Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Программное обеспечение Windows (http://forum.oszone.net/forumdisplay.php?f=7)
-   -   Rootkit Unhooker (http://forum.oszone.net/showthread.php?t=82924)

Aleks121 21-04-2007 13:08 577503

Rootkit Unhooker
 
Всем привет!
Кто знает как работать с прогой Rootkit Unhooker version 3.31 build 150/420. Или может у кого русификатор есть, а то help на английском и разобраться не могу. Комп стал сильно тормозить и хочу посмотреть какие скрытые процессы его подвешивают.

Greyman 21-04-2007 13:42 577525

Дык он же поддерживает русский язык.

Кста, есть неплохое сравнение антируткитов:
Основные результаты теста антируткитов на детектирование и лечение вредоносных программ

Aleks121 21-04-2007 15:12 577559

Я что-то не нашел эту поддержку русского языка. Тесты просмотрел, вроде неплохая прога. Если есть другие предложения из личного опыта всегда рад их испробывать.

Severny 21-04-2007 15:15 577561

Жми Report--Scan, расставляй галочки и бросай сюда. А тут общими усилиями...

Aleks121 21-04-2007 15:30 577565

ОК. Сделаю.

Aleks121 21-04-2007 16:20 577575

Вообщем-то вот:
>SSDT State
>Processes
>Drivers
>Files
Suspect File: C:\Program Files\Opera AC\profile\cache4\opr017N9.gif Status: Hidden
Suspect File: C:\Program Files\Opera AC\profile\cache4\opr017NA.htm Status: Hidden
Suspect File: C:\Program Files\Opera AC\profile\cache4\opr017NB.htm Status: Hidden
>Hooks
tcpip.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xED693128 hook handler located in [lan2net.sys]
tcpip.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xED693154 hook handler located in [lan2net.sys]
tcpip.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xED693160 hook handler located in [lan2net.sys]
wanarp.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xEDCECB4C hook handler located in [lan2net.sys]
wanarp.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xEDCECB3C hook handler located in [lan2net.sys]
wanarp.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xEDCECB28 hook handler located in [lan2net.sys]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

Erekle 21-04-2007 21:07 577699

Новый сайт http://rkunhooker1.narod.ru/
Последняя версия http://rkunhooker1.narod.ru/rkunhook...31.150.420.rar
Локализация для послелней версии (входит языковой dll и справка на русском) http://rkunhooker1.narod.ru/addons/RkUnhooker_rus.zip

Небольшая тема на Вирусинфо http://virusinfo.info/showthread.php?t=6287
Бета-тестирование там же http://virusinfo.info/showthread.php?t=7603

Как работать с прогой - крайне осторожно. Пример: lan2net.sys от одноименной "стенки". Легально, ведь? Но программа должна перехватить все отклонения от стандарта, иначе ей грош цена будет.
Комп стал сильно тормозить - со всяким файерволлом может быть. Начал тормозить после установки Lan2Net?

Что до скрытых файлов в кеше Оперы - зачем они скрыты? Удалите, но сначала проверьте антивирусом.
_____________________________

Некоторые антивирусы могут указывать на троян Tr/Agent.6656. Это - сервис программы, создаваемый с запуском и удаляемый по завершении. Можно не опасаться.

Совместное использование с программами System Safety Monitor (SSM), Syser, SoftIce будет вести к BSOD
Одновременно с программой GMER Rootkit Unhooker не будет работать (вроде из-за эстетических причин :) )
"Также, совместимость с любыми другими антивирусами, фаерволами, мониторами не гарантируется (и не будет специально вводиться) ввиду невозможности предусмотреть ВСЕХ или даже часть точек конфликтов."

Цитата:

...Другая особенность RkU - возможность снять установленный перехват.
Внимание: в некоторых случаях операция восстановления может привести к аварийному завершению работы Windows.
Некоторые программы используют перехват кода в совершенно безобидных целях, так что их нельзя считать руткитами. Например - WinAmp, Media Player Classic, Dependency Walker и некоторые другие. Однако факт перехвата все же расценивается RkU как руткит-активность.

В: RkU показывает, что вся SSDT перехвачена ntoskrnl.exe + klif.sys. В чем дело?
О: Это Kaspersky Antivirus. Ложная тревога. Не снимайте перехваты с SSDT - это приведет к BSOD.

Aleks121 23-04-2007 22:55 578604

Erekle
Я думаю, что не обладая достаточными знаниями лучше не пользоваться этой прогой. А есть ли аналоги с более понятным интерфейсом и функциями, подобные этой программе, но более безопасными? Или все же поизучать данный продукт... . Может у кого есть опыт работы с этой прогой, и насколько она продуктивна?

