17 replies to this topic

[Txon]

Salut !


Ceux qui croyaient l'ARK Rootkit Unhooker mort après le départ de l'équipe de créateurs chez Microsoft se sont trompés. Au sein de UG North, DiabloNova a pris la relève, et a publié en exclusivité pour Rootkit.com la nouvelle version 3.8.

Les versions successives depuis la version 3.7 (3.7.300.509 - Octobre 2007) bien connue ont été :

• 3.8 LE build 340/550 (28.07.2008) – essentiel pour le fonctionnement avec Windows Vista, début des adaptations nécessaires pour Windows 2008, et renforcement de la détection ("Rustock.C") ...
• 3.8.340/551 LE (04.08.2008) – amélioration du fonctionnement avec Windows XP SP3 et des détections avec Windows 2003/Vista/2008, dump de la mémoire physique etc. Le contrôle du "MBR" devient optionnel ...
• 3.8.341.553 LE (29.08.2008), la version actuelle – amélioration des détections dans la table "IAT" ...

Rootkit Unhooker 3.8 ... C'est le Passé, le Présent et le Futur de la détection des rootkits Ntx86.

En fait il est effectué un remaniement en profondeur lié au fait qu'une partie du « code » des anciennes versions ne pouvait plus être utilisé car vendu (vraisemblablement à Microsoft).

Plus d'infos ...
-> ICI <-

@+

[cochontetram]

Bonjour à tous,

Rootkit updated to v3.8.342.554

Une nouvelle version est disponible : Rootkit.com

Ce message a été modifié par cochontetram - 26 novembre 2008 - 11:50 .

[Txon]

Merci Cochontetram.

Le scan de la table "IDT" est importante.
Déjà téléchargé et installé après une désinstallation complète de la version précédente.

@+

[Txon]

Re ...

Le sujet sur RkU 3.8 est maintenant à jour. Voir -> ICI.

@+

[nittygritty]

salut , je découvre grace a vous, ce programme qui parait sans fioritures mais efficace contre les rootkits, seulement je vous avoue que je n'arrive pas à l'utiliser en raison de mes pietres connaissances en informatique.
je résume mon problème : j'ai téléchargé rku (la dernière version) , je l'ai installé sous vista 32 bits , je l'ai lancé en coupant ma connexion au reseau , mais en laissant mon antivirus tourner(eset smart security v 4) ainsi que malwarebytes avec sa protection temps reel activé .

A l'arrivée et après avoir laisser la config de rku par défaut , je me retrouve avec :
7 lignes pour la rubrique : stealth !!! alors que vous indiquez que cette rubrique doit etre vide !!
3 lignes pour la rubrique : code hooks

le probleme est que je suis incapable de dire si ces lignes révèlent la présence de rootkits sur ma machine ou si ce sont des références à des programmes ou fichiers sains et parfaitement legitimes (antivirus ou autres)...
Pourriez vous m'aider a y voir plus clair svp .
merci

[noisette]

Bonjour, et bienvenue ici !


En ce qui concerne votre question, il est délicat d'y répondre sans savoir ce que ces lignes font apparaitre.

Vous pouvez poster ici une capture d'écran pour chaque doute, ou bien tout simplement joindre un rapport.

[Txon]

Salut et bienvenue nittygritty !

noisette te demande un rapport et il a bien raison. Sans lui nous ne pouvons pas faire grand chose.
Pour recouper les informations, il serait bien d'avoir un rapport complémentaire/contradictoire obtenu avec RootRepeal.
Questions annexes : quel O.S as-tu et quelle version de RkU as-tu utilisé ?

@+

[nittygritty]

merci pour vos réponses si rapides , je suis etonné de tant de réactivité ,ça fait plaisir.

