Всем привет!
Кто знает как работать с прогой Rootkit Unhooker version 3.31 build 150/420. Или может у кого русификатор есть, а то help на английском и разобраться не могу. Комп стал сильно тормозить и хочу посмотреть какие скрытые процессы его подвешивают.

Дык он же поддерживает русский язык.

Кста, есть неплохое сравнение антируткитов:
Основные результаты теста антируткитов на детектирование и лечение вредоносных программ (http://www.anti-malware.ru/index.phtml?part=tests&test=antirootkits)

Я что-то не нашел эту поддержку русского языка. Тесты просмотрел, вроде неплохая прога. Если есть другие предложения из личного опыта всегда рад их испробывать.

Жми Report--Scan, расставляй галочки и бросай сюда. А тут общими усилиями...

ОК. Сделаю.

Вообщем-то вот:
>SSDT State
>Processes
>Drivers
>Files
Suspect File: C:\Program Files\Opera AC\profile\cache4\opr017N9.gif Status: Hidden
Suspect File: C:\Program Files\Opera AC\profile\cache4\opr017NA.htm Status: Hidden
Suspect File: C:\Program Files\Opera AC\profile\cache4\opr017NB.htm Status: Hidden
>Hooks
tcpip.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xED693128 hook handler located in [lan2net.sys]
tcpip.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xED693154 hook handler located in [lan2net.sys]
tcpip.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xED693160 hook handler located in [lan2net.sys]
wanarp.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xEDCECB4C hook handler located in [lan2net.sys]
wanarp.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xEDCECB3C hook handler located in [lan2net.sys]
wanarp.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xEDCECB28 hook handler located in [lan2net.sys]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

Новый сайт http://rkunhooker1.narod.ru/
Последняя версия http://rkunhooker1.narod.ru/rkunhooker_v3/RkU3.31.150.420.rar
Локализация для послелней версии (входит языковой dll и справка на русском) http://rkunhooker1.narod.ru/addons/RkUnhooker_rus.zip

Небольшая тема на Вирусинфо http://virusinfo.info/showthread.php?t=6287
Бета-тестирование там же http://virusinfo.info/showthread.php?t=7603

Как работать с прогой - крайне осторожно. Пример: lan2net.sys от одноименной "стенки". Легально, ведь? Но программа должна перехватить все отклонения от стандарта, иначе ей грош цена будет.
Комп стал сильно тормозить - со всяким файерволлом может быть. Начал тормозить после установки Lan2Net?

Что до скрытых файлов в кеше Оперы - зачем они скрыты? Удалите, но сначала проверьте антивирусом.
_____________________________

Некоторые антивирусы могут указывать на троян Tr/Agent.6656. Это - сервис программы, создаваемый с запуском и удаляемый по завершении. Можно не опасаться.

Совместное использование с программами System Safety Monitor (SSM), Syser, SoftIce будет вести к BSOD
Одновременно с программой GMER Rootkit Unhooker не будет работать (вроде из-за эстетических причин :) )
"Также, совместимость с любыми другими антивирусами, фаерволами, мониторами не гарантируется (и не будет специально вводиться) ввиду невозможности предусмотреть ВСЕХ или даже часть точек конфликтов."

...Другая особенность RkU - возможность снять установленный перехват.
Внимание: в некоторых случаях операция восстановления может привести к аварийному завершению работы Windows.
Некоторые программы используют перехват кода в совершенно безобидных целях, так что их нельзя считать руткитами. Например - WinAmp, Media Player Classic, Dependency Walker и некоторые другие. Однако факт перехвата все же расценивается RkU как руткит-активность.

В: RkU показывает, что вся SSDT перехвачена ntoskrnl.exe + klif.sys. В чем дело?
О: Это Kaspersky Antivirus. Ложная тревога. Не снимайте перехваты с SSDT - это приведет к BSOD.

Erekle
Я думаю, что не обладая достаточными знаниями лучше не пользоваться этой прогой. А есть ли аналоги с более понятным интерфейсом и функциями, подобные этой программе, но более безопасными? Или все же поизучать данный продукт... . Может у кого есть опыт работы с этой прогой, и насколько она продуктивна?

Попробуй AVZ. Читай справку.

AVZ ver 4.25 уже гонял на компе, ничего интересного не выявил. Эта прога мне вообщем-то нравится, на других компах она мне очень помогла. Может это и не руткит..., тогда что?

Откуда знать-то? Ты даже проблему не описал.

Проблема в торможении компа. Попробую описать события:
после включения и непродолжительной работы, минут 10-15, в инете машина начинает долго открывать локальные папки, файлы - в частности word, excel, - долго думает при копировании и т.д.. Может это из-за браузера Opera AC, когда открыто много страниц? Хотя и после закрытия Oper-ы комп продолжает тормозить. Может что-то там кеширует, может что-то кого-то проверяет? Вот я и хотел какой-нить прожкой это увидеть.

