Rootkit Unhooker
 

Всем привет!
Кто знает как работать с прогой Rootkit Unhooker version 3.31 build 150/420. Или может у кого русификатор есть, а то help на английском и разобраться не могу. Комп стал сильно тормозить и хочу посмотреть какие скрытые процессы его подвешивают.

Дык он же поддерживает русский язык.

Кста, есть неплохое сравнение антируткитов:
Основные результаты теста антируткитов на детектирование и лечение вредоносных программ

Я что-то не нашел эту поддержку русского языка. Тесты просмотрел, вроде неплохая прога. Если есть другие предложения из личного опыта всегда рад их испробывать.

Жми Report--Scan, расставляй галочки и бросай сюда. А тут общими усилиями...

ОК. Сделаю.

Вообщем-то вот:
>SSDT State
>Processes
>Drivers
>Files
Suspect File: C:\Program Files\Opera AC\profile\cache4\opr017N9.gif Status: Hidden
Suspect File: C:\Program Files\Opera AC\profile\cache4\opr017NA.htm Status: Hidden
Suspect File: C:\Program Files\Opera AC\profile\cache4\opr017NB.htm Status: Hidden
>Hooks
tcpip.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xED693128 hook handler located in [lan2net.sys]
tcpip.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xED693154 hook handler located in [lan2net.sys]
tcpip.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xED693160 hook handler located in [lan2net.sys]
wanarp.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xEDCECB4C hook handler located in [lan2net.sys]
wanarp.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xEDCECB3C hook handler located in [lan2net.sys]
wanarp.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xEDCECB28 hook handler located in [lan2net.sys]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

Новый сайт http://rkunhooker1.narod.ru/
Последняя версия http://rkunhooker1.narod.ru/rkunhook...31.150.420.rar
Локализация для послелней версии (входит языковой dll и справка на русском) http://rkunhooker1.narod.ru/addons/RkUnhooker_rus.zip

Небольшая тема на Вирусинфо http://virusinfo.info/showthread.php?t=6287
Бета-тестирование там же http://virusinfo.info/showthread.php?t=7603

Как работать с прогой - крайне осторожно. Пример: lan2net.sys от одноименной "стенки". Легально, ведь? Но программа должна перехватить все отклонения от стандарта, иначе ей грош цена будет.
Комп стал сильно тормозить - со всяким файерволлом может быть. Начал тормозить после установки Lan2Net?

Что до скрытых файлов в кеше Оперы - зачем они скрыты? Удалите, но сначала проверьте антивирусом.
_____________________________

Некоторые антивирусы могут указывать на троян Tr/Agent.6656. Это - сервис программы, создаваемый с запуском и удаляемый по завершении. Можно не опасаться.

Совместное использование с программами System Safety Monitor (SSM), Syser, SoftIce будет вести к BSOD
Одновременно с программой GMER Rootkit Unhooker не будет работать (вроде из-за эстетических причин :) )
"Также, совместимость с любыми другими антивирусами, фаерволами, мониторами не гарантируется (и не будет специально вводиться) ввиду невозможности предусмотреть ВСЕХ или даже часть точек конфликтов."

Erekle
Я думаю, что не обладая достаточными знаниями лучше не пользоваться этой прогой. А есть ли аналоги с более понятным интерфейсом и функциями, подобные этой программе, но более безопасными? Или все же поизучать данный продукт... . Может у кого есть опыт работы с этой прогой, и насколько она продуктивна?

Попробуй AVZ. Читай справку.

AVZ ver 4.25 уже гонял на компе, ничего интересного не выявил. Эта прога мне вообщем-то нравится, на других компах она мне очень помогла. Может это и не руткит..., тогда что?

Откуда знать-то? Ты даже проблему не описал.

Проблема в торможении компа. Попробую описать события:
после включения и непродолжительной работы, минут 10-15, в инете машина начинает долго открывать локальные папки, файлы - в частности word, excel, - долго думает при копировании и т.д.. Может это из-за браузера Opera AC, когда открыто много страниц? Хотя и после закрытия Oper-ы комп продолжает тормозить. Может что-то там кеширует, может что-то кого-то проверяет? Вот я и хотел какой-нить прожкой это увидеть.