"revenons à nos moutons", voici les rapports que j'ai pu tirer de rku ,
mon os est vista ultimate en "penta boot" avec seven /suse linux/xp pro/xp home .

les rapports je vous les soumets :

RkUnhooker report generator v0.7
==============================================
Rootkit Unhooker kernel version: 3.8.342.554
==============================================
Windows Major Version: 6
Windows Minor Version: 0
Windows Build Number: 6001
==============================================

ntoskrnl.exe+0x0006946A, Type: Inline - RelativeJump 0x828BA46A [ntoskrnl.exe]
ntoskrnl.exe+0x0006D9FC, Type: Inline - RelativeCall 0x828BE9FC [ntoskrnl.exe]
[1256]ekrn.exe-->kernel32.dll-->SetUnhandledExceptionFilter, Type: Inline - PushRet 0x761C6E2D [unknown_code_page]

voila pour le second :
RkUnhooker report generator v0.7
==============================================
Rootkit Unhooker kernel version: 3.8.342.554
==============================================
Windows Major Version: 6
Windows Minor Version: 0
Windows Build Number: 6001
==============================================

Unknown thread object [ ETHREAD 0x85E30578 ] TID: 628
Address: 0x85ECD1B0
Size: 592

Unknown thread object [ ETHREAD 0x85E31320 ] TID: 636
Address: 0x85F18790
Size: 592

Unknown thread object [ ETHREAD 0x85E99588 ] TID: 644
Address: 0x85F18FB0
Size: 592

Unknown page with executable code
Address: 0x85F17380
Size: 3200

Unknown page with executable code
Address: 0x85ED5966
Size: 1690

Unknown page with executable code
Address: 0x85ED00A5
Size: 3931

Unknown page with executable code
Address: 0x85ECE73E
Size: 2242

et enfin le dernier rapport(inquiétant celui ci) que j'ai récolté :


>SSDT State
NtCreateSection
Actual Address 0x9A929FE0
Hooked by: C:\Windows\system32\drivers\mbam.sys

>Shadow
>Processes
>Drivers
>Stealth
Unknown page with executable code
Address: 0x85ED5966
Size: 1690
Unknown page with executable code
Address: 0x85ECE73E
Size: 2242
Unknown page with executable code
Address: 0x85ECD3E5
Size: 3099
Unknown page with executable code
Address: 0x85F17380
Size: 3200
Unknown page with executable code
Address: 0x85ED00A5
Size: 3931
Unknown thread object [ ETHREAD 0x85E30578 ] TID: 628
Address: 0x85ECD1B0
Size: 592
Unknown thread object [ ETHREAD 0x85E31320 ] TID: 636
Address: 0x85F18790
Size: 592
Unknown thread object [ ETHREAD 0x85E99588 ] TID: 644
Address: 0x85F18FB0
Size: 592
>Hooks
ntoskrnl.exe+0x0006946A, Type: Inline - RelativeJump 0x828BA46A [ntoskrnl.exe]
ntoskrnl.exe+0x0006D9FC, Type: Inline - RelativeCall 0x828BE9FC [ntoskrnl.exe]
[1256]ekrn.exe-->kernel32.dll-->SetUnhandledExceptionFilter, Type: Inline - PushRet 0x761C6E2D [unknown_code_page]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

voila si je peux vous fournir d'autres précisions , n'hesitez pas et dites moi si je suis bon pour un formatage de ma partition vista ou si vous avez un remède indiqué pour ce problème.
merci pour votre aide

Ce message a été modifié par nittygritty - 29 avril 2009 - 14:10 .

[Txon]

Unknown thread object [ ETHREAD 0x85E30578 ] TID: 628
Address: 0x85ECD1B0
Size: 592

Unknown thread object [ ETHREAD 0x85E31320 ] TID: 636
Address: 0x85F18790
Size: 592

Unknown thread object [ ETHREAD 0x85E99588 ] TID: 644
Address: 0x85F18FB0
Size: 592

Pas facile d'identifier une éventuelle saleté avec seulement des numéros de "threads". Quels étaient les processus en cours à ce moment là ?

et enfin le dernier rapport(inquiétant celui ci) que j'ai récolté :

>SSDT State
NtCreateSection
Actual Address 0x9A929FE0
Hooked by: C:\Windows\system32\drivers\mbam.sys

mbam.sys devrait être le driver de Malwarebytes' Anti-Malware. Utilises-tu ce logiciel ? Si oui, les distorsions pourraient venir de lui. Si non, un maliciel quelconque pourrait avoir pris son nom.

