происходит зарадение какой-то гадастью
каксперский в защищённом режиме ничего ненашёл.
как можно определить что это за гадость? как можно определить кто скрывается ?
Printable View
происходит зарадение какой-то гадастью
каксперский в защищённом режиме ничего ненашёл.
как можно определить что это за гадость? как можно определить кто скрывается ?
[url]http://virusinfo.info/showthread.php?t=1235[/url]
вот
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
C:\WINDOWS\system32\cpadvai.dll
этого файла не существует с этой папке
кто-то под этим именем скрывается
winlogon.exe - чистый ...
cpadvai.dll - библиотека от крипто про (в карантин не попала) - ведет себя как обычно ...
вся проблема в том что
C:\WINDOWS\system32\cpadvai.dll [B]НЕ СУЩЕСТВУЕТ[/B]
он находится в другой папке!!!!!
под этим именем скрывается что-то
и avz это показал!!!!
да ничего там не скрывается - это типичное поведение этой библиотеки ... у нас она проходила раз двадцать ... ( в составе криптопро есть "ручной" руткит )
а зачем он используется в многочисленных процессах???
раньше тагкого не было
и ещё
появились скрытые процессы, их не было .
тот же gmer 3 дня назад ничего не показывал, теперь показывает
вчера cpadvai.dll показывался ~ 60% работающих программ, сегодня уже ~98%
C:\Program Files\Crypto Pro\CSP\cpadvai.dll - законное положени
вот кусок
библиотека внедряется в процессы .... это нормально , исходя из функционала задекларированного продуктом ...
до этого 6 месяцев не внедрялась...
с чего такое быстрое внедрение?
и ещё
есть файлы которые отображаются \??\C:\WINDOWS......
насколько я понял
[url]http://www.xakep.ru/post/35908/default.asp[/url]
это является сторонним вмешательством
и как можно узнать что скрывается под скрытыми процессами, они тоже появились с началом внедрения cpadvai.dll в процессы...
вы зачем ставили криптопро ?
необходимость работы
я понимаю ... ну вот в документации и написано для чего используется .... по этому и лезет почти во все процессы ...
вот что написано ...
[code]
авторизации и обеспечения контроля [B]подлинности [/B]электронных документов при обмене ими между пользователями с применением электронной цифровой подписи;
обеспечения конфиденциальности и [B]контроля целостности информации[/B] посредством ее шифрования и имитозащиты;
[B]защиты программного обеспечения от несанкционированного доступа[/B];
[U][B]управления ключевыми элементами системы [/B][/U]в соответствии с регламентом средств защиты.
[/code]
обратите внимание на выделенное ...
чуть утешили...
но почему до этого не было такого?
и почему он показывается не с настоящим путём?
ведь стоит не первый день, и пользовались программами , которые его используют уже давно.
а как быть со скрытыми процессами?
у одних из них загрузкастоит мануалом , у других авто, некоторые дизаейбл
и \??\C:\WINDOWS появилось..
[QUOTE=V_Bond;191608] ... ( в составе криптопро есть "ручной" руткит )[/QUOTE]
вот причина ...
а какова вероятность того, что это действительно cpadvai.dll ???
как это можно проверить не снося криптопро?
ведь криптопро установлен давно, и им пользуются тож давно, но такого не было.
и как убедиться что существующие скрытыепроцессы принадлежат имено криптопро?
ведь есть возможность, что гадость просто маскируетяся под cpadvai.dll.
почему показывается положение C:\WINDOWS\system32\cpadvai.dll , хотя на самом деле C:\Program Files\Crypto Pro\CSP\cpadvai.dll.
даже с ипользованием Вашего скрипта не удалось захватить эту dll.
не есть ли это качественно замаскированный зверь?
1) я прошу ответить, т.к. хочется убедиться , что машина чистая.
2) как можно с помощью с помощбю Вашей системы скриптов скопировать системные файлы с СD в system32?
[QUOTE=Вадя;193393]1) я прошу ответить, т.к. хочется убедиться , что машина чистая.
2) как можно с помощью с помощбю Вашей системы скриптов скопировать системные файлы с СD в system32?[/QUOTE]
никак ....
у вас чистая машина ... если хотите проверить целостность системных файлов есть специальная команда windows sfc /scannow
криптопро снесён.
sfc /scannow не помогло т.к. куча файлов после обновления и сравнивать их не с чем. эталона нет.
машина не чистая...
прога svv показывает и пытается править, но почти без успешно, гадость это исправляет...
Starter.exe
RunScanner.exe
помогли найти memsweep2. вручную почистить что-то удалось -файл и запись в реестре
avz показал несколько системных файлов с с изменённой таблицей экспорта
в safe mode переписал эти файлы с кмпакта.
но всё это косметические меры.
gmer по-прежнему показывает наличие скрытых сервисов , правда их можно отключить. но ни путей ни названий вытащить нет возможности. вместо имен непонятные символы.
пока ни один из проверяльщиков рутиков не нашел файлов заражённых чем-то.
ThreatFire выругался на TFUN.EXE из Windows/temp (в системе установлено на c:\temp) кто его туда занёс не понятно, было чисто.
сносить систему нет желания.
какие могут быть действия?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]