Службы настроены.
Файл подкачки тоже.
Антивирь Nod32, файрволл Lan2net 1.9.

Конечно, пользоваться этой программой просто так нельзя. Для получения информации - да. А снимать перехваты - только при полной уверенности, что "прописался" руткит. Да и подобную вещь лучше сделать тем же АВЗ с рестарта.

Никто и не говорил, что это руткит. Тот, по идее, должен скрываться, а не тормозить на виду у всех. :) Другая зараза - свободно, целью многих то и есть, чтобы тормозить.
Но когда это началось? Lan2Net установлен давно? Это только чтобы исключить подозрения в его адрес.
У меня точно такая картина была в Вин98 после того, как сохранял много файлов (картинок), после этого Эксплорер и другие программы жутко тянули, даже после отключения ИЭ.

Самое простое - посмотреть, какой процесс загружает процессор (и, вполне возможно, та же Опера остаётся в памяти).

Прошу прощения за молчание - небыло возможности.
Erekle . Следуя Вашему совету (вообще мне надо было с этого и начинать), судя по диспетчеру Опера вешает полностью комп - 97-98%, но не могу понять почему и каким образом? Process Explorer показывает и dll-ы и дескрипторы, но в них надо уметь разбираться. Не подскажите, каким образом вычислить что именно в Опере так много потребляет ресурсов?

Это может внести ясность: проблема возникла на ровном месте без видимых причин, или после установки: антивируса, файерволла, или браузера?
Чтобы посмотреть, к чему (безрезультатно, то есть многократно, когда по адресу обращения ничего нет - или файла, или ключа реестра) обращается система или отдельное приложение, можно использовать ProcMon от SysIntenals (сразу при запуске он начинает мониторить обращения к файлам, реестру и потокам - главное - два первые). Брать можно здесь (http://download.sysinternals.com/Files/ProcessMonitor.zip). Однако это трудное дело (несколько тысяч строк), тем более, когда присутствует проблема того, что Опера после закрытия остаётся в памяти (так, да?).
Опера АС, насколько знаю, сделан на основе версии 9 и представляет некий комбайн - с джавой, Проксомитроном и так далее. У него и у обычной версии 9 часто проблемы - как по загрузке системы, так и со скриптами.

Я сам 3 дня назад запустил ради интереса версию Mini USB, тот, очевидно, разбудил спящего скрипт-чекера от портабелного же Касперского, с этим совпало удаление с диска в тот же день портабельного КАВ и, возможно, наличие не совсем правильных скриптов здесь на некоторых страницах (не уверен: раньше уведомлений от ИЭ не было, но появилось в тот день. Может быть, это просто в результате того, что Опера и КАВ напутали что-то в системе). В итоге три дня не могу настроить нормальную работу всего, что связано с XML, Jscript, VB скриптами и т. д.

К примеру, похожая проблема - http://forum.cosmostv.by/lofiversion/index.php/t30568.html
Никто не сталкивался с такой проблемой:
Опера 9
Когда я закрываю саму оперу, она остается в памяти и при этом забивает мне ЦП на 100%. Не важно сколько уже занято. Она забивает все остальное.
Opera с 9.0 и далее - имеет полный глюк на счет подгрузки проца. Твой вариант описан уже миллионы раз в нете. Но самый труднорешаемый - подгрузка проца на 70%-90% просто во время простоя оперы, когда в ней открыто несколько вкладок, которые были в прошлой сессии.

Если у вас такого пока небыло, то ждите - обязательно начнется.
Частично лечится так:
1. Сброс своего профайла в ноль (удалить Opera6.ini)
2. Установить в своем профайле для пункта History Navigation Mode вместо значения 1 значение 3 и перезапускаем оперу. (чтобы открыть управление проффайлом набираем в строке адреса: opera:config#UserPrefs|HistoryNavigationMode)
3. Любой файервал убивает ваш проц, запрещая опере открывать некоторые порты. Отключаем в файервале проверку оперы и ставим ее в доверенные. В каспере секьюрити 6 это - АнтиХакер - Настроки - Приложения - снимаем чек с Opera.exe и перезапускаем оперу.

У меня спасло действие 2 и 3. Но если с прошлой сессии вкладок более 15 то всеравно начинает грузить, приходится убавить вкладок и закрыть открыть оперу.

Также, глюк по нагрузке на проц, возникает при загрузке определенных страниц. Если на них много изображений, много скриптов, и еще не понятно почему на некоторых. В это время проц просто рвет на части итемпература у меня растет до 70 градусов.

