-
Rootkit Unhooker
Утилита, предназначенная для обнаружения и удаления принадлежащих вредоносному ПО скрытых процессов и драйверов. Текущая версия 2.022.
Загрузить
Последний раз редактировалось HATTIFNATTOR; 09.10.2006 в 13:05.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Версия уже 3.0 Beta 2 (английская).
Плюс имеется собственный руткит для тестов антируткитов: http://www.rku.xell.ru/dl.php?fl=rk_demo_v12.zip
-
-
Full Member
- Вес репутации
- 64
Ребята, грузите самую последнюю Rootkit Unhooker v3.0 RC4
Есть мнение, хотите покритиковать (последнее не приветствуется ), вам сюда http://forum.xell.ru
Ring0 - the source of inspiration
-
Full Member
- Вес репутации
- 64
Любителям гонять тестовый руткит не с антируткитами посвящается
http://forum.xell.ru/viewtopic.php?t=109
Ring0 - the source of inspiration
-
EvilPhantasyRootkit Unhooker рулит,но есть вопросы. При запуске RkU3.01.100.360 (c RkU3.0.88.344 было то же самое, только, после нажатия OK во втором случае, был BSOD) :Rootkit Unhooker has detected parasite inside itself!It is recommended to remove parasite, okay?Parasite type: Unknown remote threadThread ID: (меняется с каждым запуском)Priority: 8жмем OK:Parasite removed, continue loading жмем OK:RkU запускаетсяжмем Отмена:Program integrity damaged!жмем OK:RkU запускаетсяТак и должно быть???
Последний раз редактировалось Dont.care.a.f!g; 23.01.2007 в 08:40.
-
Full Member
- Вес репутации
- 64
Супер программа SSM установлена?
Может быть IE7?
Ring0 - the source of inspiration
-
Супер программа SSM? Как расшифровывается аббревиатура?
IE7, а также семь антивирусов и шесть антитроянов и antispyware, но система работает стабильно.
-
Full Member
- Вес репутации
- 64
System Safety Monitor, очередная отечественная хипса. Ну раз, я так понимаю её нет, причина сообщения в IE7. Вообще можно взять Process Explorer с sysinternals и посмотреть стек этой remote thread. Есть много сообщений, что именно новый IE вызывает это сообщение. Вообще это довольно забавно, поскольку это значит, что модифицированные после установки IE компоненты винды теперь вставляют поток в каждый процесс. Мы бы давно посмотрели, но чего то нету у нас WGA-положительной винды.
p.s. Семь антивирусов и шесть антитроянов... на кой х такой зоопарк, там же поди весь user и kernel mode перехуканы на три раза? Это если и не глючит дает охрененный удар по производительности
Ring0 - the source of inspiration
-
Full Member
- Вес репутации
- 64
Parasite detected & IE7
После долгих поисков "нормального" ie7 он был получен и раздолбан. "Загадка" разгадана, каждый процесс, использующий wininet.dll (ie7 версии) получает дополнительный поток в advapi32.dll. На кой все это надо неизвестно и совершенно неинтересно узнавать. Следующая версия RkU будет включать исправление, добавляющее "совместимость" с internet explorer 7.
Ring0 - the source of inspiration
-
Старик, у тебя на сайте валяется демо-руткит Unreal.A 1.0.1.0
Че та я нее догоняю... я его скачал, запустил, нажал кнопец Инсталл... и чего?
Как мне увидеть что он реально запустился и работает?
Как ВИЗУАЛЬНО он должен проявляться (какие файлы скрывать или что еще делать)?
-
Если не ошибаюсь он спикером пищит
-
-
Full Member
- Вес репутации
- 64
спикером пищат rkdemo v1.0/1.1/1.2
анриал скрывает драйвер и ADS. драйвер переодически печатает в debug output строку >unreal
ADS этой версии анриал можно посмотреть только специализированными утилитами редактирования диска или специализированными антируткитами: RKU, GMER, IceSword - FileReg.
Ring0 - the source of inspiration
-
Complete scanning result of "UWl305774wc782.exe", received in VirusTotal at 02.19.2007, 17:27:47 (CET).
