (we hope) detection for several types of hooks
fixed: raw ntfs glitch at start
important: this version by default disables extended method of hidden processes detection, to enable it start rku from console with the following parameter "-hookswap" without quotes (e.g. Rku.exe -hookswap)

Download:
Rootkit Unhooker 3.7.300.509 (http://rku.nm.ru/rkunhooker_v3/RkU3.7.300.509.zip)
Mirror (http://rapidshare.com/files/60985996/RkU3.7.300.509.zip)

миниобзоре "инвизибл варс"

а можно попросить ссылочку или еще чего, а то как-то руки не дошли до прочтения..

нашел=)

Может ли кто-то помочь связаться в авторами Rootkit Unhooker ?
Есть ряд комерческих предложений.
Если это возможно напишите на xxxman At m17.biz
Либо в личку на форуме.

http://www.rootkits.ru/viewforum.php?id=14

EP_X0FF and Rootkit Unhooker уехали в Microsoft (с 4.1 версией). Мекрософт, скорее всего, бесплатно давать скачивать ее не будет). История повторяется, как некогда было и с Марком Руссиновичем.
http://www.antirootkit.com/blog/2007/12/23/ep_x0ff-and-rootkit-unhooker-off-to-microsoft/

Microsoft have just gained one of the best anti rootkit teams on the planet.
:)

Хмм, а разве эта фиговина лучшая ?
Вроде лучшим всегда был pjf.
Теперь ясно кому они ... место очень долго :)

У меня при загрузке выдает Ошибку: "02 Error loading data file"
Кто знает как исправить?

У меня при загрузке выдает Ошибку: "02 Error loading data file"
Кто знает как исправить?
Насколько я понял, это ошибка парсера NTFS. Не исключено, что дефрагментация и полная проверка диска поможет, но НЕ гарантирую.

Paul

Насколько я понял, это ошибка парсера NTFS. Не исключено, что дефрагментация и полная проверка диска поможет, но НЕ гарантирую.

Paul

Да, не помогло :) еще варианты есть?
Система Windows XP SP2 NTFS

Поскольку появление новых версий RkU не ожидается, то мне кажется полезным предупредить о неожиданной проблеме, возникшей при использовании этой программы.
Возникла она на пустом месте. Делается скан ПК, все хорошо, данные показываются на вкладке Report, жизнь чудесна.
Но настоящие чудеса начинаются при попытке сохранить этот отчет. Операция проходит, но результирующий файл имеет длину 0. Повторяем - снова 0. Опять повторяем - размер файла 31К. Открываем файл с якобы нулевой длиной в Блокноте - вся информация присутствует, сохраняем - размер 128К.

Используем chkdsk для проверки диска. Обнаруживаем ошибки в $BITMAP и еще чем-то. Запускаем chkdsk /F, планируем проверку при перезагрузке.

И вот она, перезагрузка. Отработал chkdsk, и ... BSOD. SESSION5_INITIALIZATION_FAILURE 0x71 (0 0 0 0)
Попытка загрузиться в Safe моде - неудачна. Единственное, что сработало: загрузка из Last Known Good.
Так что, теперь я рискну сохранять отчеты в RkU только на носитель, которого не жалко.

Утилита очень хороша, но у меня есть одна проблемка - после ее использования после перезагрузки система падает в BSOD. Проблема исходит от их драйвера rkhdrv40.sys. Причем как моинимум в 50% использования утилиты промсходит такая трабла при загрузке Винды. Поэтому после использования тулзы сразу отключаю ее драйвер с автозагруза, тогда все проходит тип-топ.

