Подозрение на руткит

При запуске системы блокируется запуск антивирусного монитора.

VNC, RAdmin сами ставили ?

[QUOTE=Alexey P.;89263]VNC, RAdmin сами ставили ?[/QUOTE]

Да. По VNC коннектился к машине через Ideal Administrator.

А где virusinfo_syscure.zip? А то видно наличие перехватов, а соответствующего списка процессов/моделей не посмотреть.

Хотя вот: C:\WINNT\system32\cpadvai.dll - это ведь Crypto Pro? Там всяческих хаков полно.

[QUOTE=pig;89273]А где virusinfo_syscure.zip? А то видно наличие перехватов, а соответствующего списка процессов/моделей не посмотреть.
Хотя вот: C:\WINNT\system32\cpadvai.dll - это ведь Crypto Pro? Там всяческих хаков полно.[/QUOTE]

Думаете это от Cripto Pro? Да, установлен он там.

[url]http://virusinfo.info/showthread.php?t=7011&highlight=cpadvai[/url]
Жалко, там почистили разъяснения Олега про хакерские наклонности пакета. $$$ - это он advapi32.dll патчит. Исправляет якобы. Сам-то по себе пакет не злонамеренный, но ведёт себя агрессивно.

Может, всё-таки сделаете логи по правилам?

[QUOTE=pig;89299][url]http://virusinfo.info/showthread.php?t=7011&highlight=cpadvai[/url]
Жалко, там почистили разъяснения Олега про хакерские наклонности пакета. $$$ - это он advapi32.dll патчит. Исправляет якобы. Сам-то по себе пакет не злонамеренный, но ведёт себя агрессивно.
Может, всё-таки сделаете логи по правилам?[/QUOTE]

Ок. Вчера весь день занята была машина.
----
С Наступающим Новым Годом!

Ничего особенного не увидел.
AVZ - Файл - Выполнить скрипт:
[code]begin
QuarantineFile('C:\WINNT\system32\cpadvai.dll','');
QuarantineFile('C:\WINNT\Pointdev\VNC\VNCHooks.dll','');
QuarantineFile('С:\WINNT\system32\drivers\rtifdh.sys','');
end.[/code]
И пришлите карантин на рассмотрение. См. Приложение 2 к правилам, начиная с пункта 5. Наверное, все трое в базу безопасных пойдут.

Хорошо. Теперь уже после Нового года. сpadvai.dll несмотря на то, что был показан в процессах на диске нет, и в карантин из процессов не копируется. Видимо, присутствует под другим именем.