Peux-tu faire un recoupement avec ce que trouve RootRepeal tout en nous disant quels logiciels fonctionnent dans ton PC (et après en avoir réduit le nombre au maximum).

@+

[tristan]

Lut,

Hypothèse

Tu utilises ESET comme protection. Les threads semblent dépendre du process Ekrn qui libère un ensemble' d´exceptions via l´API SetUnhandledExceptionFilter.
Je pense que le problème est imputable au hooker de Ekrn.
Pour infirmer ou confirmer mon hypothèse, tu peux:

1) soit désactiver ESET ( atttention de bien prendre en compte l´ensembles des process)
2) soit le désinstaller complètement.

Un refaisant une analyse avec ton antirootkit , tu ne devrais plus retrouver cette cascade d´exception.

Un tel log n´est pas toujours évident à analyser.

A+

Ce message a été modifié par tristan - 29 avril 2009 - 15:26 .

[nittygritty]

salut pour répondre a txon , les process en cours selon root repeal :

ROOTREPEAL © AD, 2007-2008
==================================================
Scan Time: 2009/04/29 16:52
Program Version: Version 1.2.3.0
Windows Version: Windows Vista SP1
==================================================

Processes
-------------------
Path: System
PID: 4 Status: Locked to the Windows API!

Path: C:\Windows\System32\svchost.exe
PID: 124 Status: -

Path: C:\Windows\System32\smss.exe
PID: 824 Status: -

Path: C:\Windows\System32\csrss.exe
PID: 948 Status: -

Path: C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
PID: 956 Status: -

Path: C:\Windows\System32\csrss.exe
PID: 1004 Status: -

Path: C:\Windows\System32\wininit.exe
PID: 1012 Status: -

Path: C:\Windows\System32\services.exe
PID: 1072 Status: -

Path: C:\Windows\System32\winlogon.exe
PID: 1080 Status: -

Path: C:\Windows\System32\lsass.exe
PID: 1104 Status: -

Path: C:\Windows\System32\lsm.exe
PID: 1112 Status: -

Path: C:\Program Files\ESET\ESET Smart Security\ekrn.exe
PID: 1256 Status: -

Path: C:\Windows\System32\svchost.exe
PID: 1268 Status: -

Path: C:\Windows\System32\svchost.exe
PID: 1328 Status: -

Path: C:\Windows\System32\svchost.exe
PID: 1364 Status: -

Path: C:\Windows\System32\svchost.exe
PID: 1452 Status: -

Path: C:\Windows\System32\svchost.exe
PID: 1484 Status: -

Path: C:\Windows\System32\svchost.exe
PID: 1500 Status: -

Path: C:\Windows\System32\audiodg.exe
PID: 1616 Status: Locked to the Windows API!

Path: C:\Windows\System32\svchost.exe
PID: 1644 Status: -

Path: C:\Windows\System32\SLsvc.exe
PID: 1660 Status: -

Path: C:\Windows\System32\wuauclt.exe
PID: 1712 Status: -

Path: C:\Windows\System32\svchost.exe
PID: 1744 Status: -

Path: C:\Windows\System32\svchost.exe
PID: 1868 Status: -

Path: C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
PID: 2060 Status: -

Path: C:\Windows\System32\oodag.exe
PID: 2088 Status: -

Path: C:\Program Files\Sandboxie\SbieSvc.exe
PID: 2168 Status: -

Path: C:\Program Files\Common Files\Seagate\Schedule2\schedul2.exe
PID: 2212 Status: -