вышла новая версия Rootkit Unhooker LE v3.8.340.550
подробнее http://www.rootkit.com/newsread.php?newsid=902 и http://forum.sysinternals.com/forum_posts.asp?TID=11269&PID=75700
ссылка: http://rapidshare.com/files/133000654/RkU3.8.340.550.rar.html
http://rapidshare.com/files/134702156/2local.rar.html

added: bootkit (Sinowal/MaosBoot) hot start detection and removal (use with caution!! Possible damage of the MBR)
радует:)

выше линк на версию 3.8.340.550, а вот линк на версию 3.8.341.552:
http://rapidshare.com/files/136965760/RkU3.8.341.552.rar.html

а я нашел версию v3.8.342.554 (http://www.rootkit.com/vault/DiabloNova/RkU3.8.342.554.rar) :p

тут обсуждение (http://www.rootkit.com/board.php?thread=12403&did=edge902&disp=12403) этого апдейта.

Ну ничего... я сейчас тоже что-нибудь найду)))

А вообще хорошая программа?

Одна из лучших имхо..

а есть подробное описание на русском языке этой программы?

А что там не понятного? Если есть непонятки рекомендую почитать Марка Русиновича или Бозуэлла по внутреннему устройству Windows. Иначе она не только безполезна, но и опасна.

Русский интерфейс можно скачать здесь : http://www.rootkit.com/board.php?thread=12425&did=edge902&disp=12425&closed=1

Хотя какой толк от этого не совсем понятно.

Люди, выложите плиз еще раз "Invisible_war.rar". cпс.

и если у кого есть то и остальное с сайта rke (rk_demo, unreal.a) е.т.с.

да, да, я пишу еще 1н антируткит....

Хм... =)

http://rapidshare.com/files/215781745/invisible_war.rar.html

Спасибо )

http://www.rku.xell.ru/dl.php?fl=rk_demo_v12.zip

http://rku.xell.ru/dl.php?fl=RkU3.0.88.344.exe

http://www.rku.xell.ru/dl.php?fl=RkU3.01.100.360.exe

показывает: Internet Explorer не может отобразить эту веб-страницу

где можно еще загрузить эту прогу!???

http://www.rootkit.com/vault/DiabloNova/RkU3.8.342.554.rar
Локаль http://www.rootkit.com/vault/DiabloNova/Locals.rar

у меня Rootkit Unhooker нашел " >Перехваты ntkrnlpa.exe+0x0006EC6E, Тип: Inline - RelativeJump по адресу 0x80545C6E обработчик перехватчика расположен в [ntkrnlpa.exe] " - что это вирус или что????!!

в Report :
RkUnhooker report generator v0.7
==============================================
Rootkit Unhooker kernel version: 3.8.342.554
==============================================
Windows Major Version: 5
Windows Minor Version: 1
Windows Build Number: 2600
==============================================
>Состояние SSDT
==============================================
>Shadow
==============================================
>Процессы
Процесс: System
Id Процесса 4
Адрес EPROCESS: 0x863C4A00

Процесс: C:\Program Files\DrWeb\spidernt.exe
Id Процесса 452
Адрес EPROCESS: 0x85C89020

Процесс: C:\Program Files\DrWeb\spiderui.exe
Id Процесса 456
Адрес EPROCESS: 0x85C6EA88

Процесс: C:\WINDOWS\system32\smss.exe
Id Процесса 528
Адрес EPROCESS: 0x861C5670

Процесс: C:\WINDOWS\system32\csrss.exe
Id Процесса 576
Адрес EPROCESS: 0x8616EDA0

Процесс: C:\WINDOWS\system32\winlogon.exe
Id Процесса 600
Адрес EPROCESS: 0x862AE908

Процесс: C:\WINDOWS\system32\services.exe
Id Процесса 644
Адрес EPROCESS: 0x861A0550

Процесс: C:\WINDOWS\system32\lsass.exe
Id Процесса 656
Адрес EPROCESS: 0x85D53020

Процесс: C:\WINDOWS\system32\svchost.exe
Id Процесса 824
Адрес EPROCESS: 0x8613CDA0

Процесс: C:\WINDOWS\soundman.exe
Id Процесса 832
Адрес EPROCESS: 0x85C82BE0

Процесс: C:\WINDOWS\system32\svchost.exe
Id Процесса 868
Адрес EPROCESS: 0x861C3BF0

Процесс: C:\WINDOWS\system32\svchost.exe
Id Процесса 920
Адрес EPROCESS: 0x8618F848