Severny 23-04-2007 23:12 578614

Попробуй AVZ. Читай справку.

Aleks121 23-04-2007 23:33 578624

AVZ ver 4.25 уже гонял на компе, ничего интересного не выявил. Эта прога мне вообщем-то нравится, на других компах она мне очень помогла. Может это и не руткит..., тогда что?

Severny 23-04-2007 23:52 578635

Откуда знать-то? Ты даже проблему не описал.

Aleks121 24-04-2007 00:37 578649

Проблема в торможении компа. Попробую описать события:
после включения и непродолжительной работы, минут 10-15, в инете машина начинает долго открывать локальные папки, файлы - в частности word, excel, - долго думает при копировании и т.д.. Может это из-за браузера Opera AC, когда открыто много страниц? Хотя и после закрытия Oper-ы комп продолжает тормозить. Может что-то там кеширует, может что-то кого-то проверяет? Вот я и хотел какой-нить прожкой это увидеть.

Службы настроены.
Файл подкачки тоже.
Антивирь Nod32, файрволл Lan2net 1.9.

Erekle 24-04-2007 01:50 578658

Конечно, пользоваться этой программой просто так нельзя. Для получения информации - да. А снимать перехваты - только при полной уверенности, что "прописался" руткит. Да и подобную вещь лучше сделать тем же АВЗ с рестарта.

Никто и не говорил, что это руткит. Тот, по идее, должен скрываться, а не тормозить на виду у всех. :) Другая зараза - свободно, целью многих то и есть, чтобы тормозить.
Но когда это началось? Lan2Net установлен давно? Это только чтобы исключить подозрения в его адрес.
У меня точно такая картина была в Вин98 после того, как сохранял много файлов (картинок), после этого Эксплорер и другие программы жутко тянули, даже после отключения ИЭ.

Самое простое - посмотреть, какой процесс загружает процессор (и, вполне возможно, та же Опера остаётся в памяти).

Aleks121 25-04-2007 10:20 579242

Прошу прощения за молчание - небыло возможности.
Erekle . Следуя Вашему совету (вообще мне надо было с этого и начинать), судя по диспетчеру Опера вешает полностью комп - 97-98%, но не могу понять почему и каким образом? Process Explorer показывает и dll-ы и дескрипторы, но в них надо уметь разбираться. Не подскажите, каким образом вычислить что именно в Опере так много потребляет ресурсов?

Erekle 25-04-2007 22:36 579578

Это может внести ясность: проблема возникла на ровном месте без видимых причин, или после установки: антивируса, файерволла, или браузера?
Чтобы посмотреть, к чему (безрезультатно, то есть многократно, когда по адресу обращения ничего нет - или файла, или ключа реестра) обращается система или отдельное приложение, можно использовать ProcMon от SysIntenals (сразу при запуске он начинает мониторить обращения к файлам, реестру и потокам - главное - два первые). Брать можно здесь. Однако это трудное дело (несколько тысяч строк), тем более, когда присутствует проблема того, что Опера после закрытия остаётся в памяти (так, да?).
Опера АС, насколько знаю, сделан на основе версии 9 и представляет некий комбайн - с джавой, Проксомитроном и так далее. У него и у обычной версии 9 часто проблемы - как по загрузке системы, так и со скриптами.

Я сам 3 дня назад запустил ради интереса версию Mini USB, тот, очевидно, разбудил спящего скрипт-чекера от портабелного же Касперского, с этим совпало удаление с диска в тот же день портабельного КАВ и, возможно, наличие не совсем правильных скриптов здесь на некоторых страницах (не уверен: раньше уведомлений от ИЭ не было, но появилось в тот день. Может быть, это просто в результате того, что Опера и КАВ напутали что-то в системе). В итоге три дня не могу настроить нормальную работу всего, что связано с XML, Jscript, VB скриптами и т. д.

К примеру, похожая проблема - http://forum.cosmostv.by/lofiversion...hp/t30568.html
Цитата:

Никто не сталкивался с такой проблемой:
Опера 9
Когда я закрываю саму оперу, она остается в памяти и при этом забивает мне ЦП на 100%. Не важно сколько уже занято. Она забивает все остальное.
Цитата:

Opera с 9.0 и далее - имеет полный глюк на счет подгрузки проца. Твой вариант описан уже миллионы раз в нете. Но самый труднорешаемый - подгрузка проца на 70%-90% просто во время простоя оперы, когда в ней открыто несколько вкладок, которые были в прошлой сессии.

