-
parport.sys маскируется
логи прилагаются.
Trojan.Win32.Small.yc (кстати теперь каспер его по другому обзывает: Trojan.Win32.Agent.ekh, дня 2 назад поменяли..) убью сам, это уже не интересно...
вызывает интерес маскирующийся драйвер параллельного порта parport.sys
забыл добавить: при загрузке пытается установиться неизвестное устр-во
Последний раз редактировалось Karlson; 13.11.2008 в 00:25.
Dis is one half.
Press any key to continue...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
трояна убил, остальные интересности (прячущийся драйвер и неизвестное устр-во) остались.
Последний раз редактировалось Karlson; 13.11.2008 в 00:25.
Dis is one half.
Press any key to continue...
-
-
AVZ достаточно часто засекает маcкировку parport. При этом сам драйвер успешно опознаётся как безопасный.
А насчёт неизвестного устройства - попробуйте удалить из системы все драйверы AVZ. Есть такой пункт в меню.
-
-
Dis is one half.
Press any key to continue...
-
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\basegkodj32.dll','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ..
-
-
Сообщение от
V_Bond
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ..
Этого я почикал, см. пост 2..
логи теперь ждать до пятницы...
интересует все-таки что за устройство пытается установиться и почему начал прятаться parport. началось все с экспериментов по заселению в ноут таракана по имени Email-Worm.Win32.Zhelatin.uq
после этого заметил там и small.yc, и маскирующийса парпорт, и пявилось новое устр-во..
Dis is one half.
Press any key to continue...
-
-
такой лог сделайте еще ...
-
-
Сообщение от
V_Bond
такой лог сделайте еще ...
Хорошо.. в пятницу..
Dis is one half.
Press any key to continue...
-
-
сделал.. 1.3мб.. нужен он такой?
методом исключений заподозрил в появлении этого устройства е-траст антивирус. его удаление совпало примерно по времени с этим устройством. причем до конца его не убили.. руки никак не дойдут..
в сведениях устройства-код экземпляра устройства есть строка ROOT\LEGACY_UZI3NJQ3\0000. В реестре в HKLM\SYSTEM\ControlSet002\Enum\Root\ есть 3 похожие записи: uzi3njq3, uti3njq3 и uоi3njq3.
от чего это и что будет если просто убить в реестре эти ветки?
Dis is one half.
Press any key to continue...
-
-
Сообщение от
Karlson
сделал.. 1.3мб.. нужен он такой?
интересно .... запакуйте .... и выложите на slil.ru ссылку сюда ...
-
-
Сообщение от
V_Bond
интересно .... запакуйте .... и выложите на slil.ru ссылку сюда ...
дык ужался то он нормально.. и суда влез..
имелось ввиду надо ли копать 1.3 метра текста?
Последний раз редактировалось Karlson; 21.01.2009 в 16:46.
Dis is one half.
Press any key to continue...
-
-
Amyuni PDF Converter - попробуйте деинсталировать ..
-
-
Сообщение от
V_Bond
Amyuni PDF Converter - попробуйте деинсталировать ..
рад бы.. анинсталла нет, в установке/удалении программ не числится..
полез искать на форумы..
но интуиция почему-то не верит в его виновность..
Последний раз редактировалось Karlson; 01.02.2008 в 22:19.
Dis is one half.
Press any key to continue...
-
-
я так понимаю он пытается установить пдф принтер ....
попроблвать деинсталировать можно через какой нибудь твикер ...
-
-
Сообщение от
V_Bond
я так понимаю он пытается установить пдф принтер ....
попроблвать деинсталировать можно через какой нибудь твикер ...
драйвер ставился через инф файл, сейчас проверил - работает.. какой твикер попробовать?
Dis is one half.
Press any key to continue...
-
-
-
-
Сообщение от
V_Bond
ща попробую..
не видит она амуню..
да, действительно хочет поставить принтер. пробую переустановить, но при установке говорит, что порт не найден.. надо с парпортом разбираться, куда и от кого он маскируется.. раз в драйверах затык, дальше попробую сам поковыряться.. еще раз спасибо за помощь.
спать пошел..
Последний раз редактировалось Karlson; 01.02.2008 в 23:31.
Dis is one half.
Press any key to continue...
-
-
Сообщение от
Karlson
надо с парпортом разбираться, куда и от кого он маскируется..
Не надо. Считайте фичей. Если совсем страшно - попробуйте закарантинить, скорее всего, AVZ его не добавит как проходящего по базе безопасных.
-
-
да в общем то не страшно. просто эта фигня - новое неизвестное устр-во (принтер) и parport.sys видимо как то связаны.. а может и нет..
хмм.. в устройствах лпт порт отсутствует.. только сейчас внимание обратил..
Dis is one half.
Press any key to continue...
-