Не работают сертификаты CryptoPro

**Dma1** · 14.03.2008, 11:15

Сообщение от PavelA

http://technet.microsoft.com/en-us/s.../bb896653.aspx - ссылочка на описание.
Скриншот: http://technet.microsoft.com/en-us/s...s,MSDN.10).jpg

Через netview получаешь PID процесса, а затем в Process explorer ищешь его и открываешь "+", видишь что он вызывает.

сделал...
и как теперь узнать где сидит гадость?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 14.03.2008, 12:07

В ПроцессЭксплорере при наведении мышА на svchost должен отобразиться список загруженных служб.
Сделаешь скриншот, если получится.

**Dma1** · 14.03.2008, 12:14

надеюсь вы это имели в виду?

**PavelA** · 14.03.2008, 12:28

Тот, на который ты навел - связан с автомат обновлением.
В общем-то список служб выглядит вполне нормально. Ничего лишнего не видно.

Попробуй с остальными, которые лезут наружу. Увидишь с какими службами связаны

**Dma1** · 14.03.2008, 12:31

так даже если я убью процесс автообновления - через этот svchost через его PID идет загрузка трафика..... другие svchost в сеть не лезут...

**Dma1** · 14.03.2008, 12:34

вот что показывает TCPView
именно так он и поедает трафиик... заходя на неизвестные мне сайты...

**PavelA** · 14.03.2008, 13:27

wuauclt.exe - проверь на вирустотал.

**Dma1** · 14.03.2008, 15:05

Сообщение от PavelA

wuauclt.exe - проверь на вирустотал.

проверил - ни один из антивирусников ничего не обнаружил!!!
может ещё кого проверить то?

**PavelA** · 14.03.2008, 15:22

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\win dows\WindowsUpdate
- посмотри, что вот в этом ключе. Может сервер левый затясался.

Общий доступ в Интернет случайно не открыт. Есть вариант. что кто-то из сетки через твою машину лезет.

Службу BITS можно попробовать еще отключить.

**kps** · 14.03.2008, 15:25

Да, проверьте на ВирусТотал файлы:
GAGPDrv.sys (скорее всего он здесь: C:\WINDOWS\System32\Drivers\GAGPDrv.sys)
WmdmPmSN.sys (скорее всего здесь: C:\WINDOWS\System32\Drivers\WmdmPmSN.sys);

И на всякий случай можете еще проверить компьютер полностью с помощью AVPTool (на закладке "Автоматическая проверка" отметьте все жесткие диски и проверьте).

**PavelA** · 14.03.2008, 15:37

@kps
Вот этого не нашлось - WmdmPmSN.sys. См. выше

**XP user** · 14.03.2008, 16:19

Мне кажется, что надо попробовать сначала исправить следующие недостатки:

8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Потом предлагаю выполнить то, что описано здесь:
http://forum.kaspersky.com/index.php?showtopic=30184
Внимательно! Отключить службу это Поставить её тип запуска на 'Отключено' (+ Применить - ОК). Остановить не надо, 'убить процесс' тем более не надо - просто перезагрузить комп. Вы должны выйти из Интернета до того, как начинать!
Потом уже разобраться. Как вам это?

Paul

**Dma1** · 15.03.2008, 13:51

Сообщение от PavelA

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\win dows\WindowsUpdate
- посмотри, что вот в этом ключе. Может сервер левый затясался.

Общий доступ в Интернет случайно не открыт. Есть вариант. что кто-то из сетки через твою машину лезет.

Службу BITS можно попробовать еще отключить.

в реестре такого ключа нет вообще - я про виндоус апдейт по вашей ссылке...

общий доступ не открыт... по сетке поэтому никто лазить не может...

службу Bits у себя не нашел - где она???

Добавлено через 4 минуты

Сообщение от kps

Да, проверьте на ВирусТотал файлы:
GAGPDrv.sys (скорее всего он здесь: C:\WINDOWS\System32\Drivers\GAGPDrv.sys)
WmdmPmSN.sys (скорее всего здесь: C:\WINDOWS\System32\Drivers\WmdmPmSN.sys);

И на всякий случай можете еще проверить компьютер полностью с помощью AVPTool (на закладке "Автоматическая проверка" отметьте все жесткие диски и проверьте).

таких файлов на компе нет!
проверку сделал - всё чисто!

Добавлено через 21 минуту

Сообщение от p2u

Мне кажется, что надо попробовать сначала исправить следующие недостатки:

Потом предлагаю выполнить то, что описано здесь:
http://forum.kaspersky.com/index.php?showtopic=30184
Внимательно! Отключить службу это Поставить её тип запуска на 'Отключено' (+ Применить - ОК). Остановить не надо, 'убить процесс' тем более не надо - просто перезагрузить комп. Вы должны выйти из Интернета до того, как начинать!
Потом уже разобраться. Как вам это?

Paul

службы отключил - ничего не изменилось..
закачка в фоновом режиме продолжается -а кто качает - х.з.

**kps** · 15.03.2008, 15:01

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

**Dma1** · 17.03.2008, 11:11

Сообщение от kps

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

есть такое дело!

**PavelA** · 17.03.2008, 11:47

C:\WINDOWS\system32\ufdsvc.exe - вот этого зашли к нам на проверку.

**Dma1** · 17.03.2008, 11:52

Сообщение от PavelA

C:\WINDOWS\system32\ufdsvc.exe - вот этого зашли к нам на проверку.

Файл сохранён как 080317_035215_ufdsvc_47de313f1bc1d.zip
Размер файла 29583
MD5 93af71127dfc1d9665823d1b95b7a953

**kps** · 17.03.2008, 12:42

Проверьте следующие файлы на всякий случай на ВирусТотал и сообщите результат:
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Maxus\maxus.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\WinRAR\WinRAR.exe

Кстати, программа C:\Program Files\Maxus\maxus.exe Вам знакома?

Сделайте проверку целостности системных файлов:
a. Нажмите кнопку "Пуск" и выберите команду "Выполнить".
b. В диалоговом окне "Открыть" введите команду cmd и нажмите кнопку "OK".
c. В командной строке введите sfc /scannow и нажмите "ENTER".

**Dma1** · 18.03.2008, 10:49

Сообщение от kps

Проверьте следующие файлы на всякий случай на ВирусТотал и сообщите результат:
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Maxus\maxus.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\WinRAR\WinRAR.exe

Кстати, программа C:\Program Files\Maxus\maxus.exe Вам знакома?

Сделайте проверку целостности системных файлов:
a. Нажмите кнопку "Пуск" и выберите команду "Выполнить".
b. В диалоговом окне "Открыть" введите команду cmd и нажмите кнопку "OK".
c. В командной строке введите sfc /scannow и нажмите "ENTER".

все файлы кроме максуса чистые - но последний я ставил сам - поэтому знаю почему антивирусники его не любят, думаю вы тоже догадыватесь - но эта программа отношения к делу не имеет.
далее - целостность файлов проверял - всё нормально!

**CyberHelper** · 22.02.2009, 04:20

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Не работают сертификаты CryptoPro (заявка № 19342)

Опции темы

Итог лечения

Похожие темы

Зависает CryptoPro

Удаляются личные сертификаты

не находит сертификаты

Сертификаты...

Сертификаты

Ваши права в разделе