Процесс: C:\WINDOWS\system32\svchost.exe
Id Процесса 1008
Адрес EPROCESS: 0x85DA62A0

Процесс: C:\WINDOWS\system32\svchost.exe
Id Процесса 1036
Адрес EPROCESS: 0x861646D8

Процесс: C:\Program Files\DrWeb\drwebscd.exe
Id Процесса 1100
Адрес EPROCESS: 0x85C2F9E0

Процесс: C:\WINDOWS\system32\spoolsv.exe
Id Процесса 1192
Адрес EPROCESS: 0x8616DA48

Процесс: C:\Program Files\Download Master\dmaster.exe
Id Процесса 1284
Адрес EPROCESS: 0x85C02020

Процесс: C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
Id Процесса 1312
Адрес EPROCESS: 0x85C69A60

Процесс: C:\WINDOWS\system32\rundll32.exe
Id Процесса 1340
Адрес EPROCESS: 0x85CA54F8

Процесс: C:\WINDOWS\system32\nvsvc32.exe
Id Процесса 1344
Адрес EPROCESS: 0x8615A560

Процесс: C:\Program Files\DrWeb\spiderml.exe
Id Процесса 1524
Адрес EPROCESS: 0x85C7A408

Процесс: C:\WINDOWS\system32\alg.exe
Id Процесса 1580
Адрес EPROCESS: 0x85D1E780

Процесс: C:\WINDOWS\system32\ctfmon.exe
Id Процесса 1732
Адрес EPROCESS: 0x85C30DA0

Процесс: C:\Program Files\DrWeb\drweb32w.exe
Id Процесса 1880
Адрес EPROCESS: 0x85BD4318

Процесс: C:\WINDOWS\explorer.exe
Id Процесса 2044
Адрес EPROCESS: 0x85CFE3B0

Процесс: D:\Others\Portable _programm\LE38\53LmPhp7oi3Qy.exe
Id Процесса 1164
Адрес EPROCESS: 0x85C38020

==============================================
>Драйверы
Драйвер: C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
Адрес: 0xF6CF2000
Размер: 6311936 байт

Драйвер: C:\WINDOWS\System32\nv4_disp.dll
Адрес: 0xBF012000
Размер: 6189056 байт

Драйвер: C:\WINDOWS\system32\drivers\ALCXWDM.SYS
Адрес: 0xF68CE000
Размер: 4112384 байт

Драйвер: C:\WINDOWS\system32\ntkrnlpa.exe
Адрес: 0x804D7000
Размер: 2150400 байт

Драйвер: PnpManager
Адрес: 0x804D7000
Размер: 2150400 байт

Драйвер: RAW
Адрес: 0x804D7000
Размер: 2150400 байт

Драйвер: WMIxWDM
Адрес: 0x804D7000
Размер: 2150400 байт

Драйвер: Win32k
Адрес: 0xBF800000
Размер: 1847296 байт

Драйвер: C:\WINDOWS\System32\win32k.sys
Адрес: 0xBF800000
Размер: 1847296 байт

Драйвер: Ntfs.sys
Адрес: 0xF739D000
Размер: 577536 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
Адрес: 0xF440E000
Размер: 458752 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\update.sys
Адрес: 0xF6795000
Размер: 385024 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\tcpip.sys
Адрес: 0xF4541000
Размер: 364544 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\srv.sys
Адрес: 0xBA349000
Размер: 335872 байт

Драйвер: C:\PROGRA~1\DrWeb\spider.sys
Адрес: 0xB9F03000
Размер: 307200 байт

Драйвер: C:\WINDOWS\System32\Drivers\HTTP.sys
Адрес: 0xB9E9A000
Размер: 266240 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\rdpdr.sys
Адрес: 0xF681B000
Размер: 196608 байт

Драйвер: ACPI.sys
Адрес: 0xF74E1000
Размер: 188416 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\mrxdav.sys
Адрес: 0xBA3EB000
Размер: 184320 байт