Path: C:\Windows\System32\svchost.exe
PID: 2228 Status: -

Path: C:\Windows\System32\TUProgSt.exe
PID: 2268 Status: -

Path: C:\Windows\System32\svchost.exe
PID: 2288 Status: -

Path: C:\Windows\System32\WUDFHost.exe
PID: 2464 Status: -

Path: C:\Program Files\Mozilla Firefox\firefox.exe
PID: 2512 Status: -

Path: C:\Windows\System32\taskeng.exe
PID: 2552 Status: -

Path: C:\Windows\System32\dwm.exe
PID: 2928 Status: -

Path: C:\Windows\explorer.exe
PID: 2988 Status: -

Path: C:\Windows\System32\taskeng.exe
PID: 2996 Status: -

Path: C:\Windows\System32\mfpmp.exe
PID: 3056 Status: Locked to the Windows API!

Path: F:\TORRENT DOWNL\RootRepeal.exe
PID: 3064 Status: -

Path: C:\Windows\System32\rundll32.exe
PID: 3180 Status: -

Path: C:\Windows\System32\oodtray.exe
PID: 3188 Status: -

Path: C:\Program Files\ESET\ESET Smart Security\egui.exe
PID: 3248 Status: -

Path: C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
PID: 3300 Status: -

Path: C:\Windows\ehome\ehtray.exe
PID: 3316 Status: -

Path: C:\Program Files\RocketDock\RocketDock.exe
PID: 3324 Status: -

Path: C:\Program Files\Windows Media Player\wmpnscfg.exe
PID: 3332 Status: -

Path: C:\Program Files\Sandboxie\SbieCtrl.exe
PID: 3340 Status: -

Path: C:\Windows\System32\rundll32.exe
PID: 3380 Status: -

Path: C:\Windows\ehome\ehmsas.exe
PID: 3456 Status: -

Path: C:\Windows\winsxs\x86_microsoft-windows-mediaplayer-core_31bf3856ad364e35_6.0.6001.18000_none_0b69c31f4f19b995\wmplayer.exe
PID: 3828 Status: -

Path: C:\Windows\System32\dllhost.exe
PID: 3896 Status: -



le rapport global de root repeal :

ROOTREPEAL © AD, 2007-2008
==================================================
Scan Time: 2009/04/29 16:48
Program Version: Version 1.2.3.0
Windows Version: Windows Vista SP1
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\Windows\System32\Drivers\dump_atapi.sys
Address: 0x8F10C000 Size: 32768 File Visible: No
Status: -

Name: dump_dumpata.sys
Image Path: C:\Windows\System32\Drivers\dump_dumpata.sys
Address: 0x8F101000 Size: 45056 File Visible: No
Status: -

Name: dump_dumpfve.sys
Image Path: C:\Windows\System32\Drivers\dump_dumpfve.sys
Address: 0x8F114000 Size: 69632 File Visible: No
Status: -

Name: rootrepeal.sys
Image Path: C:\Windows\system32\drivers\rootrepeal.sys
Address: 0x9AA82000 Size: 45056 File Visible: No
Status: -

Processes
-------------------
Path: System
PID: 4 Status: Locked to the Windows API!

Path: C:\Windows\System32\audiodg.exe
PID: 1616 Status: Locked to the Windows API!

Path: C:\Windows\System32\mfpmp.exe
PID: 3056 Status: Locked to the Windows API!

SSDT
-------------------
#: 075 Function Name: NtCreateSection
Status: Hooked by "C:\Windows\system32\drivers\mbam.sys" at address 0x9a929fe0


le rapport root repeal pour les stealth objects :


ROOTREPEAL © AD, 2007-2008
==================================================
Scan Time: 2009/04/29 16:48
Program Version: Version 1.2.3.0
Windows Version: Windows Vista SP1
==================================================

Stealth Objects
-------------------
Object: Hidden Module [Name: winlogon.exe]
Process: svchost.exe (PID: 1452) Address: 0x01ce0000 Size: 323584