Если у вас такого пока небыло, то ждите - обязательно начнется.
Частично лечится так:
1. Сброс своего профайла в ноль (удалить Opera6.ini)
2. Установить в своем профайле для пункта History Navigation Mode вместо значения 1 значение 3 и перезапускаем оперу. (чтобы открыть управление проффайлом набираем в строке адреса: opera:config#UserPrefs|HistoryNavigationMode)
3. Любой файервал убивает ваш проц, запрещая опере открывать некоторые порты. Отключаем в файервале проверку оперы и ставим ее в доверенные. В каспере секьюрити 6 это - АнтиХакер - Настроки - Приложения - снимаем чек с Opera.exe и перезапускаем оперу.

У меня спасло действие 2 и 3. Но если с прошлой сессии вкладок более 15 то всеравно начинает грузить, приходится убавить вкладок и закрыть открыть оперу.

Также, глюк по нагрузке на проц, возникает при загрузке определенных страниц. Если на них много изображений, много скриптов, и еще не понятно почему на некоторых. В это время проц просто рвет на части итемпература у меня растет до 70 градусов.

Короче, глюковато зарелизили товарищи опера.
Но эти советы касаются активного браузера. Хотя можно подумать, что зависание в памяти не главное, а просто результат продолжения проблем, которые были до его закрытия, по инерции.
Цитата:

у меня иногда после закрытия Оперы (когда были токрыты некоторые страницы, но не со всеми так получается), то rundll32.exe просто вешает систему (загрузка ЦП 100%), приходиться убивать(причём в системе 2 таких совершенно одинаковых процесса, но только один вешает систему). Причём этот процесс так шалит уже после выгрузки Оперы из памяти (ещё так происходит после выхода из некоторых игр)
Можно проверить и на наличие двух rundll32.exe в процессах. Там упоминался и размер кеша. Да и решение может быть спрятано просто в правильных настройках того богатства, что есть в Опере АС... Пока ничего другого на ум не приходит.

Severny 25-04-2007 22:57 579594

Ситуация с открытыми вкладками следующая. Опера кеширует открытые сайты в оперативной памяти для быстрого серфа между вкладками.
И в зависимости от веса страничек память здорово загружается. Лечится установкой в настройках "кеш в памяти" примерно 4-10 Мб, не более.
И это не все. Дисковый кеш тоже желательно сделать меньше, примерно 50-100 Мб, иначе начинаются тормоза. Если у вас безлимитный интернет или дешевый, то можно и поставить галочку "очищать кеш при выходе".
Попробуй.

Erekle 25-04-2007 23:15 579602

Цитата:

Лечится установкой в настройках "кеш в памяти"
Об этом кеше и не знал. Вполне возможно, это и есть решение.
Я думал о кеше на диске. У Мини-УСБ версии минимум настроек, а полноценную версию в последний раз включал 3 года назад.
:)

Aleks121 26-04-2007 11:20 579788

Erekle
Проблема возникла, можно сказать, на ровном месте. Вспоминая и анализируя на данный момент работу компа можно с уверенностью сказать, что торможение было постепенным, по мере и продолжительности работы в инете. За прожку спасибо, кину её себе в коллекцию, надеюсь, что с ней разберусь. С rundll32.exe у меня все нормально - систему не вешает, по крайней мере в диспетчере не видно.
А если не помогут манипуляции с кеш-ом, то попробую то, что Вы нашли:
Цитата:

1. Сброс своего профайла в ноль (удалить Opera6.ini) 2. Установить в своем профайле для пункта History Navigation Mode вместо значения 1 значение 3 и перезапускаем оперу. (чтобы открыть управление проффайлом набираем в строке адреса: opera:config#UserPrefs|HistoryNavigationMode) 3. Любой файервал убивает ваш проц, запрещая опере открывать некоторые порты. Отключаем в файервале проверку оперы и ставим ее в доверенные. В каспере секьюрити 6 это - АнтиХакер - Настроки - Приложения - снимаем чек с Opera.exe и перезапускаем оперу.

Severny
Да, я тоже думал о кеше. Папка "profile" разрослась приличных размеров. "Кеш в памяти" у меня стояло "Автоматически" - поставил "10Мб", а дисковый - как стоял 20Мб, так и оставил пока. А так же поставил галочку "очищать кеш при выходе". После нажатия кнопки "очистить сейчас" папка "profile" уменьшилась в пять раз.



Вобщем через некоторое время отпишусь о результатах.