Драйвер: NDIS.sys
Адрес: 0xF7370000
Размер: 184320 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\rdbss.sys
Адрес: 0xF447E000
Размер: 176128 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\netbt.sys
Адрес: 0xF44F1000
Размер: 163840 байт

Драйвер: dmio.sys
Адрес: 0xF748B000
Размер: 155648 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\ipnat.sys
Адрес: 0xF44CB000
Размер: 155648 байт

Драйвер: C:\WINDOWS\System32\Drivers\Fastfat.SYS
Адрес: 0xB9C82000
Размер: 147456 байт

Драйвер: C:\WINDOWS\system32\drivers\portcls.sys
Адрес: 0xF68AA000
Размер: 147456 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\USBPORT.SYS
Адрес: 0xF6CBA000
Размер: 147456 байт

Драйвер: C:\WINDOWS\system32\drivers\ks.sys
Адрес: 0xF6887000
Размер: 143360 байт

Драйвер: C:\WINDOWS\System32\drivers\afd.sys
Адрес: 0xF44A9000
Размер: 139264 байт

Драйвер: ACPI_HAL
Адрес: 0x806E4000
Размер: 134400 байт

Драйвер: C:\WINDOWS\system32\hal.dll
Адрес: 0x806E4000
Размер: 134400 байт

Драйвер: fltMgr.sys
Адрес: 0xF7453000
Размер: 131072 байт

Драйвер: ftdisk.sys
Адрес: 0xF74B1000
Размер: 126976 байт

Драйвер: Mup.sys
Адрес: 0xF7356000
Размер: 106496 байт

Драйвер: atapi.sys
Адрес: 0xF7473000
Размер: 98304 байт

Драйвер: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Адрес: 0xF43B7000
Размер: 98304 байт

Драйвер: C:\Program Files\UltraISO\drivers\ISODrive.sys
Адрес: 0xF43F7000
Размер: 94208 байт

Драйвер: KSecDD.sys
Адрес: 0xF742A000
Размер: 94208 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\ndiswan.sys
Адрес: 0xF685C000
Размер: 94208 байт

Драйвер: C:\WINDOWS\system32\drivers\wdmaud.sys
Адрес: 0xBA08C000
Размер: 86016 байт

Драйвер: C:\DOCUME~1\Users\LOCALS~1\Temp\AH7s2j4W.sys
Адрес: 0xB9CA6000
Размер: 81920 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\parport.sys
Адрес: 0xF6873000
Размер: 81920 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS
Адрес: 0xF6CDE000
Размер: 81920 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\ipsec.sys
Адрес: 0xF459A000
Размер: 77824 байт

Драйвер: C:\WINDOWS\System32\drivers\dxg.sys
Адрес: 0xBF000000
Размер: 73728 байт

Драйвер: sr.sys
Адрес: 0xF7441000
Размер: 73728 байт

Драйвер: pci.sys
Адрес: 0xF74D0000
Размер: 69632 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\psched.sys
Адрес: 0xF684B000
Размер: 69632 байт

Драйвер: C:\WINDOWS\System32\Drivers\Cdfs.SYS
Адрес: 0xF7850000
Размер: 65536 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Адрес: 0xF7730000
Размер: 65536 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\serial.sys
Адрес: 0xF7700000
Размер: 65536 байт

Драйвер: C:\WINDOWS\system32\drivers\drmk.sys
Адрес: 0xF76F0000
Размер: 61440 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\redbook.sys
Адрес: 0xF7740000
Размер: 61440 байт

Драйвер: C:\WINDOWS\system32\drivers\sysaudio.sys
Адрес: 0xBA211000
Размер: 61440 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\usbhub.sys
Адрес: 0xF77C0000
Размер: 61440 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Адрес: 0xF7650000
Размер: 53248 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\i8042prt.sys
Адрес: 0xF7710000
Размер: 53248 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
Адрес: 0xF7750000
Размер: 53248 байт

Драйвер: VolSnap.sys
Адрес: 0xF7630000
Размер: 53248 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\raspptp.sys
Адрес: 0xF7770000
Размер: 49152 байт

