происходит зарадение какой-то гадастью
каксперский в защищённом режиме ничего ненашёл.
как можно определить что это за гадость? как можно определить кто скрывается ?
происходит зарадение какой-то гадастью
каксперский в защищённом режиме ничего ненашёл.
как можно определить что это за гадость? как можно определить кто скрывается ?
Последний раз редактировалось Вадя; 21.02.2008 в 21:27.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
вот
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\cpadvai.dll',''); BC_Importall; BC_Activate; RebootWindows(true); end.
C:\WINDOWS\system32\cpadvai.dll
этого файла не существует с этой папке
кто-то под этим именем скрывается
winlogon.exe - чистый ...
cpadvai.dll - библиотека от крипто про (в карантин не попала) - ведет себя как обычно ...
вся проблема в том что
C:\WINDOWS\system32\cpadvai.dll НЕ СУЩЕСТВУЕТ
он находится в другой папке!!!!!
под этим именем скрывается что-то
и avz это показал!!!!
да ничего там не скрывается - это типичное поведение этой библиотеки ... у нас она проходила раз двадцать ... ( в составе криптопро есть "ручной" руткит )
а зачем он используется в многочисленных процессах???
раньше тагкого не было
Последний раз редактировалось Вадя; 22.02.2008 в 10:22.
и ещё
появились скрытые процессы, их не было .
тот же gmer 3 дня назад ничего не показывал, теперь показывает
вчера cpadvai.dll показывался ~ 60% работающих программ, сегодня уже ~98%
C:\Program Files\Crypto Pro\CSP\cpadvai.dll - законное положени
вот кусок
Последний раз редактировалось Вадя; 22.02.2008 в 10:27.
библиотека внедряется в процессы .... это нормально , исходя из функционала задекларированного продуктом ...
до этого 6 месяцев не внедрялась...
с чего такое быстрое внедрение?
и ещё
есть файлы которые отображаются \??\C:\WINDOWS......
насколько я понял
http://www.xakep.ru/post/35908/default.asp
это является сторонним вмешательством
и как можно узнать что скрывается под скрытыми процессами, они тоже появились с началом внедрения cpadvai.dll в процессы...
Последний раз редактировалось Вадя; 22.02.2008 в 10:37.
вы зачем ставили криптопро ?
необходимость работы
я понимаю ... ну вот в документации и написано для чего используется .... по этому и лезет почти во все процессы ...
вот что написано ...
обратите внимание на выделенное ...Код:авторизации и обеспечения контроля подлинности электронных документов при обмене ими между пользователями с применением электронной цифровой подписи; обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты; защиты программного обеспечения от несанкционированного доступа; управления ключевыми элементами системы в соответствии с регламентом средств защиты.
чуть утешили...
но почему до этого не было такого?
и почему он показывается не с настоящим путём?
ведь стоит не первый день, и пользовались программами , которые его используют уже давно.
а как быть со скрытыми процессами?
у одних из них загрузкастоит мануалом , у других авто, некоторые дизаейбл
и \??\C:\WINDOWS появилось..
Последний раз редактировалось Вадя; 22.02.2008 в 11:27.
а какова вероятность того, что это действительно cpadvai.dll ???
как это можно проверить не снося криптопро?
ведь криптопро установлен давно, и им пользуются тож давно, но такого не было.
и как убедиться что существующие скрытыепроцессы принадлежат имено криптопро?
ведь есть возможность, что гадость просто маскируетяся под cpadvai.dll.
почему показывается положение C:\WINDOWS\system32\cpadvai.dll , хотя на самом деле C:\Program Files\Crypto Pro\CSP\cpadvai.dll.
даже с ипользованием Вашего скрипта не удалось захватить эту dll.
не есть ли это качественно замаскированный зверь?
Последний раз редактировалось Вадя; 23.02.2008 в 12:17.
1) я прошу ответить, т.к. хочется убедиться , что машина чистая.
2) как можно с помощью с помощбю Вашей системы скриптов скопировать системные файлы с СD в system32?
Уважаемый(ая) Вадя, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.