Короче, глюковато зарелизили товарищи опера.
Но эти советы касаются активного браузера. Хотя можно подумать, что зависание в памяти не главное, а просто результат продолжения проблем, которые были до его закрытия, по инерции.
у меня иногда после закрытия Оперы (когда были токрыты некоторые страницы, но не со всеми так получается), то rundll32.exe просто вешает систему (загрузка ЦП 100%), приходиться убивать(причём в системе 2 таких совершенно одинаковых процесса, но только один вешает систему). Причём этот процесс так шалит уже после выгрузки Оперы из памяти (ещё так происходит после выхода из некоторых игр)
Можно проверить и на наличие двух rundll32.exe в процессах. Там упоминался и размер кеша. Да и решение может быть спрятано просто в правильных настройках того богатства, что есть в Опере АС... Пока ничего другого на ум не приходит.

Ситуация с открытыми вкладками следующая. Опера кеширует открытые сайты в оперативной памяти для быстрого серфа между вкладками.
И в зависимости от веса страничек память здорово загружается. Лечится установкой в настройках "кеш в памяти" примерно 4-10 Мб, не более.
И это не все. Дисковый кеш тоже желательно сделать меньше, примерно 50-100 Мб, иначе начинаются тормоза. Если у вас безлимитный интернет или дешевый, то можно и поставить галочку "очищать кеш при выходе".
Попробуй.

Лечится установкой в настройках "кеш в памяти"
Об этом кеше и не знал. Вполне возможно, это и есть решение.
Я думал о кеше на диске. У Мини-УСБ версии минимум настроек, а полноценную версию в последний раз включал 3 года назад. :)

Erekle
Проблема возникла, можно сказать, на ровном месте. Вспоминая и анализируя на данный момент работу компа можно с уверенностью сказать, что торможение было постепенным, по мере и продолжительности работы в инете. За прожку спасибо, кину её себе в коллекцию, надеюсь, что с ней разберусь. С rundll32.exe у меня все нормально - систему не вешает, по крайней мере в диспетчере не видно.
А если не помогут манипуляции с кеш-ом, то попробую то, что Вы нашли:
1. Сброс своего профайла в ноль (удалить Opera6.ini) 2. Установить в своем профайле для пункта History Navigation Mode вместо значения 1 значение 3 и перезапускаем оперу. (чтобы открыть управление проффайлом набираем в строке адреса: opera:config#UserPrefs|HistoryNavigationMode) 3. Любой файервал убивает ваш проц, запрещая опере открывать некоторые порты. Отключаем в файервале проверку оперы и ставим ее в доверенные. В каспере секьюрити 6 это - АнтиХакер - Настроки - Приложения - снимаем чек с Opera.exe и перезапускаем оперу.


Severny
Да, я тоже думал о кеше. Папка "profile" разрослась приличных размеров. "Кеш в памяти" у меня стояло "Автоматически" - поставил "10Мб", а дисковый - как стоял 20Мб, так и оставил пока. А так же поставил галочку "очищать кеш при выходе". После нажатия кнопки "очистить сейчас" папка "profile" уменьшилась в пять раз.



Вобщем через некоторое время отпишусь о результатах.

Загрузку процессора и памяти можно мониторить утилём от того-же Марка Руссиновича Process Explorer XP. Только по умолчанию не стоит показ загрузки памяти, нужно ставить в опциях. Неплохо было бы, если бы ты выложил здесь скрин с деревом процессов и, желательно, во время тормозов. Может у тебя "железные" процессы тормозят, которые не отображаются в стандартном Task Meneger.

Severny
Process Explorer-ом я "мониторил", и он так же показывал загрузку проца Оперой, только я не знал как использовать полученную информацию для уменьшения этой загрузки. Вобщем проблема с Оперой решилась путем очистки кеша в памяти Оперы.

У меня еще вот такой вопрос (это на другом компе): при запуске какой-либо программы, будь то Word, Excel, антивирь или 1С, приложение кажется зависшим или сильно тормозится. Диспетчер задач при этом показывает, что система бездействует. И, наблюдая за диспетчером задач, запущенное приложение как буд-то урывками работает. Такое ощущение, что его что-то блокирует. Может ли это происходить из-за ломовой 1С? AVZ при сканировании пишет подмену (пункт 1.2), сейчас не помню чего там, драйвером HASPNT.SYS, это драйвер 1С. Но в любом случае без этого драйвера работать 1С не будет.
И что может быть вэтом случае, и как с этим бороться?

Повторюсь о системе:
XP SP2, Office 2003 SP2, NOD32 (базы обновляются каждый день), фаера нет.