Драйвер: C:\WINDOWS\System32\Drivers\Fips.SYS
Адрес: 0xF7820000
Размер: 45056 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\imapi.sys
Адрес: 0xF7720000
Размер: 45056 байт

Драйвер: MountMgr.sys
Адрес: 0xF7620000
Размер: 45056 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\raspppoe.sys
Адрес: 0xF7760000
Размер: 45056 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\intelppm.sys
Адрес: 0xF76E0000
Размер: 40960 байт

Драйвер: isapnp.sys
Адрес: 0xF7610000
Размер: 40960 байт

Драйвер: C:\WINDOWS\System32\Drivers\NDProxy.SYS
Адрес: 0xF77B0000
Размер: 40960 байт

Драйвер: PxHelp20.sys
Адрес: 0xF7660000
Размер: 40960 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\termdd.sys
Адрес: 0xF7790000
Размер: 40960 байт

Драйвер: disk.sys
Адрес: 0xF7640000
Размер: 36864 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS
Адрес: 0xF7840000
Размер: 36864 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\msgpc.sys
Адрес: 0xF7780000
Размер: 36864 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\netbios.sys
Адрес: 0xF7810000
Размер: 36864 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\wanarp.sys
Адрес: 0xF7800000
Размер: 36864 байт

Драйвер: C:\WINDOWS\System32\Drivers\Npfs.SYS
Адрес: 0xF7950000
Размер: 32768 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\usbehci.sys
Адрес: 0xF78D8000
Размер: 32768 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\fdc.sys
Адрес: 0xF78E8000
Размер: 28672 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\HIDPARSE.SYS
Адрес: 0xF7958000
Размер: 28672 байт

Драйвер: C:\WINDOWS\System32\Drivers\karlchen.SYS
Адрес: 0xF79D8000
Размер: 28672 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\kbdclass.sys
Адрес: 0xF78F0000
Размер: 28672 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Адрес: 0xF7890000
Размер: 28672 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\mouclass.sys
Адрес: 0xF7910000
Размер: 24576 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
Адрес: 0xF78E0000
Размер: 24576 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\usbuhci.sys
Адрес: 0xF78D0000
Размер: 24576 байт

Драйвер: C:\WINDOWS\System32\drivers\vga.sys
Адрес: 0xF7940000
Размер: 24576 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\flpydisk.sys
Адрес: 0xF7930000
Размер: 20480 байт

Драйвер: C:\WINDOWS\System32\Drivers\Msfs.SYS
Адрес: 0xF7948000
Размер: 20480 байт

Драйвер: PartMgr.sys
Адрес: 0xF7898000
Размер: 20480 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\ptilink.sys
Адрес: 0xF7900000
Размер: 20480 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\raspti.sys
Адрес: 0xF7908000
Размер: 20480 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\TDI.SYS
Адрес: 0xF78F8000
Размер: 20480 байт

Драйвер: C:\WINDOWS\System32\watchdog.sys
Адрес: 0xF7968000
Размер: 20480 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\mssmbios.sys
Адрес: 0xF7ACC000
Размер: 16384 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\ndisuio.sys
Адрес: 0xBA6F0000
Размер: 16384 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\serenum.sys
Адрес: 0xF7AA8000
Размер: 16384 байт

Драйвер: C:\WINDOWS\system32\BOOTVID.dll
Адрес: 0xF7A20000
Размер: 12288 байт

Драйвер: C:\WINDOWS\System32\drivers\Dxapi.sys
Адрес: 0xF45E5000
Размер: 12288 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\hidusb.sys
Адрес: 0xF67FF000
Размер: 12288 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\mouhid.sys
Адрес: 0xF67FB000
Размер: 12288 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\ndistapi.sys
Адрес: 0xF7AB0000
Размер: 12288 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\rasacd.sys
Адрес: 0xF732E000
Размер: 12288 байт

Драйвер: C:\WINDOWS\System32\drivers\ws2ifsl.sys
Адрес: 0xF731A000
Размер: 12288 байт