Службы настроены.
Файл подкачки тоже.
Антивирь Nod32, файрволл Lan2net 1.9.

Конечно, пользоваться этой программой просто так нельзя. Для получения информации - да. А снимать перехваты - только при полной уверенности, что "прописался" руткит. Да и подобную вещь лучше сделать тем же АВЗ с рестарта.

Никто и не говорил, что это руткит. Тот, по идее, должен скрываться, а не тормозить на виду у всех. :) Другая зараза - свободно, целью многих то и есть, чтобы тормозить.
Но когда это началось? Lan2Net установлен давно? Это только чтобы исключить подозрения в его адрес.
У меня точно такая картина была в Вин98 после того, как сохранял много файлов (картинок), после этого Эксплорер и другие программы жутко тянули, даже после отключения ИЭ.

Самое простое - посмотреть, какой процесс загружает процессор (и, вполне возможно, та же Опера остаётся в памяти).

Прошу прощения за молчание - небыло возможности.
Erekle . Следуя Вашему совету (вообще мне надо было с этого и начинать), судя по диспетчеру Опера вешает полностью комп - 97-98%, но не могу понять почему и каким образом? Process Explorer показывает и dll-ы и дескрипторы, но в них надо уметь разбираться. Не подскажите, каким образом вычислить что именно в Опере так много потребляет ресурсов?

Это может внести ясность: проблема возникла на ровном месте без видимых причин, или после установки: антивируса, файерволла, или браузера?
Чтобы посмотреть, к чему (безрезультатно, то есть многократно, когда по адресу обращения ничего нет - или файла, или ключа реестра) обращается система или отдельное приложение, можно использовать ProcMon от SysIntenals (сразу при запуске он начинает мониторить обращения к файлам, реестру и потокам - главное - два первые). Брать можно здесь. Однако это трудное дело (несколько тысяч строк), тем более, когда присутствует проблема того, что Опера после закрытия остаётся в памяти (так, да?).
Опера АС, насколько знаю, сделан на основе версии 9 и представляет некий комбайн - с джавой, Проксомитроном и так далее. У него и у обычной версии 9 часто проблемы - как по загрузке системы, так и со скриптами.

Я сам 3 дня назад запустил ради интереса версию Mini USB, тот, очевидно, разбудил спящего скрипт-чекера от портабелного же Касперского, с этим совпало удаление с диска в тот же день портабельного КАВ и, возможно, наличие не совсем правильных скриптов здесь на некоторых страницах (не уверен: раньше уведомлений от ИЭ не было, но появилось в тот день. Может быть, это просто в результате того, что Опера и КАВ напутали что-то в системе). В итоге три дня не могу настроить нормальную работу всего, что связано с XML, Jscript, VB скриптами и т. д.

К примеру, похожая проблема - http://forum.cosmostv.by/lofiversion...hp/t30568.html
Но эти советы касаются активного браузера. Хотя можно подумать, что зависание в памяти не главное, а просто результат продолжения проблем, которые были до его закрытия, по инерции.
Можно проверить и на наличие двух rundll32.exe в процессах. Там упоминался и размер кеша. Да и решение может быть спрятано просто в правильных настройках того богатства, что есть в Опере АС... Пока ничего другого на ум не приходит.

Ситуация с открытыми вкладками следующая. Опера кеширует открытые сайты в оперативной памяти для быстрого серфа между вкладками.
И в зависимости от веса страничек память здорово загружается. Лечится установкой в настройках "кеш в памяти" примерно 4-10 Мб, не более.
И это не все. Дисковый кеш тоже желательно сделать меньше, примерно 50-100 Мб, иначе начинаются тормоза. Если у вас безлимитный интернет или дешевый, то можно и поставить галочку "очищать кеш при выходе".
Попробуй.

