unhooker
Rootkit Unhooker — Rootkit Unhooker, également connu sous les noms de RkU et de RkUnhooker est un anti rootkit, un H IDS (utilitaire de détection des intrusions à usage individuel) pour Microsoft Windows, gracieusement mis à disposition des utilisateurs… … Wikipédia en Français
RkU — Rootkit Unhooker Rootkit Unhooker, également connu sous les noms de RkU et de RkUnhooker est un anti rootkit, un H IDS (utilitaire de détection des intrusions à usage individuel) pour Microsoft Windows, gracieusement mis à disposition des… … Wikipédia en Français
RkUnhooker — Rootkit Unhooker Rootkit Unhooker, également connu sous les noms de RkU et de RkUnhooker est un anti rootkit, un H IDS (utilitaire de détection des intrusions à usage individuel) pour Microsoft Windows, gracieusement mis à disposition des… … Wikipédia en Français
Rku — Rootkit Unhooker Rootkit Unhooker, également connu sous les noms de RkU et de RkUnhooker est un anti rootkit, un H IDS (utilitaire de détection des intrusions à usage individuel) pour Microsoft Windows, gracieusement mis à disposition des… … Wikipédia en Français
RkUnhooker — Saltar a navegación, búsqueda Rootkit Unhooker Información general Diseñado por UG North Género Anti rootkit Rootkit Unhooker también conocido como RkU y RkUnhooker. Es un anti rootkit (ARK), un … Wikipedia Español
Détection d’intrusion — Système de détection d intrusion Un système de détection d intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi… … Wikipédia en Français
HIDS — Système de détection d intrusion Un système de détection d intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi… … Wikipédia en Français
Intrusion Detection System — Système de détection d intrusion Un système de détection d intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi… … Wikipédia en Français
NIDS — Système de détection d intrusion Un système de détection d intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi… … Wikipédia en Français
Systeme de detection d’intrusion — Système de détection d intrusion Un système de détection d intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi… … Wikipédia en Français
Système de détection d’intrusion — Un système de détection d intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d avoir une connaissance sur les… … Wikipédia en Français
Сам себе антивирус
Жизнь компьютера идет своим чередом, но в один прекрасный момент комп перезагружается, а потом на рабочем столе появляется надпись «У вас вирусы, антивирус качать тут». Кто-то скачивает и ставит, кто-то сносит винду, кому-то везет и его антивирус ловит заразу… А я вам попробую рассказать как решить проблему самому и зачем это нужно.
Начну с того, зачем это нужно. Мотивировка эгоистичная — для того, чтобы узнать что-то новое и интересное, стать умнее и т.д. Мотивировка альтруистичная — помочь сотням и тысячам людей в подобной ситуации. Как — об этом ниже.
Чтобы выловить заразу на компе нам потребуется… Самое главное — не бояться, все реально. Также нужна голова на плечах и минимальная компьютерная грамотность. Третий основной компонент — интернет. Возможно, с другой машины, с LiveCD, но он будет нужен. Подготовились? Начинаем!
Первый шаг — обновление антивирусных баз имеющегося антивируса, загрузка в безопасном режиме и сканирование компьютера из него, причем при отключенной сети. Если невозможно выполнить первые два пункта, сканирование все равно нужно провести. Если зараза найдена и удалена, а проблема исчезла — вам повезло. Для сканирования рекомендую CureIt (брать тут www.freedrweb.com/cureit/?lng=ru). Полноценный антивирусный движок и базы, заточенность под работу на зараженной системе в условиях РЭБ со стороны противника 🙂 То есть при активном противодействии антивирусам со стороны троянов и прочей дряни.
Антивирус не помог? Бывает, ни один продукт не гарантирует 100% защиты, а выловить неизвестный вирус — это еще сложнее. Значит, придется ручками…
За исключением довольно редких случаев, вирусы и трояны должны быть представлены в виде файла, поэтому ловля заразы — это ловля файла. Все, вроде бы, просто, да только файлов на современном компьютере может быть несколько сотен тысяч. Итак, нам нужен хороший инструмент для работы с файлами. Рекомендую FAR (берется тут www.farmanager.com). Встроенные системные средства не подходят: в случае противодействия со стороны вируса вы не увидите нужный файл.
Проблемы с флэшками/дисками
Если при подключении к вашему компьютеру флэшки на ней начинают появляться левые файлы или диски не открываются по двойному щелчку — вероятен червь из семейства Win32.HLLW.Autoruner. Что делать? Запускаем FAR, лезем в корень всех дисков и ищем там файл autorun.inf Если файл найден, его необходимо открыть в любом текстовом редакторе (в FAR кнопкой F3) и посмотреть на внутренности. Типичный пример содержимого:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
То есть запуск программы setup.exe при подключении диска и попытке открыть. Для начала, отключаем автозапуск дисков (тут описано как www.izcity.com/faq/winxp/question1517.html), способ с групповыми политиками мне кажется более правильным. Отключение автозапуска — отличный способ профилактики таких заражений. Как поступить с найденными файлами — смотрите чуть ниже, но важен не столько autorun.inf, а то что в нем прописано. После отключения автозапуска и перезагрузки нужно удалить и autorun.inf и файлы в нем прописанные. С большой вероятностью, это поможет.