Драйвер: C:\WINDOWS\System32\Drivers\Beep.SYS
Адрес: 0xF7B26000
Размер: 8192 байт

Драйвер: dmload.sys
Адрес: 0xF7B14000
Размер: 8192 байт

Драйвер: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Адрес: 0xF7B2C000
Размер: 8192 байт

Драйвер: C:\WINDOWS\System32\Drivers\Fs_Rec.SYS
Адрес: 0xF7B24000
Размер: 8192 байт

Драйвер: C:\WINDOWS\system32\KDCOM.DLL
Адрес: 0xF7B10000
Размер: 8192 байт

Драйвер: C:\WINDOWS\System32\Drivers\mnmdd.SYS
Адрес: 0xF7B28000
Размер: 8192 байт

Драйвер: C:\WINDOWS\System32\Drivers\ParVdm.SYS
Адрес: 0xF7B6C000
Размер: 8192 байт

Драйвер: C:\WINDOWS\System32\DRIVERS\RDPCDD.sys
Адрес: 0xF7B2A000
Размер: 8192 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\swenum.sys
Адрес: 0xF7B16000
Размер: 8192 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\USBD.SYS
Адрес: 0xF7B1A000
Размер: 8192 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\WMILIB.SYS
Адрес: 0xF7B12000
Размер: 8192 байт

Драйвер: C:\WINDOWS\system32\DRIVERS\audstub.sys
Адрес: 0xF7C48000
Размер: 4096 байт

Драйвер: C:\WINDOWS\System32\drivers\dxgthk.sys
Адрес: 0xF7D27000
Размер: 4096 байт

Драйвер: C:\WINDOWS\System32\Drivers\Null.SYS
Адрес: 0xF7CB1000
Размер: 4096 байт

Драйвер: pciide.sys
Адрес: 0xF7BD8000
Размер: 4096 байт

==============================================
>Стелс
==============================================
>Файлы
==============================================
>Перехваты

ntkrnlpa.exe+0x0006EC6E, Тип: Inline - RelativeJump по адресу 0x80545C6E обработчик перехватчика расположен в [ntkrnlpa.exe]

есть подозрения? -> в "Помогите"

у меня аваст говорит что это троян ген!?

у меня аваст говорит что это троян ген!?

False...

Апдейт:
RkU v3.8 LE build 380/580 Service Release 1 @ Sep 15 2009, 13:56 (UTC+0) (http://www.rootkit.com/newsread_print.php?newsid=965)


Important:
This version doesn't contains significant detection improvements / innovations
It's service release targeting mostly support of the new Microsoft NT versions.

added: Windows 7 build 7600 (RTM) support
added: Windows Vista SP2 support
added: Window Hooks viewer (as promised to Twister in old 2008)
added: more callback types to explore / remove
updated: all build up with latest UG North RTL's
fixed: compatibility issue with VX/VX+ versions
fixed: drivers scanning for Vista SP1 / 2008
fixed: devices scanning for Vista SP1 / 2008
fixed: objects parsing for Vista SP1 / 2008
fixed: HAL related constant false positives
fixed: affect on program while some system unauthorized modification
fixed: Windows 2000 multiprocessor cores incompatibilities
fixed: Windows 2000 kernel routines bug
and some more stuff not listed in final release changelog

RkU3.8.380.580.exe
Installer file hashes

MD5 for RkU3.8.380.580.exe
66c0e6708f67c210892dcfd31c174e06

SHA-1 for RkU3.8.380.580.exe
453d98baaedd90e054be56d3b341ec935a238e49

SHA512 for RkU3.8.380.580.exe
6543ff9f6857f4d18a300d7698bf75deca4a472f281099e772 597b4d782e7dce
42abb19455b7d8643ee22aa4ac0d817fc72603d76dd64c284f 3ce0b4fbe3bb2d

Обновление Rootkit Unhooker LE 3.8.384.586 SR1 (http://www.rootkit.com/vault/DiabloNova/RkU3.8.384.586.rar).

