Printable View
логи прилагаются.
Trojan.Win32.Small.yc (кстати теперь каспер его по другому обзывает: Trojan.Win32.Agent.ekh, дня 2 назад поменяли..) убью сам, это уже не интересно... :)
вызывает интерес маскирующийся драйвер параллельного порта parport.sys
забыл добавить: при загрузке пытается установиться неизвестное устр-во
трояна убил, остальные интересности (прячущийся драйвер и неизвестное устр-во) остались.
AVZ достаточно часто засекает маcкировку parport. При этом сам драйвер успешно опознаётся как безопасный.
А насчёт неизвестного устройства - попробуйте удалить из системы все драйверы AVZ. Есть такой пункт в меню.
не помогло
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\basegkodj32.dll','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ..
[quote=V_Bond;179647]выполните скрипт ....
пришлите карантин согласно приложения 3 правил ..[/quote]
Этого я почикал, см. пост 2..
логи теперь ждать до пятницы...
интересует все-таки что за устройство пытается установиться и почему начал прятаться parport. началось все с экспериментов по заселению в ноут таракана по имени Email-Worm.Win32.Zhelatin.uq :)
после этого заметил там и small.yc, и маскирующийса парпорт, и пявилось новое устр-во..
[URL="ftp://ftp.kaspersky.ru/utils/getsysteminfo/GetSystemInfo.exe"]такой [/URL] лог сделайте еще ...
[quote=V_Bond;179808][URL="ftp://ftp.kaspersky.ru/utils/getsysteminfo/GetSystemInfo.exe"]такой [/URL] лог сделайте еще ...[/quote]
Хорошо.. в пятницу..
сделал.. 1.3мб.. нужен он такой?
методом исключений заподозрил в появлении этого устройства е-траст антивирус. его удаление совпало примерно по времени с этим устройством. причем до конца его не убили.. руки никак не дойдут..
в сведениях устройства-код экземпляра устройства есть строка ROOT\LEGACY_UZI3NJQ3\0000. В реестре в HKLM\SYSTEM\ControlSet002\Enum\Root\ есть 3 похожие записи: uzi3njq3, uti3njq3 и uоi3njq3.
от чего это и что будет если просто убить в реестре эти ветки?
[QUOTE=Karlson;181395]сделал.. 1.3мб.. нужен он такой?
[/QUOTE]
интересно .... запакуйте .... и выложите на slil.ru ссылку сюда ...
[quote=V_Bond;181397]интересно .... запакуйте .... и выложите на slil.ru ссылку сюда ...[/quote]
дык ужался то он нормально.. :) и суда влез.. :)
имелось ввиду надо ли копать 1.3 метра текста?
Amyuni PDF Converter - попробуйте деинсталировать ..
[quote=V_Bond;181409]Amyuni PDF Converter - попробуйте деинсталировать ..[/quote]
рад бы.. анинсталла нет, в установке/удалении программ не числится..
полез искать на форумы..
но интуиция почему-то не верит в его виновность.. :)
я так понимаю он пытается установить пдф принтер ....
попроблвать деинсталировать можно через какой нибудь твикер ...
[quote=V_Bond;181428]я так понимаю он пытается установить пдф принтер ....
попроблвать деинсталировать можно через какой нибудь твикер ...[/quote]
драйвер ставился через инф файл, сейчас проверил - работает.. какой твикер попробовать?
[URL="http://softsearch.ru/programs/209-276-vit-xp-tweak-download.shtml"]тут[/URL] есть кое что ...
[quote=V_Bond;181454][URL="http://softsearch.ru/programs/209-276-vit-xp-tweak-download.shtml"]тут[/URL] есть кое что ...[/quote]
ща попробую..
не видит она амуню..
да, действительно хочет поставить принтер. пробую переустановить, но при установке говорит, что порт не найден.. надо с парпортом разбираться, куда и от кого он маскируется.. раз в драйверах затык, дальше попробую сам поковыряться.. еще раз спасибо за помощь.
спать пошел.. :)
[QUOTE=Karlson;181457]надо с парпортом разбираться, куда и от кого он маскируется.. [/QUOTE]
Не надо. Считайте фичей. Если совсем страшно - попробуйте закарантинить, скорее всего, AVZ его не добавит как проходящего по базе безопасных.
да в общем то не страшно. просто эта фигня - новое неизвестное устр-во (принтер) и parport.sys видимо как то связаны.. а может и нет..
хмм.. в устройствах лпт порт отсутствует.. только сейчас внимание обратил..