Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Сфера Microsoft » Программное обеспечение Windows » Rootkit Unhooker

Ответить
Настройки темы
Rootkit Unhooker

Пользователь


Сообщения: 148
Благодарности: 4

Профиль | Отправить PM | Цитировать


Всем привет!
Кто знает как работать с прогой Rootkit Unhooker version 3.31 build 150/420. Или может у кого русификатор есть, а то help на английском и разобраться не могу. Комп стал сильно тормозить и хочу посмотреть какие скрытые процессы его подвешивают.

Отправлено: 13:08, 21-04-2007

 

Ветеран


Сообщения: 3487
Благодарности: 507

Профиль | Сайт | Отправить PM | Цитировать


Я ставил ломовую 1С и проблем особых не замечал. ИМХО, не в ней дело, если эмулятор ключа правильно стоит.
Опять же Process Explorer-ом надо посмотреть. Там два процесса (DPCs и Interrupts), отвечающие за взаимодействие с железом. Если на них какая-то нагрузка есть, то значит проблемы с дровами или железом. Эти процессы в стандартном Task Meneger не отображаются. Посмотри.
Также надо проверить режим передачи DMA или PIO на каналах, где хард висит. Если слетает в PIO, то работа с файлом подкачки становится практически невозможной. Отсюда тормоза. Сколько оперативы на компе? Если попробовать режим "Без файла подкачки"--тоже будут тормоза? (это если проблемы с DMA).
Третий вариант--попробуй отключить NOD с выгрузкой его из памяти и отключением службы (на время). Будут изменения?
Тоже самое проделай с фаером.
Промониторь все температуры программой Speedfan или Everest. Качай последние версии.
К примеру, если хард перегревается--запросто будет слетать в PIO или тормозить. А на нем файл подкачки, кстати.

Последний раз редактировалось Severny, 01-05-2007 в 16:37.

Это сообщение посчитали полезным следующие участники:

Отправлено: 16:05, 01-05-2007 | #21



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 148
Благодарности: 4

Профиль | Отправить PM | Цитировать


Обязательно проделаю все варианты, т.к. нагрузка на эти процессы есть. А я думал, что так и должно быть. У меня и на этом компе (на котором счас сижу) нагрузка на Interrupts имеется, хотя вроде жалоб и не имю. Кстати не подскажешь - как вставить сюда снимок окна или экрана?

Отправлено: 16:56, 01-05-2007 | #22


Ветеран


Сообщения: 3487
Благодарности: 507

Профиль | Сайт | Отправить PM | Цитировать


Включи внизу "Расширенный режим" и выкладывай в формате jpg.

-------
Просьба обращаться на "ты".


Отправлено: 17:31, 01-05-2007 | #23


Пользователь


Сообщения: 148
Благодарности: 4

Профиль | Отправить PM | Цитировать


ОК. Спасибо.

Последний раз редактировалось Aleks121, 23-08-2007 в 13:22.


Отправлено: 18:36, 01-05-2007 | #24


Ветеран


Сообщения: 3487
Благодарности: 507

Профиль | Сайт | Отправить PM | Цитировать


Ну не так сильно он у тебя загружен. А вот как выявлять проблемку--я не знаю. Если только отключать по одному девайсы.

Отправлено: 19:17, 01-05-2007 | #25


Пользователь


Сообщения: 148
Благодарности: 4

Профиль | Отправить PM | Цитировать


Я решил, что вообще любая нагрузка - это не есть good
Цитата:
Там два процесса (DPCs и Interrupts), отвечающие за взаимодействие с железом. Если на них какая-то нагрузка есть, то значит проблемы с дровами или железом.
.

Еще мне вот эта тема попалась на глаза. Может и вправду винт начал сыпаться... Посмотрю заодно и винт.

Отправлено: 01:37, 02-05-2007 | #26


Пользователь


Сообщения: 148
Благодарности: 4

Профиль | Отправить PM | Цитировать


Зависания решил переустановкой всех драйверов (есть такая на дисках - Express установка). Не знаю почему, но мне кажется, дрова модифицировались по мере обновлений от Microsoft. Может у кого было похожее, конфигурация такова:

Компьютер:
Тип компьютера Однопроцессорный компьютер с ACPI
Операционная система Microsoft Windows XP Professional
Пакет обновления ОС Service Pack 2
Internet Explorer 6.0.2900.2180 (IE 6.0 SP2)
DirectX 4.09.00.0904 (DirectX 9.0c)

Системная плата:
Тип ЦП Intel Celeron, 1717 MHz (17 x 101)
Системная плата Gigabyte GA-8LD533(-C) (3 PCI, 2 DDR DIMM, Audio, Video)
Чипсет системной платы Intel Brookdale-G i845GL
Системная память 247 Мб (PC2100 DDR SDRAM)
Тип BIOS Award Modular (11/26/02)

Видеоадаптер Intel(R) 82845G Graphics Controller (64 Мб)

Звуковой адаптер Intel 82801DB ICH4 - AC'97 Audio Controller [B-0]

Контроллер IDE Intel(R) 82801DB Ultra ATA Controller
Флоппи-накопитель Дисковод гибких дисков
Дисковый накопитель Maxtor 2F040L0 (40 Гб, 5400 RPM, Ultra-ATA/133)
Оптический дисковод SONY CD-RW CRX230ED (52x/32x/52x CD-RW)

!.. может я и не прав.