Severny 26-04-2007 19:38 580026

Загрузку процессора и памяти можно мониторить утилём от того-же Марка Руссиновича Process Explorer XP. Только по умолчанию не стоит показ загрузки памяти, нужно ставить в опциях. Неплохо было бы, если бы ты выложил здесь скрин с деревом процессов и, желательно, во время тормозов. Может у тебя "железные" процессы тормозят, которые не отображаются в стандартном Task Meneger.

Aleks121 01-05-2007 15:39 581636

Severny
Process Explorer-ом я "мониторил", и он так же показывал загрузку проца Оперой, только я не знал как использовать полученную информацию для уменьшения этой загрузки. Вобщем проблема с Оперой решилась путем очистки кеша в памяти Оперы.

У меня еще вот такой вопрос (это на другом компе): при запуске какой-либо программы, будь то Word, Excel, антивирь или 1С, приложение кажется зависшим или сильно тормозится. Диспетчер задач при этом показывает, что система бездействует. И, наблюдая за диспетчером задач, запущенное приложение как буд-то урывками работает. Такое ощущение, что его что-то блокирует. Может ли это происходить из-за ломовой 1С? AVZ при сканировании пишет подмену (пункт 1.2), сейчас не помню чего там, драйвером HASPNT.SYS, это драйвер 1С. Но в любом случае без этого драйвера работать 1С не будет.
И что может быть вэтом случае, и как с этим бороться?

Повторюсь о системе:
XP SP2, Office 2003 SP2, NOD32 (базы обновляются каждый день), фаера нет.

Severny 01-05-2007 16:05 581651

Я ставил ломовую 1С и проблем особых не замечал. ИМХО, не в ней дело, если эмулятор ключа правильно стоит.
Опять же Process Explorer-ом надо посмотреть. Там два процесса (DPCs и Interrupts), отвечающие за взаимодействие с железом. Если на них какая-то нагрузка есть, то значит проблемы с дровами или железом. Эти процессы в стандартном Task Meneger не отображаются. Посмотри.
Также надо проверить режим передачи DMA или PIO на каналах, где хард висит. Если слетает в PIO, то работа с файлом подкачки становится практически невозможной. Отсюда тормоза. Сколько оперативы на компе? Если попробовать режим "Без файла подкачки"--тоже будут тормоза? (это если проблемы с DMA).
Третий вариант--попробуй отключить NOD с выгрузкой его из памяти и отключением службы (на время). Будут изменения?
Тоже самое проделай с фаером.
Промониторь все температуры программой Speedfan или Everest. Качай последние версии.
К примеру, если хард перегревается--запросто будет слетать в PIO или тормозить. А на нем файл подкачки, кстати.

Aleks121 01-05-2007 16:56 581675

Обязательно проделаю все варианты, т.к. нагрузка на эти процессы есть. А я думал, что так и должно быть. У меня и на этом компе (на котором счас сижу) нагрузка на Interrupts имеется, хотя вроде жалоб и не имю. Кстати не подскажешь - как вставить сюда снимок окна или экрана?

Severny 01-05-2007 17:31 581698

Включи внизу "Расширенный режим" и выкладывай в формате jpg.

Aleks121 01-05-2007 18:36 581749

ОК. Спасибо.

Severny 01-05-2007 19:17 581788

Ну не так сильно он у тебя загружен. А вот как выявлять проблемку--я не знаю. Если только отключать по одному девайсы.

Aleks121 02-05-2007 01:37 581949

Я решил, что вообще любая нагрузка - это не есть good
Цитата:

Там два процесса (DPCs и Interrupts), отвечающие за взаимодействие с железом. Если на них какая-то нагрузка есть, то значит проблемы с дровами или железом.
.

Еще мне вот эта тема попалась на глаза. Может и вправду винт начал сыпаться... Посмотрю заодно и винт.

Aleks121 04-05-2007 14:47 583030

Зависания решил переустановкой всех драйверов (есть такая на дисках - Express установка). Не знаю почему, но мне кажется, дрова модифицировались по мере обновлений от Microsoft. Может у кого было похожее, конфигурация такова:

Компьютер:
Тип компьютера Однопроцессорный компьютер с ACPI
Операционная система Microsoft Windows XP Professional
Пакет обновления ОС Service Pack 2
Internet Explorer 6.0.2900.2180 (IE 6.0 SP2)
DirectX 4.09.00.0904 (DirectX 9.0c)

Системная плата:
Тип ЦП Intel Celeron, 1717 MHz (17 x 101)
Системная плата Gigabyte GA-8LD533(-C) (3 PCI, 2 DDR DIMM, Audio, Video)
Чипсет системной платы Intel Brookdale-G i845GL
Системная память 247 Мб (PC2100 DDR SDRAM)
Тип BIOS Award Modular (11/26/02)

Видеоадаптер Intel(R) 82845G Graphics Controller (64 Мб)

Звуковой адаптер Intel 82801DB ICH4 - AC'97 Audio Controller [B-0]

Контроллер IDE Intel(R) 82801DB Ultra ATA Controller
Флоппи-накопитель Дисковод гибких дисков
Дисковый накопитель Maxtor 2F040L0 (40 Гб, 5400 RPM, Ultra-ATA/133)
Оптический дисковод SONY CD-RW CRX230ED (52x/32x/52x CD-RW)

!.. может я и не прав.

