Подозрение на руткит

[santy]

При запуске системы блокируется запуск антивирусного монитора.

[Alexey P.]

VNC, RAdmin сами ставили ?

[santy]

VNC, RAdmin сами ставили ?

Да. По VNC коннектился к машине через Ideal Administrator.

[pig]

А где virusinfo_syscure.zip? А то видно наличие перехватов, а соответствующего списка процессов/моделей не посмотреть.

Хотя вот: C:\WINNT\system32\cpadvai.dll - это ведь Crypto Pro? Там всяческих хаков полно.

[santy]

А где virusinfo_syscure.zip? А то видно наличие перехватов, а соответствующего списка процессов/моделей не посмотреть.
Хотя вот: C:\WINNT\system32\cpadvai.dll - это ведь Crypto Pro? Там всяческих хаков полно.

Думаете это от Cripto Pro? Да, установлен он там.

[pig]

http://virusinfo.info/showthread.php...hlight=cpadvai
Жалко, там почистили разъяснения Олега про хакерские наклонности пакета. $$$ - это он advapi32.dll патчит. Исправляет якобы. Сам-то по себе пакет не злонамеренный, но ведёт себя агрессивно.

Может, всё-таки сделаете логи по правилам?

[santy]

http://virusinfo.info/showthread.php...hlight=cpadvai
Жалко, там почистили разъяснения Олега про хакерские наклонности пакета. $$$ - это он advapi32.dll патчит. Исправляет якобы. Сам-то по себе пакет не злонамеренный, но ведёт себя агрессивно.
Может, всё-таки сделаете логи по правилам?

Ок. Вчера весь день занята была машина.
----
С Наступающим Новым Годом!

[pig]

Ничего особенного не увидел.
AVZ - Файл - Выполнить скрипт:

Код:

begin
  QuarantineFile('C:\WINNT\system32\cpadvai.dll','');
  QuarantineFile('C:\WINNT\Pointdev\VNC\VNCHooks.dll','');
  QuarantineFile('С:\WINNT\system32\drivers\rtifdh.sys','');
end.

И пришлите карантин на рассмотрение. См. Приложение 2 к правилам, начиная с пункта 5. Наверное, все трое в базу безопасных пойдут.

[santy]

Хорошо. Теперь уже после Нового года. сpadvai.dll несмотря на то, что был показан в процессах на диске нет, и в карантин из процессов не копируется. Видимо, присутствует под другим именем.