Rootkit Unhooker

Greyman · Конфигурация компьютера

Дык он же поддерживает русский язык.

Кста, есть неплохое сравнение антируткитов:
Основные результаты теста антируткитов на детектирование и лечение вредоносных программ

Aleks121 · Отправлено: **15:12, 21-04-2007** | #3

Я что-то не нашел эту поддержку русского языка. Тесты просмотрел, вроде неплохая прога. Если есть другие предложения из личного опыта всегда рад их испробывать.

Severny · Отправлено: **15:15, 21-04-2007** | #4

Жми Report--Scan, расставляй галочки и бросай сюда. А тут общими усилиями...

Aleks121 · Отправлено: **15:30, 21-04-2007** | #5

ОК. Сделаю.

Aleks121 · Отправлено: **16:20, 21-04-2007** | #6

Вообщем-то вот:
>SSDT State
>Processes
>Drivers
>Files
Suspect File: C:\Program Files\Opera AC\profile\cache4\opr017N9.gif Status: Hidden
Suspect File: C:\Program Files\Opera AC\profile\cache4\opr017NA.htm Status: Hidden
Suspect File: C:\Program Files\Opera AC\profile\cache4\opr017NB.htm Status: Hidden
>Hooks
tcpip.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xED693128 hook handler located in [lan2net.sys]
tcpip.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xED693154 hook handler located in [lan2net.sys]
tcpip.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xED693160 hook handler located in [lan2net.sys]
wanarp.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xEDCECB4C hook handler located in [lan2net.sys]
wanarp.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xEDCECB3C hook handler located in [lan2net.sys]
wanarp.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xEDCECB28 hook handler located in [lan2net.sys]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!!

Erekle · Отправлено: **21:07, 21-04-2007** | #7

Новый сайт http://rkunhooker1.narod.ru/
Последняя версия http://rkunhooker1.narod.ru/rkunhook...31.150.420.rar
Локализация для послелней версии (входит языковой dll и справка на русском) http://rkunhooker1.narod.ru/addons/RkUnhooker_rus.zip

Небольшая тема на Вирусинфо http://virusinfo.info/showthread.php?t=6287
Бета-тестирование там же http://virusinfo.info/showthread.php?t=7603

Как работать с прогой - крайне осторожно. Пример: lan2net.sys от одноименной "стенки". Легально, ведь? Но программа должна перехватить все отклонения от стандарта, иначе ей грош цена будет.
Комп стал сильно тормозить - со всяким файерволлом может быть. Начал тормозить после установки Lan2Net?

Что до скрытых файлов в кеше Оперы - зачем они скрыты? Удалите, но сначала проверьте антивирусом.
_____________________________

Некоторые антивирусы могут указывать на троян Tr/Agent.6656. Это - сервис программы, создаваемый с запуском и удаляемый по завершении. Можно не опасаться.

Совместное использование с программами System Safety Monitor (SSM), Syser, SoftIce будет вести к BSOD
Одновременно с программой GMER Rootkit Unhooker не будет работать (вроде из-за эстетических причин

)
"Также, совместимость с любыми другими антивирусами, фаерволами, мониторами не гарантируется (и не будет специально вводиться) ввиду невозможности предусмотреть ВСЕХ или даже часть точек конфликтов."

Цитата:

...Другая особенность RkU - возможность снять установленный перехват.
Внимание: в некоторых случаях операция восстановления может привести к аварийному завершению работы Windows.
Некоторые программы используют перехват кода в совершенно безобидных целях, так что их нельзя считать руткитами. Например - WinAmp, Media Player Classic, Dependency Walker и некоторые другие. Однако факт перехвата все же расценивается RkU как руткит-активность.

В: RkU показывает, что вся SSDT перехвачена ntoskrnl.exe + klif.sys. В чем дело?
О: Это Kaspersky Antivirus. Ложная тревога. Не снимайте перехваты с SSDT - это приведет к BSOD.

Aleks121 · Отправлено: **22:55, 23-04-2007** | #8

Erekle
Я думаю, что не обладая достаточными знаниями лучше не пользоваться этой прогой. А есть ли аналоги с более понятным интерфейсом и функциями, подобные этой программе, но более безопасными? Или все же поизучать данный продукт... . Может у кого есть опыт работы с этой прогой, и насколько она продуктивна?

Severny · Отправлено: **23:12, 23-04-2007** | #9

Попробуй AVZ. Читай справку.

Aleks121 · Отправлено: **23:33, 23-04-2007** | #10

AVZ ver 4.25 уже гонял на компе, ничего интересного не выявил. Эта прога мне вообщем-то нравится, на других компах она мне очень помогла. Может это и не руткит..., тогда что?