Отправлено: 14:47, 04-05-2007 | #27

AnTul


Сообщения: n/a

Профиль | Цитировать


Rootkit Unhooker - как полностью снести? Вроде как он забил мои СофтАйс с Сисер. Поставил в настройках "Расширенный режим" - а отключить не могу. Вешает ХР. В этом режиме, я так понимаю, он драйвер какой-то грузит? Какой? Я его ручками проихлопну.

Отправлено: 17:51, 15-09-2007 | #28


Аватара для Erekle

Ветеран


Сообщения: 637
Благодарности: 105

Профиль | Отправить PM | Цитировать


Вокруг проекта, и не только, большие страсти... Объявлено, что будет продолжена поддержка версии 3.х, а версия 4 никогда не выйдет для публичного пользования. Только теперь непонятно, где будет осуществляться эта поддержка, потому что "невидимая война", разгорающаяся за последний год, пероросла в активную фазу со взрывами, и в сентябре сайты RkU уничтожены, как говорилось, "командой ЛК".
Похоже, задать вопросы по программе можно только на разных форумах анти- и руткит-направленности, включая иностранные, где также кипит перепалка между разными группировками, включая внутренние разборы околохакерской тематики прошлих лет.
Среди прочего, российские оппоненты пытались доказать на форуме SysInternals, что RkU - сам бэкдор, точнее, оставляет лазейки в реестре после деинсталляции, - и нетрудно заметить, что это не очень удалось.

Последняя доступная версия - Rootkit Unhooker 3.7.300.509.
Цитата:
fixed: (we hope) detection for several types of hooks
fixed: raw ntfs glitch at start
important: this version by default disables extended method of hidden processes detection, to enable it start rku from console with the following parameter "-hookswap" without quotes (e.g. Rku.exe -hookswap)
Следует помнить, что последние версии (3.7.300.5хх) доделывались, очевидно, параллельно со "взрывами" и содержали баги, о чем сообщалось разработчикам на rootkits.ru. Этот выпуск, похоже, финальный среди этих испытательных версий.
______________________

И ещё: "Невидимая война" (среди анти-руткитов) - профессиональный разбор плюсов и (в большинстве ) минусов разных программ по жанру. Неспециалисту, как мне, трудно понять многое, но для общей оценки перед закачкой чего-либо будет полезным...

-------
Здесь вся мудрость [14.6]


Последний раз редактировалось Erekle, 22-11-2007 в 03:22.


Отправлено: 02:38, 22-11-2007 | #29


Аватара для Erekle

Ветеран


Сообщения: 637
Благодарности: 105

Профиль | Отправить PM | Цитировать


Цитата AnTul:
Rootkit Unhooker - как полностью снести? Вроде как он забил мои СофтАйс с Сисер. Поставил в настройках "Расширенный режим" - а отключить не могу. Вешает ХР. В этом режиме, я так понимаю, он драйвер какой-то грузит? Какой? Я его ручками проихлопну. »
Цитата:
Совместное использование с программами ...Syser, SoftIce будет вести к BSOD
Драйвер извлекался/грузился, и сервис запускался по ходу, когда это было нужно для конкретной задачи. После закрытия программы драйвер удалялся (не пришло в голову проверить - в корзину или мимо?) - так мне разъяснил один из разработчиков. Так что прихлопнуть (скопировать) можно только во время его существования.
_____________________________

Так было в в. 3.3. Что касается последней версии, УниверсальнымЭкстрактором, к примеру, извлекается из установочного файла файл помощи, сам RKUnhooker.EXE и RKUService.EXE. Но при установке выводится в деталях, что созданы файл помощи, uninstall.exe, 1pxKmGNlSHr20U.exe (=RKUnhooker.EXE, пройзвольное имя нужно для скрытия от потенциального врага) и тот же RKUService.EXE. Но где RKUService.EXE? Путь в деталях не указан, файла нет в каталоге установки и не отыскивается поиском, в т. ч. во время работы программы. Сама программа в сервисах показывает собственный драйвер - rkhdrv40.sys, что в System32/Drivers. Но его там нет ни на глаз, ни по поиску. Маскировка от руткита? - - хотя обвинения в плохом замысле касательно этого драйвера от оппонентов программы не встречал... Но это тоже полезно знать.

-------
Здесь вся мудрость [14.6]


Последний раз редактировалось Erekle, 22-11-2007 в 03:27.


Отправлено: 03:07, 22-11-2007 | #30



Компьютерный форум OSzone.net » Сфера Microsoft » Программное обеспечение Windows » Rootkit Unhooker

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] Подозрение на KeyLogger и RootKit valenta744 Лечение систем от вредоносных программ 26 22-01-2010 13:22
Антивирусы - Rootkit try.exe BROTHERHOOD Защита компьютерных систем 3 03-11-2009 21:08
Касперский антивирус выявил rootkit.Win32.Podnuha.byb, не могу удалить starling Лечение систем от вредоносных программ 4 06-05-2009 13:33
Вирус WIN32 Rootkit парализует нормальную работу компьютера Хрустальная Лечение систем от вредоносных программ 1 06-02-2009 08:49
[решено] Откуда берутся rootkit-процессы вида sp??.sys ShaRP Лечение систем от вредоносных программ 1 12-05-2008 16:39




 
Переход