Об этом кеше и не знал. Вполне возможно, это и есть решение.
Я думал о кеше на диске. У Мини-УСБ версии минимум настроек, а полноценную версию в последний раз включал 3 года назад. :)

Erekle
Проблема возникла, можно сказать, на ровном месте. Вспоминая и анализируя на данный момент работу компа можно с уверенностью сказать, что торможение было постепенным, по мере и продолжительности работы в инете. За прожку спасибо, кину её себе в коллекцию, надеюсь, что с ней разберусь. С rundll32.exe у меня все нормально - систему не вешает, по крайней мере в диспетчере не видно.
А если не помогут манипуляции с кеш-ом, то попробую то, что Вы нашли:

Severny
Да, я тоже думал о кеше. Папка "profile" разрослась приличных размеров. "Кеш в памяти" у меня стояло "Автоматически" - поставил "10Мб", а дисковый - как стоял 20Мб, так и оставил пока. А так же поставил галочку "очищать кеш при выходе". После нажатия кнопки "очистить сейчас" папка "profile" уменьшилась в пять раз.



Вобщем через некоторое время отпишусь о результатах.

Загрузку процессора и памяти можно мониторить утилём от того-же Марка Руссиновича Process Explorer XP. Только по умолчанию не стоит показ загрузки памяти, нужно ставить в опциях. Неплохо было бы, если бы ты выложил здесь скрин с деревом процессов и, желательно, во время тормозов. Может у тебя "железные" процессы тормозят, которые не отображаются в стандартном Task Meneger.

Severny
Process Explorer-ом я "мониторил", и он так же показывал загрузку проца Оперой, только я не знал как использовать полученную информацию для уменьшения этой загрузки. Вобщем проблема с Оперой решилась путем очистки кеша в памяти Оперы.

У меня еще вот такой вопрос (это на другом компе): при запуске какой-либо программы, будь то Word, Excel, антивирь или 1С, приложение кажется зависшим или сильно тормозится. Диспетчер задач при этом показывает, что система бездействует. И, наблюдая за диспетчером задач, запущенное приложение как буд-то урывками работает. Такое ощущение, что его что-то блокирует. Может ли это происходить из-за ломовой 1С? AVZ при сканировании пишет подмену (пункт 1.2), сейчас не помню чего там, драйвером HASPNT.SYS, это драйвер 1С. Но в любом случае без этого драйвера работать 1С не будет.
И что может быть вэтом случае, и как с этим бороться?

Повторюсь о системе:
XP SP2, Office 2003 SP2, NOD32 (базы обновляются каждый день), фаера нет.

Я ставил ломовую 1С и проблем особых не замечал. ИМХО, не в ней дело, если эмулятор ключа правильно стоит.
Опять же Process Explorer-ом надо посмотреть. Там два процесса (DPCs и Interrupts), отвечающие за взаимодействие с железом. Если на них какая-то нагрузка есть, то значит проблемы с дровами или железом. Эти процессы в стандартном Task Meneger не отображаются. Посмотри.
Также надо проверить режим передачи DMA или PIO на каналах, где хард висит. Если слетает в PIO, то работа с файлом подкачки становится практически невозможной. Отсюда тормоза. Сколько оперативы на компе? Если попробовать режим "Без файла подкачки"--тоже будут тормоза? (это если проблемы с DMA).
Третий вариант--попробуй отключить NOD с выгрузкой его из памяти и отключением службы (на время). Будут изменения?
Тоже самое проделай с фаером.
Промониторь все температуры программой Speedfan или Everest. Качай последние версии.
К примеру, если хард перегревается--запросто будет слетать в PIO или тормозить. А на нем файл подкачки, кстати.

Обязательно проделаю все варианты, т.к. нагрузка на эти процессы есть. А я думал, что так и должно быть. У меня и на этом компе (на котором счас сижу) нагрузка на Interrupts имеется, хотя вроде жалоб и не имю. Кстати не подскажешь - как вставить сюда снимок окна или экрана?

Включи внизу "Расширенный режим" и выкладывай в формате jpg.

ОК. Спасибо.

Ну не так сильно он у тебя загружен. А вот как выявлять проблемку--я не знаю. Если только отключать по одному девайсы.

Я решил, что вообще любая нагрузка - это не есть good .

Еще мне вот эта тема попалась на глаза. Может и вправду винт начал сыпаться... Посмотрю заодно и винт.