Object: Hidden Module [Name: winlogon.exe]
Process: svchost.exe (PID: 1452) Address: 0x02950000 Size: 323584

Object: Hidden Module [Name: WinMgmtR.dll]
Process: svchost.exe (PID: 1452) Address: 0x72ff0000 Size: 8192

Object: Hidden Module [Name: dps.dll]
Process: svchost.exe (PID: 1452) Address: 0x73a90000 Size: 139264

Object: Hidden Module [Name: profsvc.dll]
Process: svchost.exe (PID: 1452) Address: 0x74410000 Size: 163840

Object: Hidden Module [Name: wevtapi.dll]
Process: svchost.exe (PID: 1452) Address: 0x75980000 Size: 258048

Object: Hidden Module [Name: imageres.dll]
Process: Explorer.EXE (PID: 2988) Address: 0x0d350000 Size: 15822848

Object: Hidden Code [ETHREAD: 0x84858968]
Process: System Address: 0x89878fe0 Size: -

Object: Hidden Code [ETHREAD: 0x848b3828]
Process: System Address: 0x848b3a1c Size: -

Object: Hidden Code [ETHREAD: 0x848b3580]
Process: System Address: 0x9fbe7e50 Size: -

Object: Hidden Code [ETHREAD: 0x848b0020]
Process: System Address: 0x89b76220 Size: -

Object: Hidden Code [ETHREAD: 0x848b0d78]
Process: System Address: 0x848b0f6c Size: -

Object: Hidden Code [ETHREAD: 0x848b0ad0]
Process: System Address: 0x9fb12620 Size: -

Object: Hidden Code [ETHREAD: 0x85e31320]
Process: System Address: 0x85f18790 Size: -


enfin , le test sans mon antivirus qui est eset smart security , j'essaie et je vous tiens au jus !

merci pour votre patience.

[Txon]

C'est plus clair comme ça.

Tu as effectivement ESET et Malwarebytes' Anti-Malware, Sandboxie, Firefox, Microsoft Media Center à l'œuvre. Est-ce vrai ?
audiodg.exe, O&O Defrag, WUDFHost.exe, dwm.exe, ehtray.exe, ehmsas.exe, les dump_***.sys, mfpmp.exe ... devraient être des sous-programmes et drivers de Windows.
TUProgSt.exe devrait être de TuneUp Software (?).
A première vue et si tu as bien tout celà, il ne devrait pas y avoir de problème. Les hooks pourraient être être le fait de logiciels réputés sains, mais j'en ai peut-être oublié.

@+

[nittygritty]

merci infiniment , je suis plus zen maintenant et quelque peu rassuré , par contre je ne comprends pas le message de rku qui m'annonce à la fin de son rapport :
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!!

il n'en fallait pas plus pour me faire flipper et croire que ma protection eset smart + malwarebytes ne valait pas un clou !!
en tout cas merci pour vos lanternes à tous les deux et à bientôt.

[Txon]

!!POSSIBLE ROOTKIT ACTIVITY DETECTED!!

RkU n'a pas de base de connaissance. Il ne peut donc pas savoir si tel ou tel autre programme qui crochète des modules sensibles du système est un rootkit malfaisant ou un logiciel "sain". Hors, à peu près tous les utilitaires de défense et quelques autres de protection de ci ou ça s'en donnent à coeur joie et se comportent comme certains vilains maliciels. Du coup, RkUnhooker prévient qu'il y a des activités suspectes ... sans plus dans ton cas.

@+

[nittygritty]

ok ,
j'aurai appris quelque chose d'interessant sur les malware et les anti malware !

[Txon]

https://www.rootkit....3.8.384.586.rar
Nouvelle version =)

Ca fait un peu réchauffé comme information
Le sujet sur RkUnhooker était à jour depuis le 26/11/2008, 18:38:16 ... la version RkU 3.8.384.586 ne faisant que corriger quelques menus défauts de la 3.8.342.554.

Quelqu'un aurait-il connaissance d'une version plus récente ?

@+