EvilPhantasy
Просканился, пишет
!!Обнаружена возможная руткит-активность!! =)
Как я понимаю это скорее всего Касперский 7 даёт о себе знать ?
Ещё много всяких [unknown_code_page] , unknown page with executable code
В "драйверах" висят unknown_irp_handler, некоторые дрова пишутся не абсолютным путём - ни скопировать, ни снять дамп с них нельзя.
На всякий случай прилагаю лог, проанализируйте плз
Последний раз редактировалось Surfer; 20.07.2007 в 17:06.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Я отвечу на вопросы к EvilPhantasy, т.к. являюсь со-автором rku.
@SSDas
К несчастью вашу просьбу невозможно удовлетворить.
Windows 2003 SP2 не поддерживается RkU ниже 3.7Сообщение от Kuzz
@Surfer
Лог содержит список хуков Касперского и ZoneAlarm в SSDT/IAT/EAT. Плюс участки выполняемого кода вне видимых модулей в стелс-детекторе. Ничего необычного для систем с кав
pushick
Ясно, спасибо.
А можете реализовать ADS-редактор на уровне файловой системы, чтоб можно было просматривать и удалять ?
Это ведь тоже потенциальное логово руткитов.
This site hacked by Kaspersky Antivirus Labs team.
http://rku.nm.ru/
http://rkunhooker1.narod.ru/
Кто-то больно юморной попался
anti-malware.ru
Поискал и не нашел где можно скачать RKU старше 3.3.
Проект закрылся или его заблокировали авторы "Kaspersky Antivirus Labs team. "
Сайт rku.nm.ru в настоящее время не работает.
На сайте было выложен обзор АнтиРуткиты: Невидимая Война (EP_X0FF)
http://www.rku.nm.ru/invisible_war.rar (увы, не работает)
Просьба тем, у кого есть копия этого обзора, выложить ее в альтернативный доступ.
записал обзор вот сюда:
http://slil.ru/24920090
Rootkit Unhooker updated to 3.7.300.509
Changes:
fixed: (we hope) detection for several types of hooks
fixed: raw ntfs glitch at start
important: this version by default disables extended method of hidden processes detection, to enable it start rku from console with the following parameter "-hookswap" without quotes (e.g. Rku.exe -hookswap)
Download:
Rootkit Unhooker 3.7.300.509
Mirror
а можно попросить ссылочку или еще чего, а то как-то руки не дошли до прочтения..миниобзоре "инвизибл варс"
нашел=)
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
Может ли кто-то помочь связаться в авторами Rootkit Unhooker ?
Есть ряд комерческих предложений.
Если это возможно напишите на xxxman At m17.biz
Либо в личку на форуме.
EP_X0FF and Rootkit Unhooker уехали в Microsoft (с 4.1 версией). Мекрософт, скорее всего, бесплатно давать скачивать ее не будет). История повторяется, как некогда было и с Марком Руссиновичем.
http://www.antirootkit.com/blog/2007...-to-microsoft/
Microsoft have just gained one of the best anti rootkit teams on the planet.
Хмм, а разве эта фиговина лучшая ?
Вроде лучшим всегда был pjf.
Теперь ясно кому они ... место очень долго
Последний раз редактировалось ALEX(XX); 16.01.2008 в 18:26.
У меня при загрузке выдает Ошибку: "02 Error loading data file"
Кто знает как исправить?
Насколько я понял, это ошибка парсера NTFS. Не исключено, что дефрагментация и полная проверка диска поможет, но НЕ гарантирую.
Paul
Да, не помогло
Система Windows XP SP2 NTFS
Поскольку появление новых версий RkU не ожидается, то мне кажется полезным предупредить о неожиданной проблеме, возникшей при использовании этой программы.
Возникла она на пустом месте. Делается скан ПК, все хорошо, данные показываются на вкладке Report, жизнь чудесна.
Но настоящие чудеса начинаются при попытке сохранить этот отчет. Операция проходит, но результирующий файл имеет длину 0. Повторяем - снова 0. Опять повторяем - размер файла 31К. Открываем файл с якобы нулевой длиной в Блокноте - вся информация присутствует, сохраняем - размер 128К.
Используем chkdsk для проверки диска. Обнаруживаем ошибки в $BITMAP и еще чем-то. Запускаем chkdsk /F, планируем проверку при перезагрузке.
И вот она, перезагрузка. Отработал chkdsk, и ... BSOD. SESSION5_INITIALIZATION_FAILURE 0x71 (0 0 0 0)
Попытка загрузиться в Safe моде - неудачна. Единственное, что сработало: загрузка из Last Known Good.
Так что, теперь я рискну сохранять отчеты в RkU только на носитель, которого не жалко.
Ваши права в разделе
Ответить с цитированием
