ip6fw.sys и smtpdrv.sys

проверка идёт, сделано 70%. Но подскажите, что за процессы setup.exe и _start.exe работют в безопасном режиме? Они относятся к CureIT? причём setup отъел 2 Гб виртуальной памяти.

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 17 минут[/I][/B][/color][/size]

Cureit завершил проверку и ничего не нашёл, кроме карантина. Cureit выполнялся по полной программе с CD.
Пока не перегружался. среди процессов по-прежнему висят setup.exe и _start.exe
Я выполнил первый стандартный скрипт. Он лога не выдал, так как в шаге 1.2 написал:
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] -[1]

п. 2 по ссылке выполнил. Сейчас приложу лог

вот

Тот же лог после перезагрузки в обычный режим

Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('smtpdrv');
BC_DeleteFile('System32\DRIVERS\smtpdrv.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новые логи (стандартные, в нормальном режиме).

Братец Кролик, бесполезно.

На лечении/карантине опять ошибка. Исследование сстемы выплнено сразу после этого до перезагрузки, чтобы приложить лог тестирования.

выполните стандартный скрипт 6...
затем попробуйте выполнить стандартный скрипт 3 ...

не помогло. Ошибка в работе антируткита [Range Check error]

[size="1"][color="#666686"][B][I]Добавлено через 28 минут[/I][/B][/color][/size]

Добавил карантин. Там что-то новенькое. Может поможет разобраться.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 13 минут[/I][/B][/color][/size]

а как можно посмотреть стандартные скрипты?

в AVZ: Файл -- Станд. скрипты - отметить п.3 - нажать "Выполнить"

2zock ... поробуйте временно деинсталировать антивирус и файерволл ... и выполнить стандартный скрипт 3 ....

PavelA: имелось в виду посмотреть текст стандартного скрипта.

V-Bond: я попробую вечерком. До NOD и Outpost стоял Касперский антивирус и антихакер. Я их снёс перед установкой новых, в том числе и потоки NTFS, но может что-то осталось, что конфликтует между собой.

Может другими антируткитами провериться?

Для более старых версий есть текст на скриптовом языке. Могу выложить сюда.

Для лечения: отмечаешь п.1, выполнить. Затем проверка дисков с лечением полная.

Затем можно попробовать просто "Исследование системы".

Кажется чисто.
Что такое SSDP?
И что за процесс C:\PROGRA~1\MICROS~3\rapimgr.exe ?

Удалил NOD и Outpost. Наверно надо подправить в правилах, что надо не просто выгружать NOD, но и останавливать службу. В моём случае пришлось даже деинсталлировать.

1 [URL="http://www.oszone.net/2568/"]Служба обнаружения SSDP[/URL]
2 rapimgr.exe - ActiveSync Module
3 в логах ничего зловредного ...
4 из этого что используете ... ?

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Используется анонимный доступ. Как отключить администратоивный доступ к дискам и автозапуск?
SSDPSRV нужен для Canon Library. Спасибо за помощь

отключаем администратоивный доступ к дискам и автозапуск ...
выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RebootWindows(true);
end.
[/code]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]