[justy]

d petr, DependOnService этого параметра нет.

Pili, провел сканирование. результаты приложены

[Pili]

justy, Лог какой то бедный, в безопасного реж. запускали и IE не был запущенным во время формирования логов?
Выполните скрипт в AVZ (файл-выполнить скрипт)

Цитата:

begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\Documents and Settings\human\My Documents\distr\mobiledit\Download_MOBILeditinstaller.exe',''); QuarantineFile('UPS.sys',''); QuarantineFile('c:\program files\tools\slim ftp\slimftpd.exe',''); QuarantineFile('C:\WINDOWS\system32\hpBat.cpl',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\VComm.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\TEUSBMU.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\nmserial.sys',''); BC_QrSvc('SlimFTPd'); BC_QrSvc('UPS'); BC_ImportAll; BC_Activate; end.

Полученный после скрипта карантин выложите пожалуйста на файлообменник (ifolder.ru например) для анализа.
Судя по этой и этой ссылкам slimftpd.exe нельзя считать безопасным, кроме того, рекомендуется установить это обновление (из 1-ой ссылки). Рекомендую попробовать поработать без slimftpd (отключить в автозагрузке и как службу) или перейти на использование другого Ftp сервера.
Если не используете winpcap (C:\Program Files\WinPcap), его также лучше деинсталлировать.


Дополнительно, что из этого не нужно? (можно будет настроить скриптом)

Цитата:

>> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешены терминальные подключения к данному ПК

Можно сделать более полный лог в защищенном режиме:
Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - Пуск/Сохранить протокол

[justy]

Pili, логи собирал строго следуя инструкции. в обычном режиме, т.к про безопасный было написано только для CureIt.

вот карантин, но судя по логу не все файлы успешно записались туда.

фтп отключил, результат тотже. WinPcap нужен для WireShark. Обновление установлено. из служб отключил NetMeeting Remote Desktop Sharing, остальные вроде нужные. я использую РДП для подключение к этому компьютеру. SSDP Discovery Service вызывает сомнение, UPNP нигде неиспользую.

лог исследования системы приложен.

кстати в безопасном режиме такойже простой при включении.

[justy]

обнаружил некоторую закономерность... до этого момента я все время перезагружался в безопасный режим с поддержкой сети. получал теже 3 минуты задержки. сейчас попробовал просто в безопасный режим. и вот все быстро прошло.

[Pili]

Карантин не дает скачивать наш прокси (у нас там антивирус проверяет), надо было его заархивировать с паролем virus
slimftpd.exe потенциально опасное ПО not-a-virus:Server-FTP.Win32.SlimFTPd.318 по Касперскому, остальные тоже ругаются

Цитата:

Fortinet - - Misc/SlimFTPd F-Prot - - W32/HackTool.BUX Ikarus - - not-a-virus:Server-FTP.Win32.SlimFTPd.318 McAfee - - potentially unwanted program Generic PUP Panda - - Generic Trojan Sophos - - SlimFTPd TheHacker - - Aplicacion/SlimFTPd.318 Webwasher-Gateway - - Riskware.SlimFTPd.318

UPS.sys, VComm.sys, в карантин не попали, поищите их через AVZ-сервис поиск файлов и проверьте самостоятельно на virustotal.com, остальные файлы чистые

[justy]

UPS.sys, VComm.sys этих файлов нет на единственном жеском диске... slimftpd удалил.

[Pili]

justy, если файлов нет, значит остались следы в реестре,
если не хотите делать необратимых изменений выполните скрипт

Цитата:

begin SetServiceStart('VComm', 4); SetServiceStart('UPS', 4); end.

Если удалять, то

Цитата:

begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('UPS'); BC_DeleteSvc('VComm'); SysCleanAddFile('UPS.sys'); SysCleanAddFile('C:\WINDOWS\system32\DRIVERS\VComm.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.

[justy]

проблема разрешилась. На компьютере был установлен APC PowerChut business edition который постоянно висел на одном из ком-портов и непозволял его корректно извлекать. чтобы решить эту проблему я остановил в services.msc все службы APC. после этого похоже это приложение стало некоректно работать. удаление PowerChut привело к положительному результату.

Благодарю всех за участие в решение проблемы!

[Petya V4sechkin]

justy, спасибо, что написали о решении.