分享 - Rootkit Unhooker 3.7.300.509

yoyo007 · 2007-10-19, 01:12 PM

■ 軟體說明：

∥軟體名稱：Rootkit Unhooker
∥版本資訊：3.7.300.509
∥檔案大小：137 KB (140,530 位元組)
∥軟體分類：軟體本地化
∥存放空間：HTTP
∥官方站台：http://rku.nm.ru/
∥中文化：YoYo

http://i132.photobucket.com/albums/q10/yoyo172/RkU509.gif

■ 軟體簡介：

Rootkit Unhooker 是一款來自俄羅斯的進階 Rootkit 偵測工具，其功能十分強大，包含了 SSDT 掛鉤的偵測與還原，以及隱藏處理序、驅動和檔案的檢查和操作 ...等；主程式僅 93.5 KB，可以在安全模式下使用。要進入安全模式請按 [設定 → 設定 →] 勾選 [使用 [擴充模式] (需要重新開機) ] 即可；此外 Rootkit Unhooker 還可以自訂文字及背景色彩。

中文化說明：

1. 中文化模組取自官方的俄羅斯語言模組 (RkU 3.7.300.506+) 翻譯而成。
2. 切換繁體中文請開啟程式後按 [Language] → [Traditional Chinese]。
3. #1 整理了一個例子。

軟體特色：

‧SSDT 掛鉤的偵測和還原。
‧SSDT 陰影掛鉤的偵測和還原。
‧隱藏處理序的偵測、中止和傾印。
‧隱藏驅動的偵測和傾印。
‧隱藏檔案的偵測、複製和移除。
‧掛鉤代碼的偵測和還原。
‧報告產生功能。

注意：使用 RkU 需要管理員權限。

引用:

‧SSDT Hooks Detection and Restoring
‧Shadow SSDT Hooks Detection and Restoring
‧Hidden Processes Detection/Terminating/Dumping
‧Hidden Drivers Detection and Dumping
‧Hidden Files Detection/Copying/Deleting
‧Code hooks Detection and Restoring
‧Report generation

支援的作業系統：

x86 32 bit Windows 2000 SP4
x86 32 bit Windows XP +SP1, SP2
x86 32 bit Windows 2003 +SP1, SP2
x86 32 bit Windows Vista

檔案下載：http://0rz.tw/1b3cL

MD5：

語法:

987CAE79047F04CA36B0830A7CBC6297

解壓碼：

語法:

CENTURYS 網際論壇 中文化開發團隊

yoyo007 · 2007-10-19, 01:14 PM

文章轉自：偉大的網際網路...
編輯整理：http://www.centurys.net/index.php

手動清除 Ntdll32.dll 木馬病毒 W32.Fujacks!html

一、病毒類型：W32.Fujacks!html Win32.troj.agent.s.412671

二、載入方式：利用驅動，凌駕於所有應用程式之上。(包括 COM)

Windows\system32\Ntdll32.dll 感染了 [Win32.troj.agent.s.412671] 病毒，卻無法刪除；就算在安全模式中進入登錄檔想刪除相關機碼也不行。

該木馬病毒執行後，會向系統加入一個名為 Internet Connection Manager (管理 Internet 網路連線) 的自啟動系統服務 (用於實現遠端監控)，來源檔為 Windows\system32\internet.exe，並對 IE 瀏覽器裝上一個名為 [IEHELPER.DLL] 的外掛，以上就是這個程式的最終目的。

到此為止，這都只是個很普通的木馬程式做的事情，剩下的就是它為了保證這兩項能在系統中常駐所花的心思了，而它厲害的地方也在於此。

程式執行時，會在 Windows\system32\driver 資料夾下加入一個名為 [mspcidrv.sys] 的系統驅動，並在 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls 下寫入一個 NTDLL32.DLL 機碼 (注意，這個大有用處)；同時也向 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 寫入了該機碼 (啟動瀏覽器時自動啟動 NTDLL32.DLL)；向 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 加入了兩處啟動項，分別都指向 Windows\system32.internet.exe。

驅動 [mspcidrv.sys] 載入後會改寫三個系統服務描述表，分別為 NtDeleteKey、NtDeleteValueKey、NtSetValueKey，並 HOOK，使得針對那兩個最終目的的登錄機碼的 [刪除登錄機碼]、[刪除登錄值]、[變更登錄值] 這三個功能失去作用，這是為了保護 Internet Connection Manager 系統服務和 IEHELPER.DLL 外掛的登錄機碼不被清除。

而 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls 下的這個 NTDLL32.DLL 機碼，就是實現記憶體恢復的關鍵。實際上這是一個插入系統處理序的 DLL 檔案，在程式啟動時，它就作為一個系統緒程插入 explorer 處理序中，並對登錄機碼進行監視，它分別檢測上述兩個最終目的的兩處機碼，發現它們被刪除就立即重寫，這一招的作用是：