AnTul 15-09-2007 17:51 644037

Rootkit Unhooker - как полностью снести? Вроде как он забил мои СофтАйс с Сисер. Поставил в настройках "Расширенный режим" - а отключить не могу. Вешает ХР. В этом режиме, я так понимаю, он драйвер какой-то грузит? Какой? Я его ручками проихлопну.

Erekle 22-11-2007 02:38 683100

Вокруг проекта, и не только, большие страсти... Объявлено, что будет продолжена поддержка версии 3.х, а версия 4 никогда не выйдет для публичного пользования. Только теперь непонятно, где будет осуществляться эта поддержка, потому что "невидимая война", разгорающаяся за последний год, пероросла в активную фазу со взрывами, и в сентябре сайты RkU уничтожены, как говорилось, "командой ЛК".
Похоже, задать вопросы по программе можно только на разных форумах анти- и руткит-направленности, включая иностранные, где также кипит перепалка между разными группировками, :( включая внутренние разборы околохакерской тематики прошлих лет. :o
Среди прочего, российские оппоненты пытались доказать на форуме SysInternals, что RkU - сам бэкдор, точнее, оставляет лазейки в реестре после деинсталляции, - и нетрудно заметить, что это не очень удалось.

Последняя доступная версия - Rootkit Unhooker 3.7.300.509.
Цитата:

fixed: (we hope) detection for several types of hooks
fixed: raw ntfs glitch at start
important: this version by default disables extended method of hidden processes detection, to enable it start rku from console with the following parameter "-hookswap" without quotes (e.g. Rku.exe -hookswap)
Следует помнить, что последние версии (3.7.300.5хх) доделывались, очевидно, параллельно со "взрывами" и содержали баги, о чем сообщалось разработчикам на rootkits.ru. Этот выпуск, похоже, финальный среди этих испытательных версий.
______________________

И ещё: "Невидимая война" (среди анти-руткитов) - профессиональный разбор плюсов и (в большинстве :) ) минусов разных программ по жанру. Неспециалисту, как мне, трудно понять многое, но для общей оценки перед закачкой чего-либо будет полезным...

Erekle 22-11-2007 03:07 683109

Цитата:

Цитата AnTul
Rootkit Unhooker - как полностью снести? Вроде как он забил мои СофтАйс с Сисер. Поставил в настройках "Расширенный режим" - а отключить не могу. Вешает ХР. В этом режиме, я так понимаю, он драйвер какой-то грузит? Какой? Я его ручками проихлопну. »

Цитата:

Совместное использование с программами ...Syser, SoftIce будет вести к BSOD
Драйвер извлекался/грузился, и сервис запускался по ходу, когда это было нужно для конкретной задачи. После закрытия программы драйвер удалялся (не пришло в голову проверить - в корзину или мимо?) - так мне разъяснил один из разработчиков. Так что прихлопнуть (скопировать) можно только во время его существования.
_____________________________

Так было в в. 3.3. Что касается последней версии, УниверсальнымЭкстрактором, к примеру, извлекается из установочного файла файл помощи, сам RKUnhooker.EXE и RKUService.EXE. Но при установке выводится в деталях, что созданы файл помощи, uninstall.exe, 1pxKmGNlSHr20U.exe (=RKUnhooker.EXE, пройзвольное имя нужно для скрытия от потенциального врага) и тот же RKUService.EXE. Но где RKUService.EXE? Путь в деталях не указан, файла нет в каталоге установки и не отыскивается поиском, в т. ч. во время работы программы. Сама программа в сервисах показывает собственный драйвер - rkhdrv40.sys, что в System32/Drivers. Но его там нет ни на глаз, ни по поиску. :search: Маскировка от руткита? - :unsure: - хотя обвинения в плохом замысле касательно этого драйвера от оппонентов программы не встречал... Но это тоже полезно знать. :)


Время: 18:15.

Время: 18:15.
© OSzone.net 2001-