Pigeon PP (или 007 Spy) не находятся антивирусами?

[Trick]

Уважаемые знатоки,

Онлайновая проверка на сайте CA (http://ca.com/ru/securityadvisor/pestscan/default.aspx) определяет
Backdoor "Pigeon PP" found in: key "hkey_local_machine \system\currentcontrolset\enum\root\legacy_svkp"

Agava AntiSpy определяет
"007 Spy" - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SVKP]

Запускаю DrWeb с обновлением 15.08.2007 - никаких сообщений.
AdAware 2007 Free - аналогично, молчит.

Есть или нет троян - не пойму.
Подскажите, в чём тут дело?
Логи прилагаю.

[drongo]

в регисторе посмотреть пробовали, есть такой ключ ? Если да - нужно убить. Также стоить проверить и остальные ключики из статьи

Теперь о наболевшем: когда вы научитесь читать правила и исполнять точно ? Следует обновить базы AVZ и отключить все ваши анти и ещё куча программ, кроме интернет експлорера , который нужно запустить. Что тут не ясно то ? Переделать. Ad- aware, Агава- антиспай можно смело удалить - только лишние ресурсы занимают, могут быть только глюки от их активности

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Local Website Archive\wsarc.exe','');
 QuarantineFile('C:\Program Files\Local Website Archive\wsarc_add.exe','');
 QuarantineFile('C:\Program Files\GPRSBooster\bho.dll','');
 QuarantineFile('C:\Program Files\DC53\Dc32.exe','');
 QuarantineFile('C:\Windows\System32\svkp.sys','');
 QuarantineFile('C:\Windows\System32\Drivers\svkp.sys','');
 QuarantineFile('C:\Documents and Settings\Дмитрий\Мои документы\Geopainting_GPSMapEdit_v1.0.16.1.zip','');
 RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11735

[Зайцев Олег]

Есть или нет троян - не пойму

1. Реестр - это база данных с древовидным представлением информации. Вирусов и троянов там нет и быть не может ! (это же база данных) Опасность несет исполняемый файл, а в реестре могут быть только ссылки на него, скажем ключ автозапуска или регистрация класса. Ссылка без файла не опасна.
2. legacy_svkp - это скорее всего от драйвера протектора SVKP, его драйвер имеет имя svkp.sys и размещается обычно в system32 или в System32\Drivers

[Trick]

drongo

В реестре раздел вижу. При попытке удалить, сообщение - "Не удаётся удалить LEGACY_SVKP. Ошибка при удалении раздела.".

Странно, все приложения ведь закрыл, в таскбаре ничего, кроме IE не было (правда, несколько экземпляров).

Поправил - удалил ещё всё, что смог, из трея. Там остался только DrWeb (отключенный, но выгрузить его невозможно - нет такого пункта в контекстном меню) и ActiveSync.

Переделал все логи, прилагаю повторно.

Архив карантина получился большим - 11Мб. При попытке отправить сообщает "Результат загрузки Unknown error. File not uploaded"
Следует ли повторить отправку?

Зайцеву Олегу.

Прошёлся поиском по дискам - на компьютере такого файла (svkp.sys) нет.

[pig]

Архив карантина получился большим - 11Мб. При попытке отправить сообщает "Результат загрузки Unknown error. File not uploaded"
Следует ли повторить отправку?

Пока не починили - закачайте куда-нибудь на zalil.ru или slil.ru и дайте ссылку.

[Trick]

Карантин тут - http://slil.ru/24746673

[Зайцев Олег]

В реестре раздел вижу. При попытке удалить, сообщение - "Не удаётся удалить LEGACY_SVKP. Ошибка при удалении раздела.".

И не удалится. Такие ключи создаются для драйверов и привилегии на них есть только у системы. для удаления ключа нужно сначала нажать на нем вы редакторе реестра правкую кнопку мыши, в всплывающем меню выбрать "разрешения" и дать полные права пользователю "Все", или добавть привилегии для своей учетной записи. После этого ключ удалится