Зависания решил переустановкой всех драйверов (есть такая на дисках - Express установка). Не знаю почему, но мне кажется, дрова модифицировались по мере обновлений от Microsoft. Может у кого было похожее, конфигурация такова:

Компьютер:
Тип компьютера Однопроцессорный компьютер с ACPI
Операционная система Microsoft Windows XP Professional
Пакет обновления ОС Service Pack 2
Internet Explorer 6.0.2900.2180 (IE 6.0 SP2)
DirectX 4.09.00.0904 (DirectX 9.0c)

Системная плата:
Тип ЦП Intel Celeron, 1717 MHz (17 x 101)
Системная плата Gigabyte GA-8LD533(-C) (3 PCI, 2 DDR DIMM, Audio, Video)
Чипсет системной платы Intel Brookdale-G i845GL
Системная память 247 Мб (PC2100 DDR SDRAM)
Тип BIOS Award Modular (11/26/02)

Видеоадаптер Intel(R) 82845G Graphics Controller (64 Мб)

Звуковой адаптер Intel 82801DB ICH4 - AC'97 Audio Controller [B-0]

Контроллер IDE Intel(R) 82801DB Ultra ATA Controller
Флоппи-накопитель Дисковод гибких дисков
Дисковый накопитель Maxtor 2F040L0 (40 Гб, 5400 RPM, Ultra-ATA/133)
Оптический дисковод SONY CD-RW CRX230ED (52x/32x/52x CD-RW)

!.. может я и не прав.

Rootkit Unhooker - как полностью снести? Вроде как он забил мои СофтАйс с Сисер. Поставил в настройках "Расширенный режим" - а отключить не могу. Вешает ХР. В этом режиме, я так понимаю, он драйвер какой-то грузит? Какой? Я его ручками проихлопну.

Вокруг проекта, и не только, большие страсти... Объявлено, что будет продолжена поддержка версии 3.х, а версия 4 никогда не выйдет для публичного пользования. Только теперь непонятно, где будет осуществляться эта поддержка, потому что "невидимая война", разгорающаяся за последний год, пероросла в активную фазу со взрывами, и в сентябре сайты RkU уничтожены, как говорилось, "командой ЛК".
Похоже, задать вопросы по программе можно только на разных форумах анти- и руткит-направленности, включая иностранные, где также кипит перепалка между разными группировками, :( включая внутренние разборы околохакерской тематики прошлих лет. :o
Среди прочего, российские оппоненты пытались доказать на форуме SysInternals, что RkU - сам бэкдор, точнее, оставляет лазейки в реестре после деинсталляции, - и нетрудно заметить, что это не очень удалось.

Последняя доступная версия - Rootkit Unhooker 3.7.300.509. Следует помнить, что последние версии (3.7.300.5хх) доделывались, очевидно, параллельно со "взрывами" и содержали баги, о чем сообщалось разработчикам на rootkits.ru. Этот выпуск, похоже, финальный среди этих испытательных версий.
______________________

И ещё: "Невидимая война" (среди анти-руткитов) - профессиональный разбор плюсов и (в большинстве :) ) минусов разных программ по жанру. Неспециалисту, как мне, трудно понять многое, но для общей оценки перед закачкой чего-либо будет полезным...

Драйвер извлекался/грузился, и сервис запускался по ходу, когда это было нужно для конкретной задачи. После закрытия программы драйвер удалялся (не пришло в голову проверить - в корзину или мимо?) - так мне разъяснил один из разработчиков. Так что прихлопнуть (скопировать) можно только во время его существования.
_____________________________

Так было в в. 3.3. Что касается последней версии, УниверсальнымЭкстрактором, к примеру, извлекается из установочного файла файл помощи, сам RKUnhooker.EXE и RKUService.EXE. Но при установке выводится в деталях, что созданы файл помощи, uninstall.exe, 1pxKmGNlSHr20U.exe (=RKUnhooker.EXE, пройзвольное имя нужно для скрытия от потенциального врага) и тот же RKUService.EXE. Но где RKUService.EXE? Путь в деталях не указан, файла нет в каталоге установки и не отыскивается поиском, в т. ч. во время работы программы. Сама программа в сервисах показывает собственный драйвер - rkhdrv40.sys, что в System32/Drivers. Но его там нет ни на глаз, ни по поиску. :search: Маскировка от руткита? - :unsure: - хотя обвинения в плохом замысле касательно этого драйвера от оппонентов программы не встречал... Но это тоже полезно знать. :)