AntiVir 7.3.1.37 02.19.2007 no virus found
Authentium 4.93.8 02.19.2007 no virus found
Avast 4.7.936.0 02.19.2007 no virus found
AVG 386 02.18.2007 no virus found
BitDefender 7.2 02.19.2007 no virus found
CAT-QuickHeal 9.00 02.19.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 02.19.2007 no virus found
DrWeb 4.33 02.19.2007 no virus found
eSafe 7.0.14.0 02.19.2007 Suspicious Trojan/Worm
eTrust-Vet 30.4.3412 02.19.2007 no virus found
Ewido 4.0 02.19.2007 no virus found
FileAdvisor 1 02.19.2007 no virus found
Fortinet 2.85.0.0 02.19.2007 suspicious
F-Prot 4.2.1.29 02.16.2007 no virus found
F-Secure 6.70.13030.0 02.19.2007 no virus found
Ikarus T3.1.0.31 02.19.2007 no virus found
Kaspersky 4.0.2.24 02.19.2007 no virus found
McAfee 4965 02.16.2007 no virus found
Microsoft 1.2204 02.19.2007 no virus found
NOD32v2 2070 02.19.2007 no virus found
Norman 5.80.02 02.19.2007 no virus found
Panda 9.0.0.4 02.18.2007 no virus found
Prevx1 V2 02.19.2007 no virus found
Sophos 4.14.0 02.19.2007 no virus found
Sunbelt 2.2.907.0 02.17.2007 VIPRE.Suspicious
Symantec 10 02.19.2007 no virus found
TheHacker 6.1.6.060 02.19.2007 no virus found
UNA 1.83 02.16.2007 no virus found
VBA32 3.11.2 02.18.2007 suspected of Trojan-PSW.Pinch.7 (paranoid heuristics)
VirusBuster 4.3.19:9 02.19.2007 no virus found
Aditional Information
File size: 71168 bytes
MD5: 202cf16823dc113ea71e7f7f65e92ce7
SHA1: ba889fc011fa28946fd6ea6a88ce46c966d458b1
packers: PECOMPACT
packers: PecBundle, PECompact
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
Хехе , даже пинч =)
-
-
Сообщение от
EvilPhantasy
спикером пищат rkdemo v1.0/1.1/1.2
анриал скрывает драйвер и ADS. драйвер переодически печатает в debug output строку >unreal
ADS этой версии анриал можно посмотреть только специализированными утилитами редактирования диска или специализированными антируткитами: RKU, GMER, IceSword - FileReg.
Извини ламера , что есть ADS? И как мне эту debug output увидеть?
-
ADS это дополнительные потоки NTFS
-
-
Full Member
- Вес репутации
- 64
@Surfer
Антивирусы используют так называемую эвристику, если точнее, то это то что они понимают под этим словом. В их алгоритмах пакованное не широко распространенным пакером, к тому же со странным именем и маленьким размером автоматически становится подозрительным. На большее большинство из товарисЧей не способны.
@Flooter
DbgView
Ring0 - the source of inspiration
-
Full Member
- Вес репутации
- 64
Последняя версия RkU 3.30 здесь, http://rkunhooker1.narod.ru. Предупреждаю сразу - хостинг народ.ру, поэтому скорость очень медленная. На файл uninstallера и на файл сервиса может ругаться "антивирус" AntiVir, что-то типа Trojan Agent 6556, это проблемы товарищей из AntiVir.
Ring0 - the source of inspiration
-
а чё с прошлым сайтом, за что отрубили?
EvilPhantasy насамом деле спасибо, редко встретишь такое хорошее описание антируткитов, а то, то что пишут товарищи писавшие программу, понятное дело в большинстве своём с действительностью мало общего имеют..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Full Member
- Вес репутации
- 64
а чё с прошлым сайтом, за что отрубили?
Я перестал его спонсировать
EvilPhantasy насамом деле спасибо, редко встретишь такое хорошее описание антируткитов, а то, то что пишут товарищи писавшие программу, понятное дело в большинстве своём с действительностью мало общего имеют..
Просто мы всегда их разбираем по кусочкам в прямом смысле слова А в коде уж не наврешь как бы иногда не хотелось авторам
Ring0 - the source of inspiration
-
Junior Member
- Вес репутации
- 66
Скачал с http://rkunhooker1.narod.ru/ и поставил RKU(установка подозрительно долгая), проинсталлировал.
Запустил, посмотрел, вышел.
Потом antivir обнаружил два exe-ка в каталоге system32 и один в system volum. Детектит в них также Tr/Agent.6656. Это нормально?
Удалил их ручками. RKU работает и без них, новых не создает....