在驅動還在的情況下，如果登錄機碼被刪除 (透過某些工具軟體如：Rootkit Unhooker)，就立刻重寫；保證兩個最終功能的完整，是因為這個緒程自己本身也是要靠驅動保護的，所以在驅動失效，而它自己的登錄機碼又已被清除的情況下，它也只能維持在驅動被清除之前的那一次處理序插入，以在保證下次開機時，兩個最終目的的啟動項完整。

三、清除方法：

第一種方法：用 Rootkit Unhooker 清除。

1. 進入 Windows 工作管理員 (同時按 Ctrl+Alt+Del)，到 [處理程序] 分頁中
　找到並結束 [explorer] 處理序；
　切換到 [應用程式] 分頁按右鍵 → [新工作 (執行...) ] 選取並執行您安裝
　的 Rootkit Unhooker 程式。

註：綠化版直接執行 [RKUnhooker.exe] 即可。

2. 切換到 Rootkit Unhooker 程式介面的分頁 [SSDT] 按 [掛鉤] 排序
　找 [模組] 欄位中的值：mspcidrv.sys ← 在所有包含此值的行上按
　右鍵 → [解開選定的掛鉤]。

3. 切換到 [處理序] 分頁找 [處理序名稱] 欄位內所有有關：
　 internet.exe 、mspcidrv.sys、Ntdll32.dll 和 IEHELPER.DLL
　按右鍵 → [中止處理序]。

註：蒐集的教程採用的是 RkU 舊版，我重新編輯對應到此 RkU 新版；
　　新舊版本在介面上的顯示略有差異，請視程式介面自行切換分頁並
　　找出上述提到的相關檔案。

4. 開啟登錄編輯程式刪除登錄的服務 (執行 → regedit.exe)
　在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 找到
　有關 internet.exe 和 mspcidrv.sys 的兩個服務並將之刪除；
　然後到 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
　將 Appinit_Dlls 裡的值去掉，並在登錄機碼中搜尋所有有關：
　 internet.exe 、mspcidrv.sys、Ntdll32.dll、IEHELPER.DLL 的值
　↑將他們刪除。

5. 主要有以下病毒檔案：

　 %systemroot%\system32\NTDLL32.DLL
　 %systemroot%\system32\IEhelper.dll
　 %systemroot%\system32\IEShell32.dll
　 %systemroot%\system32\internet.exe
　 %systemroot%\system32\drivers\mspcidrv.sys

　但這時因為還有其它檔案在呼叫這幾個檔案，您可能在正常模式下刪除不掉，
　可以開啟工作管理員按 [關機] 選擇 [重新開機] 後，進入安全模式中刪除。

6. OK，整個世界清淨多了。

第二種方法：在控制台下也可以停用驅動和服務。

1. 先安裝控制台：開始 → 執行 → [X:\i386\winnt32.exe /cmdcons]
　 X: 為您的 I386 所在路徑，依照提示安裝就行了，重開機後可看見多重系統
　開機選單下多了一個 Microsoft Windows XP Recovery Console 控制台。
　進入控制台，輸入數字選定您要進入的系統，輸入管理員密碼登入。

2. 進入控制台，輸入 Listsvc 指令後按 Enter，在螢幕上會出現目前系統中
　已有的所有服務和驅動程式，以及其狀態說明。找到要停用的可疑服務或驅動
　程式，輸入指令 disable 要停用的程式或服務，按 Enter 後螢幕上會顯示出
　該服務以前的狀態和完成後的狀態；
　如果想僱用某個程式或服務，則需輸入Enable 要停用的程式或服務，
　按 Enter 後即可。控制台說明指令：help 可查閱所有可使用的指令。