Проблемы с IE
Еще типовой вариант проявления заразы: вы по неизвестной причине используете IE и в нем начинает появляться всякая левая реклама, панели, кнопки… В общем, он ведет себя нехорошо.С большой долей вероятности проблема в BHO — Browser Helper Object. BHO это Plugin к эксплореру. Для получения списка BHO можно использовать разные программы. В ближайшем будущем ожидается выход в свет нашей тулзины DwShark, которая будет крайне полезна для поиска заразы. Пока же придется использовать что-то другое. Например, IceSword ( www.antirootkit.com/software/IceSword.htm), но это уже довольно серьезная программа, интерпретировать результаты надо умело и осторожно. И еще IceSword может в некоторых случаях привести к зависанию. В общем, в IceSword выбираете пункт BHO и получаете список из тех, что установлены в системе. Можно использовать HijackThis ( www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis), он формирует лог, в котором все BHO перечислены. Чтобы проверить легальность BHO есть сервис от CastleCops ( www.castlecops.com/CLSID.html), нужно ввести CLSID (строку вида 00000000-0002-53D4-0622-35EA0235778E). Если CLSID не найден по той базе — это серьезный повод для его удаления!
Для профилактики — не использовать IE. И не только для профилактики таких случаев 😉
Совсем простые и типовые случаи я рассмотрел. Теперь настал черед поиска неизвестно чего и неизвестно где… Процесс этот длительный и сложный. Раз уж у нас есть IceSword — пробегаем по всем вкладкам. На память сейчас не вспомню что там и как, но если в списке процессов что-то помечено красным — этот процесс скрыт, и исполняемый файл этого процесса — кандидат на проверку! В этой же софтине можно посмотреть открытые порты и кому они принадлежат. Крайне мощная штука — Rootkit Unhooker ( www.antirootkit.com/software/RootKit-Unhooker.htm), предназначена для поиска руткитов. Если будете делать ей отчет, снимите галочку с пункта «Files». Под подозрением — любые процессы что-то перехватывающие, скрытые драйвера. Аналог — GMER ( www.gmer.net/index.php). Ну и просмотр логов Хайджека: выполняющиеся процессы, автозапуск, сервисы.
Я нашел странный файл.
Как проверить, вирус это или нет? Есть множество разных способов. Например, посчитать MD5-сумму файла (софта — куча!) и провести поиск по ней у Bit9 ( fileadvisor.bit9.com/services/search.aspx), нужна регистрация. Сервис указывает из каких источников файл был получен. Если файл получен от крупных компаний — он чист наверняка. Еще способ — virustotal ( www.virustotal.com), но у него есть существенные минусы: более 50% антивирусов могут выдать ложные срабатывания, или, наоборот не определить вирус в файле.
Я нашел файл с заразой
Поздравляю! Теперь есть действия, которые просто необходимо выполнить. Вот тут habrahabr.ru/blogs/infosecurity/38149 добрые люди потрудились и составили список адресов антивирусных компаний, куда следует засылать новые вирусы. Пожалуйста, отправьте файл по ним (в архиве с паролем virus, пароль укажите в теле письма). Ну если не по всем, то хотя бы нам, в DrWeb 😉 Если от DrWeb пришел ответ, что это вирус новый, то для лечения нужно сделать следующее: подождать около 2 часов, потом обновить базы или скачать свежий CureIt (заново скачать! Там будут новые базы) и провести сканирование системы. Почему CureIt — см выше, это легковесная бесплатная и мощная софтина. Зараженный файл после отправки, в принципе, можно и удалить. Правда, в некоторых случаях удаление приведет к полной неработоспособности системы, пример — семейство FtpLich/Lich.
Если отправленный вами файл будет добавлен в базу, тем самым вы предотвратите заражение других компьютеров и поможете вылечить уже зараженные. Подумайте о своей карме не только на хабре, о времени других людей.
