происходит зарадение какой-то гадастью
каксперский в защищённом режиме ничего ненашёл.
как можно определить что это за гадость? как можно определить кто скрывается ?
Printable View
происходит зарадение какой-то гадастью
каксперский в защищённом режиме ничего ненашёл.
как можно определить что это за гадость? как можно определить кто скрывается ?
[url]http://virusinfo.info/showthread.php?t=1235[/url]
вот
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
C:\WINDOWS\system32\cpadvai.dll
этого файла не существует с этой папке
кто-то под этим именем скрывается
winlogon.exe - чистый ...
cpadvai.dll - библиотека от крипто про (в карантин не попала) - ведет себя как обычно ...
вся проблема в том что
C:\WINDOWS\system32\cpadvai.dll [B]НЕ СУЩЕСТВУЕТ[/B]
он находится в другой папке!!!!!
под этим именем скрывается что-то
и avz это показал!!!!
да ничего там не скрывается - это типичное поведение этой библиотеки ... у нас она проходила раз двадцать ... ( в составе криптопро есть "ручной" руткит )
а зачем он используется в многочисленных процессах???
раньше тагкого не было
и ещё
появились скрытые процессы, их не было .
тот же gmer 3 дня назад ничего не показывал, теперь показывает
вчера cpadvai.dll показывался ~ 60% работающих программ, сегодня уже ~98%
C:\Program Files\Crypto Pro\CSP\cpadvai.dll - законное положени
вот кусок
библиотека внедряется в процессы .... это нормально , исходя из функционала задекларированного продуктом ...
до этого 6 месяцев не внедрялась...
с чего такое быстрое внедрение?
и ещё
есть файлы которые отображаются \??\C:\WINDOWS......
насколько я понял
[url]http://www.xakep.ru/post/35908/default.asp[/url]
это является сторонним вмешательством
и как можно узнать что скрывается под скрытыми процессами, они тоже появились с началом внедрения cpadvai.dll в процессы...
вы зачем ставили криптопро ?
необходимость работы
я понимаю ... ну вот в документации и написано для чего используется .... по этому и лезет почти во все процессы ...
вот что написано ...
[code]
авторизации и обеспечения контроля [B]подлинности [/B]электронных документов при обмене ими между пользователями с применением электронной цифровой подписи;
обеспечения конфиденциальности и [B]контроля целостности информации[/B] посредством ее шифрования и имитозащиты;
[B]защиты программного обеспечения от несанкционированного доступа[/B];
[U][B]управления ключевыми элементами системы [/B][/U]в соответствии с регламентом средств защиты.
[/code]
обратите внимание на выделенное ...
чуть утешили...
но почему до этого не было такого?
и почему он показывается не с настоящим путём?
ведь стоит не первый день, и пользовались программами , которые его используют уже давно.
а как быть со скрытыми процессами?
у одних из них загрузкастоит мануалом , у других авто, некоторые дизаейбл
и \??\C:\WINDOWS появилось..
[QUOTE=V_Bond;191608] ... ( в составе криптопро есть "ручной" руткит )[/QUOTE]
вот причина ...
а какова вероятность того, что это действительно cpadvai.dll ???
как это можно проверить не снося криптопро?
ведь криптопро установлен давно, и им пользуются тож давно, но такого не было.
и как убедиться что существующие скрытыепроцессы принадлежат имено криптопро?
ведь есть возможность, что гадость просто маскируетяся под cpadvai.dll.
почему показывается положение C:\WINDOWS\system32\cpadvai.dll , хотя на самом деле C:\Program Files\Crypto Pro\CSP\cpadvai.dll.
даже с ипользованием Вашего скрипта не удалось захватить эту dll.
не есть ли это качественно замаскированный зверь?
1) я прошу ответить, т.к. хочется убедиться , что машина чистая.
2) как можно с помощью с помощбю Вашей системы скриптов скопировать системные файлы с СD в system32?
[QUOTE=Вадя;193393]1) я прошу ответить, т.к. хочется убедиться , что машина чистая.
2) как можно с помощью с помощбю Вашей системы скриптов скопировать системные файлы с СD в system32?[/QUOTE]
никак ....
у вас чистая машина ... если хотите проверить целостность системных файлов есть специальная команда windows sfc /scannow