Не работают сертификаты CryptoPro

[PavelA]

Куреитом полную проверку делал или только начальную?

[Dma1]

делал полную проверку... всё чисто!

Добавлено через 1 час 20 минут

итак - что вновь обнаружил... всё-таки какой-то гад сидит внутри системы...
TCPView - вот что показывает - естественно цвето-музыка.... вот некоторые строчки
svchost.exe:828 TCP mk_gurbich:1761 cds459.lon.llnw.net:http SYN_SENT
svchost.exe:828 TCP mk_gurbich:1763 cds462.lon.llnw.net:http SYN_SENT
svchost.exe:828 TCP mk_gurbich:1767 cds459.lon.llnw.net:http SYN_SENT
svchost.exe:828 TCP mk_gurbich:1765 213-248-111-27.customer.teliacarrier.com:http SYN_SENT
svchost.exe:828 TCP mk_gurbich:1768 213-248-111-16.customer.teliacarrier.com:http SYN_SENT
и вот этот гад - в течение дня где-то 50 метров траффика кушает..
как его найти и уничтожить???

Добавлено через 1 час 33 минуты

посчитал - сейчас у меня работаю 12 svchost вместо положенных 4-5.... как от них избавиться???

[PavelA]

Логи нужны новые. Только с закрытыми qip & thebat!. М.б. что-то новое залетело, кстати без них svchost будет поменьше.

[Dma1]

про новое - это вряд ли...
всё уже давно сидит...
закрыл НОД, Бат и QIP и заодно маил агент.
новые логи прилагаю.

[V_Bond]

C:\WINDOWS\System32\Drivers\mdmMod2.sys - пришлите согласно приложения 3 правил ....

[Dma1]

C:\WINDOWS\System32\Drivers\mdmMod2.sys - пришлите согласно приложения 3 правил ....

это программа - Реан-Поли от Медиком МТД.
про добавление - чтобы отправить согласно приложения 3 - этот файл должен быть в карантине - но AVZ его туда не отправляет.
как по-другому вам его прислать?

[V_Bond]

если это известная вам программа , присылать не нужно ....
какие -то проблемы остались ?

[Dma1]

если это известная вам программа , присылать не нужно ....
какие -то проблемы остались ?

проблема всё та же - постоянно съедается траффик...
приводил ссылки то что пишет TCPView
а кто его ест и как от трояна или кто там сидит избавиться - не знаю!!!
ни один антивирус его не видит!

[PavelA]

Пришли вот этот файлик:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('WmdmPmSN.sys','');
 BC_QrSvc('WmdmPmSN');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Что-то его совершенно никто в гугле не знает, подозрительно мне это.

[V_Bond]

InterBase дает трафик ...

Добавлено через 1 минуту

Код:

посчитал - сейчас у меня работаю 12 svchost вместо положенных 4-5.... как от них избавиться???

может быть больше двадцати ...

[Dma1]

Пришли вот этот файлик:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('WmdmPmSN.sys','');
 BC_QrSvc('WmdmPmSN');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Что-то его совершенно никто в гугле не знает, подозрительно мне это.

может этот файл руками вам прислать?
потому что после выполнения вашего скрипта - папка появилась в карантине - но она пустая... соотвественно через AVZ ничего заархивировать нельзя!
что делать???

и ещё - после выполнения ваших скриптов - при перезагрузке или выключении компа он минуты 3-4 думает - а только потом выключается. в чем может быть причина повисания перед выключением???

Добавлено через 1 минуту

InterBase дает трафик ...

Добавлено через 1 минуту

Код:

посчитал - сейчас у меня работаю 12 svchost вместо положенных 4-5.... как от них избавиться???

может быть больше двадцати ...

как от него избавиться? или так и должно быть????
но про траффик - повторюсь - в TCPView то видно что кто-то заходит на левые сайты...

[PavelA]

Файлик этот есть на диске? Если есть, то попробуй проделать скрипт еще раз в защищенном режиме.

Для анализа работы сетки можно попробовать триальную версию X-Netstat с сайта www.freshsw.com Программа показывает много чего интересного.

Подвисает при перезагрузке по причине того, что запущенные процессы завершаются без оповещения.

[Dma1]

нет - такого файла на диске нет! может он как-то по-другому называется???

про перезагрузку - раньше ведь такого не было...
а теперь и когда без скриптов перезагружаешь комп - всё подвисает после надписи завершение работы...
какие варианты исправления долгого выключения?

[PavelA]

в AVZ Сервис - Диспетчер служб - выбрать справа показать ВСЕ
Найти:
Служба серийных номеров переносных устройств мультимедиа

Сверху есть кнопочки для копирования в карантин. М.б. получиться таким способом получить этот файл

[Dma1]

эта служба не запущена - и при попытке скопировать в карантин - пишет что всё скопирована - но папка всё же остается пустой!

вот что пишет AVZ
Ошибка карантина файла, попытка прямого чтения (WmdmPmSN.sys)
Карантин с использованием прямого чтения - ошибка

[PavelA]

Значит, можно к ногтю ее, оттуда же.

[Dma1]

Значит, можно к ногтю ее, оттуда же.

не понял - откуда оттуда же?
такого файла на диске нет!!!

[PavelA]

Из Менеджера сервисов AVZ ее можно удалить.

По теме: запросил "помощь зала". Жди вопросов.

Значится так. Надо скачать Process Explorer, он маленький. Раньше жил на sysinternals.com

В нем, если навести мышу на svchost, то он покажет что он запускает.
Особо естественно интересны те, которые стучатся наружу.
Вообще, можно их всех (svchost) поизучать.

THK borka за совет.

[Dma1]

Из Менеджера сервисов AVZ ее можно удалить.

По теме: запросил "помощь зала". Жди вопросов.

Значится так. Надо скачать Process Explorer, он маленький. Раньше жил на sysinternals.com

В нем, если навести мышу на svchost, то он покажет что он запускает.
Особо естественно интересны те, которые стучатся наружу.
Вообще, можно их всех (svchost) поизучать.

THK borka за совет.

из менеджера сервисов - удалил - хоть и он был не запущен!

далее...
я готов к вопросам!!!

скачал процесс экслпорер - установил.... а дальше что с ним делать то???
показывает что svchost заходит на сайты - а как выяснить какой файл запускает эту цепочку реакций??? т.е. как поизучать?

[PavelA]

http://technet.microsoft.com/en-us/s.../bb896653.aspx - ссылочка на описание.
Скриншот: http://technet.microsoft.com/en-us/s...s,MSDN.10).jpg

Через netview получаешь PID процесса, а затем в Process explorer ищешь его и открываешь "+", видишь что он вызывает.