Показано с 1 по 9 из 9.

Подозрение на руткит (заявка № 7305)

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1124

    Exclamation Подозрение на руткит

    При запуске системы блокируется запуск антивирусного монитора.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    VNC, RAdmin сами ставили ?

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1124
    Цитата Сообщение от Alexey P. Посмотреть сообщение
    VNC, RAdmin сами ставили ?
    Да. По VNC коннектился к машине через Ideal Administrator.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    А где virusinfo_syscure.zip? А то видно наличие перехватов, а соответствующего списка процессов/моделей не посмотреть.

    Хотя вот: C:\WINNT\system32\cpadvai.dll - это ведь Crypto Pro? Там всяческих хаков полно.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1124
    Цитата Сообщение от pig Посмотреть сообщение
    А где virusinfo_syscure.zip? А то видно наличие перехватов, а соответствующего списка процессов/моделей не посмотреть.
    Хотя вот: C:\WINNT\system32\cpadvai.dll - это ведь Crypto Pro? Там всяческих хаков полно.
    Думаете это от Cripto Pro? Да, установлен он там.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    http://virusinfo.info/showthread.php...hlight=cpadvai
    Жалко, там почистили разъяснения Олега про хакерские наклонности пакета. $$$ - это он advapi32.dll патчит. Исправляет якобы. Сам-то по себе пакет не злонамеренный, но ведёт себя агрессивно.

    Может, всё-таки сделаете логи по правилам?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1124
    Цитата Сообщение от pig Посмотреть сообщение
    http://virusinfo.info/showthread.php...hlight=cpadvai
    Жалко, там почистили разъяснения Олега про хакерские наклонности пакета. $$$ - это он advapi32.dll патчит. Исправляет якобы. Сам-то по себе пакет не злонамеренный, но ведёт себя агрессивно.
    Может, всё-таки сделаете логи по правилам?
    Ок. Вчера весь день занята была машина.
    ----
    С Наступающим Новым Годом!
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Ничего особенного не увидел.
    AVZ - Файл - Выполнить скрипт:
    Код:
    begin
      QuarantineFile('C:\WINNT\system32\cpadvai.dll','');
      QuarantineFile('C:\WINNT\Pointdev\VNC\VNCHooks.dll','');
      QuarantineFile('С:\WINNT\system32\drivers\rtifdh.sys','');
    end.
    И пришлите карантин на рассмотрение. См. Приложение 2 к правилам, начиная с пункта 5. Наверное, все трое в базу безопасных пойдут.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    1124
    Хорошо. Теперь уже после Нового года. сpadvai.dll несмотря на то, что был показан в процессах на диске нет, и в карантин из процессов не копируется. Видимо, присутствует под другим именем.

  • Уважаемый(ая) santy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на руткит
      От sazmir в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.12.2011, 13:02
    2. Подозрение на руткит
      От loser3000 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 12.07.2010, 10:45
    3. Подозрение на руткит
      От Caterpillar в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.06.2010, 14:25
    4. Подозрение на руткит
      От TJDimas в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.04.2010, 05:04
    5. Подозрение на руткит
      От Hazard163 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 15.12.2008, 23:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00081 seconds with 17 queries