Что нового по сравнению с билдом 380/580:


added: little fix for drivers scan
fixed: some application and driver bugs

added: unlinked dll's detection
fixed: BSOD under Vista/7
fixed: vulnerability reported by Fyyre

improved: stealth code detection (thanks NTInternals)
fixed: some bugs

fixed: Windows 2000 resources issue
fixed: turned on some disabled features from original 3.7 core

...и у драйвера теперь красивое имя - кактус такой есть. :)

Привет.
Народ помогите новичку.?!
Посоветуйте прогу на русском, сколько искал все иностранка.
Заранее спасибо.

А зачем Вам?
:)

есть рку на русском.

Veterwar скачивайте dll http://www.rootkit.com/vault/DiabloNova/rku_rus.rar - кидайте в ту папку где лежит Rootkit Unhooker и выбирайте язык!

Rootkit Unhooker LE 3.8.386.588 SR1 (http://www.rootkit.com/vault/DiabloNova/RkU3.8.386.588.rar)



added: callgates detector (thanks to Dreg)
fixed: some application and driver bugs

Помогите пожалуйста разобраться, не могу понять, что происходит!? Установил Rootkit Unhooker 3.8.386.588 и после входа в программу постоянно вылетает синий экран..... Спровоцировать ЭТО может практически любое действие, как в самой программе (попытка копирования текста, сканирования, свернуть окно программы,...), так и вне её (попытка свернуть браузер).
Заранее благодарен!

Нужен минидамп на анализ - C:\WINDOWS\Minidump

Rootkit Unhooker LE 3.8.386.589 SR1 (http://www.rootkit.com/vault/DiabloNova/RkU3.8.386.589.rar)

fixed: incompatibilities with some 3rd party software

По поводу возможных ложных срабатываний антивирусов можно прочитать здесь (http://forum.sysinternals.com/forum_posts.asp?TID=21910).

Зарелизилась новая версия RkU3.8.388.590 SR2 (http://www.rootkit.com/vault/DiabloNova/RkU3.8.388.590.rar)
MD5: 9851e184d15b4326b8a78262d413ca0f
SHA1: 85f028da197f7669eb36ece54aa67764c2ac8809

Standalone exe (http://www.rootkit.com/vault/DiabloNova/RKUnhookerLE.EXE) (удобен для рекомендации пользователям при сканировании)
MD5: 271ead1d88f23c65af7f0d3b0596d46f)
SHA1: ca51f559177cd09967586de34c7b22ceb560f4f4

Dll для русскоязычной локализации (http://www.rootkit.com/vault/DiabloNova/local.rar)
local.dll MD5: c8feb0e9bf0530354fbe88af5decf0da

Сноски на русик не работают...

Сноски на русик не работают...
Всё нормально. Работает, только что скачал

Хотел скачать Dll для русскоязычной локализации Rootkit Unhooker, но ссылка не работает. Не могли бы Вы выложить ее снова.
Заранее Вам благодарен

Это странно, что оффсайт не работает, но вот зеркало для последней версии (http://rghost.ru/3188482).

Спасибо Вам gif за такой быстрый отзыв, но к сожалению эта dll не подходит для моей версии Rootkit Unhooker LE v3.8.431.552
Если Вам не будет в тягость, то дайте ссылку на этот Rootkit Unhooker.
Еще раз огромное Вам спасибо

RkU.3.8.388.590.7z (http://rghost.ru/3189403)

gif
Я не только Вас замучал но и сам замучался. Дважды скачал файл по Вашей ссылке, но никак не могу его разархивировать с помошью 7-zip v 9.18. Появляется сообщение "Не удалось открыть файл как архив". Размер архивного файла 634338 байт. Кроме того много раз пытался скачивать эту программу с других сайтов, но все безуспешно. Очень бы хотелось установить эту программу с local.dll полученную от Вас

У меня тоже Появляется сообщение "Не удалось открыть файл так как архив поврежден!!!!! :girl_cray2:
http://savepic.net/174588m.jpg (http://savepic.net/174588.htm)