2007-10-19, 01:14 PM	#2 (permalink)
yoyo007 中文化作者榮譽勳章勳章總數3 UID - 261912 在線等級: 註冊日期: 2007-02-07 文章: 438 精華: 0 現金: 10684 金幣資產: 16404 金幣	文章轉自：偉大的網際網路... 編輯整理：http://www.centurys.net/index.php 手動清除 Ntdll32.dll 木馬病毒 W32.Fujacks!html 一、病毒類型：W32.Fujacks!html Win32.troj.agent.s.412671 二、載入方式：利用驅動，凌駕於所有應用程式之上。(包括 COM) Windows\system32\Ntdll32.dll 感染了 [Win32.troj.agent.s.412671] 病毒，卻無法刪除；就算在安全模式中進入登錄檔想刪除相關機碼也不行。該木馬病毒執行後，會向系統加入一個名為 Internet Connection Manager (管理 Internet 網路連線) 的自啟動系統服務 (用於實現遠端監控)，來源檔為 Windows\system32\internet.exe，並對 IE 瀏覽器裝上一個名為 [IEHELPER.DLL] 的外掛，以上就是這個程式的最終目的。到此為止，這都只是個很普通的木馬程式做的事情，剩下的就是它為了保證這兩項能在系統中常駐所花的心思了，而它厲害的地方也在於此。程式執行時，會在 Windows\system32\driver 資料夾下加入一個名為 [mspcidrv.sys] 的系統驅動，並在 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls 下寫入一個 NTDLL32.DLL 機碼 (注意，這個大有用處)；同時也向 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 寫入了該機碼 (啟動瀏覽器時自動啟動 NTDLL32.DLL)；向 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 加入了兩處啟動項，分別都指向 Windows\system32.internet.exe。驅動 [mspcidrv.sys] 載入後會改寫三個系統服務描述表，分別為 NtDeleteKey、NtDeleteValueKey、NtSetValueKey，並 HOOK，使得針對那兩個最終目的的登錄機碼的 [刪除登錄機碼]、[刪除登錄值]、[變更登錄值] 這三個功能失去作用，這是為了保護 Internet Connection Manager 系統服務和 IEHELPER.DLL 外掛的登錄機碼不被清除。而 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls 下的這個 NTDLL32.DLL 機碼，就是實現記憶體恢復的關鍵。實際上這是一個插入系統處理序的 DLL 檔案，在程式啟動時，它就作為一個系統緒程插入 explorer 處理序中，並對登錄機碼進行監視，它分別檢測上述兩個最終目的的兩處機碼，發現它們被刪除就立即重寫，這一招的作用是：在驅動還在的情況下，如果登錄機碼被刪除 (透過某些工具軟體如：Rootkit Unhooker)，就立刻重寫；保證兩個最終功能的完整，是因為這個緒程自己本身也是要靠驅動保護的，所以在驅動失效，而它自己的登錄機碼又已被清除的情況下，它也只能維持在驅動被清除之前的那一次處理序插入，以在保證下次開機時，兩個最終目的的啟動項完整。三、清除方法：第一種方法：用 Rootkit Unhooker 清除。 1. 進入 Windows 工作管理員 (同時按 Ctrl+Alt+Del)，到 [處理程序] 分頁中　找到並結束 [explorer] 處理序；　切換到 [應用程式] 分頁按右鍵 → [新工作 (執行...) ] 選取並執行您安裝　的 Rootkit Unhooker 程式。註：綠化版直接執行 [RKUnhooker.exe] 即可。 2. 切換到 Rootkit Unhooker 程式介面的分頁 [SSDT] 按 [掛鉤] 排序　找 [模組] 欄位中的值：mspcidrv.sys ← 在所有包含此值的行上按　右鍵 → [解開選定的掛鉤]。 3. 切換到 [處理序] 分頁找 [處理序名稱] 欄位內所有有關：　 internet.exe 、mspcidrv.sys、Ntdll32.dll 和 IEHELPER.DLL 　按右鍵 → [中止處理序]。註：蒐集的教程採用的是 RkU 舊版，我重新編輯對應到此 RkU 新版；　　新舊版本在介面上的顯示略有差異，請視程式介面自行切換分頁並　　找出上述提到的相關檔案。 4. 開啟登錄編輯程式刪除登錄的服務 (執行 → regedit.exe) 　在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 找到　有關 internet.exe 和 mspcidrv.sys 的兩個服務並將之刪除；　然後到 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 　將 Appinit_Dlls 裡的值去掉，並在登錄機碼中搜尋所有有關：　 internet.exe 、mspcidrv.sys、Ntdll32.dll、IEHELPER.DLL 的值　↑將他們刪除。 5. 主要有以下病毒檔案：　 %systemroot%\system32\NTDLL32.DLL 　 %systemroot%\system32\IEhelper.dll 　 %systemroot%\system32\IEShell32.dll 　 %systemroot%\system32\internet.exe 　 %systemroot%\system32\drivers\mspcidrv.sys 　但這時因為還有其它檔案在呼叫這幾個檔案，您可能在正常模式下刪除不掉，　可以開啟工作管理員按 [關機] 選擇 [重新開機] 後，進入安全模式中刪除。 6. OK，整個世界清淨多了。第二種方法：在控制台下也可以停用驅動和服務。 1. 先安裝控制台：開始 → 執行 → [X:\i386\winnt32.exe /cmdcons] 　 X: 為您的 I386 所在路徑，依照提示安裝就行了，重開機後可看見多重系統　開機選單下多了一個 Microsoft Windows XP Recovery Console 控制台。　進入控制台，輸入數字選定您要進入的系統，輸入管理員密碼登入。 2. 進入控制台，輸入 Listsvc 指令後按 Enter，在螢幕上會出現目前系統中　已有的所有服務和驅動程式，以及其狀態說明。找到要停用的可疑服務或驅動　程式，輸入指令 disable 要停用的程式或服務，按 Enter 後螢幕上會顯示出　該服務以前的狀態和完成後的狀態；　如果想僱用某個程式或服務，則需輸入Enable 要停用的程式或服務，　按 Enter 後即可。控制台說明指令：help 可查閱所有可使用的指令。

	送花文章: 318, 收花文章: 331 篇, 收花: 1201 次

Google 提供的廣告