ip6fw.sys и smtpdrv.sys

[zock]

проверка идёт, сделано 70%. Но подскажите, что за процессы setup.exe и _start.exe работют в безопасном режиме? Они относятся к CureIT? причём setup отъел 2 Гб виртуальной памяти.

Добавлено через 6 часов 17 минут

Cureit завершил проверку и ничего не нашёл, кроме карантина. Cureit выполнялся по полной программе с CD.
Пока не перегружался. среди процессов по-прежнему висят setup.exe и _start.exe
Я выполнил первый стандартный скрипт. Он лога не выдал, так как в шаге 1.2 написал:
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] -[1]

п. 2 по ссылке выполнил. Сейчас приложу лог

[zock]

вот

[zock]

Тот же лог после перезагрузки в обычный режим

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
 BC_DeleteSvc('smtpdrv');
 BC_DeleteFile('System32\DRIVERS\smtpdrv.sys');
BC_Activate;
RebootWindows(true);
end.

Сделайте новые логи (стандартные, в нормальном режиме).

[zock]

Братец Кролик, бесполезно.

На лечении/карантине опять ошибка. Исследование сстемы выплнено сразу после этого до перезагрузки, чтобы приложить лог тестирования.

[V_Bond]

выполните стандартный скрипт 6...
затем попробуйте выполнить стандартный скрипт 3 ...

[zock]

не помогло. Ошибка в работе антируткита [Range Check error]

Добавлено через 28 минут

Добавил карантин. Там что-то новенькое. Может поможет разобраться.

Добавлено через 1 час 13 минут

а как можно посмотреть стандартные скрипты?

[PavelA]

в AVZ: Файл -- Станд. скрипты - отметить п.3 - нажать "Выполнить"

[V_Bond]

2zock ... поробуйте временно деинсталировать антивирус и файерволл ... и выполнить стандартный скрипт 3 ....

[zock]

PavelA: имелось в виду посмотреть текст стандартного скрипта.

V-Bond: я попробую вечерком. До NOD и Outpost стоял Касперский антивирус и антихакер. Я их снёс перед установкой новых, в том числе и потоки NTFS, но может что-то осталось, что конфликтует между собой.

Может другими антируткитами провериться?

[PavelA]

Для более старых версий есть текст на скриптовом языке. Могу выложить сюда.

Для лечения: отмечаешь п.1, выполнить. Затем проверка дисков с лечением полная.

Затем можно попробовать просто "Исследование системы".

[zock]

Кажется чисто.
Что такое SSDP?
И что за процесс C:\PROGRA~1\MICROS~3\rapimgr.exe ?

[zock]

Удалил NOD и Outpost. Наверно надо подправить в правилах, что надо не просто выгружать NOD, но и останавливать службу. В моём случае пришлось даже деинсталлировать.

[V_Bond]

1 Служба обнаружения SSDP
2 rapimgr.exe - ActiveSync Module
3 в логах ничего зловредного ...
4 из этого что используете ... ?

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

[zock]

Используется анонимный доступ. Как отключить администратоивный доступ к дискам и автозапуск?
SSDPSRV нужен для Canon Library. Спасибо за помощь

[V_Bond]

отключаем администратоивный доступ к дискам и автозапуск ...
выполните скрипт ...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RebootWindows(true);
end.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 15
• В ходе лечения вредоносные программы в карантинах не обнаружены