Вот, у себя нашел RkU3.8.388.590:
http://rghost.ru/3498719

Rootkit_Unh_.exe AhnLab-V3 2011.01.27.01 2011.01.27 Win-Trojan/Xema.variant AVG 10.0.0.1190 2011.01.30 Generic20.AOQZ CAT-QuickHeal 11.00 2011.01.30 (Suspicious) - DNAScan ClamAV 0.96.4.0 2011.01.30 PUA.Packed.PECompact-1 eSafe 7.0.17.0 2011.01.27 Suspicious File McAfee 5.400.0.1158 2011.01.30 Generic.dx!vqw Norman 6.06.12 2011.01.30 W32/Smalltroj.ZLDS nProtect 2011-01-18.01 2011.01.18 Trojan/W32.Agent.99328.GE TrendMicro 9.120.0.1004 2011.01.30 PAK_Generic.001 MD5 : b44d543b43c81751530d3a5f333402c9 SHA1 : 1f90a298774ab03e2885b3722bd1854acb3d63fa SHA256: 80d6072fd41136781b4d11d6fff81e99e184e9e9228b92cc82 1d01c020c0d683 http://www.virustotal.com/file-scan/report.html?id=80d6072fd41136781b4d11d6fff81e99e18 4e9e9228b92cc821d01c020c0d683-1296392259

vladovs, и что Вы хотели сказать этим эпохальным сообщением?

Собственно говоря, пытался попробовать утилиту, проверил на Вирустотал и обнаружил интересный результат. Удивило, что Макаффи тоже считает вредоносом, хотя, Макаффи и так все креки считает таковыми. Просто удивило количество антивирусов - 9. Ведь утилитка-то полезная. Теперь и запускать опасно ))))))) Можете развеять опасения?

Если качать утилиту с офсайта, она безопасна. Я же не знаю, что и откуда Вы скачали.

в данной теме давались разные ссылки. подскажите, пожалуйста,правильную. ссылку для скачивания мне предложили на сайте техподдержики DrWeb (с одного из их сайтов)

http://www.kernelmode.info/ARKs/RkU3.8.388.590.rar

http://www.kernelmode.info/ARKs/RkU3.8.388.590.rar

Ребята! А там правда вирус! Сейчас он у меня в карантине в антивируснике сидит.

Ребята! А там правда вирус! Сейчас он у меня в карантине в антивируснике сидит.
По этой ссылке, в архиве - чистый файл. Вирустотал... (http://www.virustotal.com/file-scan/report.html?id=63f42e12eb11a725b93cb56c8b3ccbbffcc 70091ed81d101e8187e105204b684-1307980457)

Ссылка на последнюю версию (http://rghost.ru/12100431). Развитие проекта приостановлено, так что ожидать апдейтов пока не приходится.

загрузил, установил.
теперь он сидит у меня в процессах , не убивается и грузит цп на 90-100
видимого окна не появляется

загрузил, установил.
теперь он сидит у меня в процессах , не убивается и грузит цп на 90-100
видимого окна не появляетсяА зачем Вы его запускали без надобности?

venus, сабж крайне не дружит с антивирусами, хипсами и прочим. Если их не отключать, то можете схватить даже бсод.

А зачем Вы его запускали без надобности?
Было подозрение на руткит, т.к. в АВЗ была маскировка процессов, а сам аВЗ ничего не находил.

сабж крайне не дружит с антивирусами, хипсами и прочим. Если их не отключать, то можете схватить даже бсод.
Заметил. На втором компьютере запустился без проблем с отключенным антивирусом

Есть ли еще у кого архивчик с обзором "invisible_war.rar" (АнтиРуткиты: Невидимая Война [EP_X0FF])?
Сбросьте пожалуйста очень надо...

Есть ли еще у кого архивчик с обзором "invisible_war.rar" (АнтиРуткиты: Невидимая Война [EP_X0FF])?
Сбросьте пожалуйста очень надо...

http://zalil.ru/31738155

Большое спасибо!