Если ничего не помогло
Остаются специализированные форумы. Порекламирую, опять-таки наш: new-forum.drweb.com/mod/forum 😉
Полезные ссылки
www.freedrweb.com/cureit/?lng=ru — CureIt, бесплатный антивирусный сканер на дрвэбовском движке и с его базами.
www.farmanager.com — FAR, хороший файловый менеджер.
www.izcity.com/faq/winxp/question1517.html — отключение автозапуска дисков в винде.
www.antirootkit.com/software/IceSword.htm — IceSword, хорошая утилита мониторинга системы.
www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis — hijackthis, аналогично.
www.castlecops.com/CLSID.html — проверка легальности BHO по его CLSID
www.antirootkit.com/software/RootKit-Unhooker.htm — RootKit Unhooker, крайне полезная штука для ловли руткитов
www.gmer.net/index.php — GMER, аналогично.
fileadvisor.bit9.com/services/search.aspx File Advisor, проверка файла по MD5.
www.virustotal.com — проверка файла множеством антивирусов сразу.
habrahabr.ru/blogs/infosecurity/38149 — адреса для отправки нового вируса антивирусным компаниям
support.drweb.com/sendnew — отправка файла в DrWeb
new-forum.drweb.com/mod/forum — форум DrWeb.
PS. Надеюсь, кому-то прогодится. Дополнения приветствуются.
PPS. Обсуждать тут конкретные случаи заражения не буду — вэлкам на форум.
Oshi Unhooker: бесплатный сканер руткитов
-
Скачайте и установите инструмент для ремонта здесь.
Оши Unhooker бесплатный сканер руткитов, который сканирует и удаляет любые скрытые руткиты с вашего компьютера. Вы можете спросить, что такое руткит? Обычно руткиты Windows используются для сокрытия вредоносных программ от антивирусной программы. Он используется во вредоносных целях вирусами, червями, бэкдорами и шпионским ПО. Иногда руткиты не обнаруживаются при антивирусном сканировании, потому что на них всегда есть маска.
Оши отцепить
Обновление за февраль 2023 года:
-
Шаг 1: Скачать PC Repair & Optimizer Tool (Windows 10, 8, 7, XP, Vista — Microsoft Gold Certified).
Компьютер должен время от времени искать руткиты. Oshi Unhooker — это инструмент, который может помочь вам сканировать и удалять руткиты с вашего компьютера. Благодаря быстрому и точному сканированию Oshi Unhooker является хорошим инструментом. Он доступен в виде отдельного переносимого исполняемого файла и может работать на любом ПК с Windows.
Просто запустите исполняемый файл и нажмите Начать сканирование, Одним щелчком мыши Oshi Unhooker может определить и удалить все руткиты, найденные на вашем ПК, и предотвратить их кражу или передачу вашей личной информации.
Рекомендуется сделать резервную копию всех несохраненных данных на вашем компьютере, прежде чем вы начнете чистить ловушку, поскольку при запуске сканирования могут возникнуть сбои приложения или системы. В 64-битных системах невозможно удалить скобки ядра после загрузки Windows из-за системы Patchguard.
После завершения анализа программа отображает результаты. Указывает расположение и руткиты, которые нужно почистить. Вы можете легко экспортировать аналитические отчеты или нажать кнопку «Очистить», чтобы удалить руткиты.
В целом, это полезное приложение на портативном ридере. Программа не предоставляет экранов в реальном времени.
Oshi Unhooker можно скачать и использовать бесплатно. Нажмите здесь скачать Oshi Unhooker.
Вы также можете попробовать другое бесплатное программное обеспечение для удаления руткитов.
Совет экспертов: Этот инструмент восстановления сканирует репозитории и заменяет поврежденные или отсутствующие файлы, если ни один из этих методов не сработал. Это хорошо работает в большинстве случаев, когда проблема связана с повреждением системы. Этот инструмент также оптимизирует вашу систему, чтобы максимизировать производительность. Его можно скачать по Щелчок Здесь
Unhooker что это такое
Rootkit Unhooker 3.7.300.509
Программа для поиска скрытых процессов, драйверов и прочих следов руткит-активности.
Возможности программы:
— Обнаружение и снятие перехватов таблицы SDT
— Поиск скрытых процессов
— Поиск скрытых драйверов
— Терминирование скрытых процессов
— Обнаружение и снятие перехвата системной инструкции
— Обнаружение и снятие перехватов кода
— Обнаружение скрытых файлов
— Дамп драйверов
— Создание отчета
Поддерживаемые операционные системы:
— x86 32 битная Windows 2000 SP4
— x86 32 битная Windows XP +SP1, SP2
— x86 32 битная Windows 2003 +SP1
— x86 32 битная Windows Vista
Внимание: Для работы RkU требуются права Администратора.
RootKit UnHooker features:
— SSDT Hooks Detection and Restoring
— Shadow SSDT Hooks Detection and Restoring
— Hidden Processes Detection/Terminating/Dumping
— Hidden Drivers Detection and Dumping
— Hidden Files Detection/Copying/Deleting
— Code hooks Detection and Restoring
— Report generation
Supported operation systems:
x86 32 bit Windows 2000 SP4
x86 32 bit Windows XP +SP1, SP2
x86 32 bit Windows 2003 +SP1, +SP2
x86 32 bit Windows Vista
Note: RkU requires Administrator rights to launch and work.