Перехватчик speo.sys и не отключается служба TermService

[B][/B][SIZE=2]1. Не отключается служба TermService (Службы терминалов) - при отключении вручную в "Службах" или скриптом [/SIZE][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]AVZ[/SIZE][/FONT][/SIZE][/FONT][SIZE=2], или через реестр[/SIZE][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2] - [/SIZE][/FONT][/SIZE][/FONT][SIZE=2]после перезагрузки вновь активна (тип запуска - Вручную), но не запущена;[/SIZE]
[SIZE=2]2. При сканировании [/SIZE][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]AVZ [/SIZE][/FONT][/SIZE][/FONT][SIZE=2]определяет много перхватчиков, например:[/SIZE]
[SIZE=2]".. \FileSystem\ntfs[IRP_MJ_CREATE] = 89DE01F8 -> перехватчик не определен[/SIZE]
[SIZE=2]\FileSystem\ntfs[IRP_MJ_CLOSE] = 89DE01F8 -> перехватчик не определен[/SIZE]
[SIZE=2]\FileSystem\ntfs[IRP_MJ_WRITE] = 89DE01F8 -> перехватчик не определен[/SIZE]
[SIZE=2]\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89DE01F8 -> перехватчик не определен[/SIZE]
[SIZE=2]\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89DE01F8 -> перехватчик не определен.."[/SIZE]
[SIZE=2]или[/SIZE]
[SIZE=2]".. Функция NtCreateKey (29) перехвачена (806237E0->B7EAA0E0), перехватчик speo.sys[/SIZE]
[SIZE=2]>>> Функция воcстановлена успешно ![/SIZE]
[SIZE=2]>>> Код перехватчика нейтрализован[/SIZE]
[SIZE=2]Функция NtEnumerateKey (47) перехвачена (80624020->B7EC7CA2), перехватчик speo.sys[/SIZE]
[SIZE=2]>>> Функция воcстановлена успешно ![/SIZE]
[SIZE=2]>>> Код перехватчика нейтрализован[/SIZE]
[SIZE=2]Функция NtEnumerateValueKey (49) перехвачена (8062428A->B7EC8030), перехватчик speo.sys[/SIZE]
[SIZE=2]>>> Функция воcстановлена успешно !.."[/SIZE]
[SIZE=2]Причем этот файл - "speo.sys" каждый раз выступает в новой ипостаси - spxe.sys, sppn.sys и т.д., :P в системе их обнаружить не удаётся.[/SIZE]
[SIZE=2]На ноуте установлен обычный офисный набор +[/SIZE]
[SIZE=2]- [/SIZE][FONT=Times New Roman][SIZE=3]IKARUS Security Software - [/SIZE][/FONT][FONT=Times New Roman CYR][SIZE=3]рабочий, всё ловит, кроме вышеописанного;[/SIZE][/FONT]
[FONT=Times New Roman CYR]- [/FONT][FONT=Times New Roman]Bioscrypt VeriSoft Access Manager - [/FONT][FONT=Times New Roman CYR]для входа в систему по отпечатку пальца со встроенного сканера (ноут [/FONT][FONT=Times New Roman]HP Pavilion dv2855ee)[/FONT]
[FONT=Times New Roman CYR]Свежий AVPTool[/FONT][FONT=Times New Roman CYR] ничего не находит[/FONT]
[FONT=Times New Roman CYR]А так - всё работает и не тормозит особо... :)[/FONT]
[FONT=Times New Roman CYR]Заранее спасибо,[/FONT]
[FONT=Times New Roman]Geezer[/FONT]

sp**.sys - это от DaemonTools
Выполните скрипт в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ddnt.sys','');
QuarantineFile('C:\TEMP\ALSysIO.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Закачайте карантин по ссылке вверху страницы. Повторите логи АВЗ с включенным AVPZM.

[B]vegas[/B],
Спасибо!
Однако, прежде чем приступать, можно 2 вопроса:
1. В скрипте: _ ClearHostsFile; Зачем? Host сделал сам (SpyBot помог ), я так понимаю, это допзащита от нежелательных сайтов...
2 Файл APSHook.dll - принадлежит Verisoft Access Manager, программе, через которую я логинюсь по отпечатку пальца.. Пароль на вход я, естественно, давно забыл, и если я "пофиксю" этот файл, прога, скорее всего, вылетит и я не смогу войти в систему...
Жду комментариев
С уважением,
Geezer

Обычно большой hosts - работа зловреда, если вы сами его создали - удалять не будем :). APSHook.dll оставим в покое, включаем AVZPM, выполняем скрипт, закачиваем карантин и делаем новые логи

[B]vegas[/B], [QUOTE=vegas;475420]включаем AVZPM[/QUOTE]

AVZPM или AVZGuard? Драйвер AVZPM постоянно включен (загружен)...

AVZPM - установить драйвер расширенного мониторинга процессов, перезагрузиться, сделать логи

Скрипт выполнен, AVZPM установлен (задействовал при установке АВЗ, вроде загружен постоянно)

Логи чистые, драйвер AVZPM удалите. Какие то проблемы в работе компьютера имеются?

[B]vegas[/B],

Спасибо!
Был в командировке...
Проблем с работой нет. Волнуют лишь красные строки при проверке АВЗ, (свежий скан) типа:
"1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 89DE01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89DE01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89DE01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89DE01F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89DE01F8 -> перехватчик не определен.."
и
" Функция NtCreateKey (29) перехвачена (806237E0->B7EAA0E0), перехватчик spxs.sys
Функция NtEnumerateKey (47) перехвачена (80624020->B7EC7CA2), перехватчик spxs.sys
Функция NtEnumerateValueKey (49) перехвачена (8062428A->B7EC8030), перехватчик spxs.sys..."
Кстати, Вы писали - "sp**.sys - это от DaemonTools"
НО Я НЕ УСТАНАВЛИВАЛ DaemonTools ! Хотя файл sptd.sys в системе есть..
И второе - TermService (Службы терминалов) так и не отключается! Хоть скриптом в АВЗ, через редактор реестра или просто в службах... Отключаю - после перезагрузки опять "в ручном режиме". Первый раз такая проблема, всегда сразу после кстановки системы отключал TermService, а теперь как феникс... :O

[QUOTE]НО Я НЕ УСТАНАВЛИВАЛ DaemonTools ! Хотя файл sptd.sys в системе есть.[/QUOTE]
ну это от него, перехваты тоже... неужели никогда не ставили на компьютер никакой эмулятор дисков ?

[QUOTE]TermService (Службы терминалов) так и не отключается! Хоть скриптом в АВЗ, через редактор реестра или просто в службах...[/QUOTE]
такой скрипт применяете?
[code]begin
SetServiceStart('TermService', 4);
end.[/code]
При выполнении скрипта антивирусы и прочее отключаете ?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]