parport.sys маскируется

[Karlson]

логи прилагаются.
Trojan.Win32.Small.yc (кстати теперь каспер его по другому обзывает: Trojan.Win32.Agent.ekh, дня 2 назад поменяли..) убью сам, это уже не интересно...
вызывает интерес маскирующийся драйвер параллельного порта parport.sys

забыл добавить: при загрузке пытается установиться неизвестное устр-во

[Karlson]

трояна убил, остальные интересности (прячущийся драйвер и неизвестное устр-во) остались.

[pig]

AVZ достаточно часто засекает маcкировку parport. При этом сам драйвер успешно опознаётся как безопасный.

А насчёт неизвестного устройства - попробуйте удалить из системы все драйверы AVZ. Есть такой пункт в меню.

[Karlson]

не помогло

[V_Bond]

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\basegkodj32.dll','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ..

[Karlson]

выполните скрипт ....

пришлите карантин согласно приложения 3 правил ..

Этого я почикал, см. пост 2..
логи теперь ждать до пятницы...
интересует все-таки что за устройство пытается установиться и почему начал прятаться parport. началось все с экспериментов по заселению в ноут таракана по имени Email-Worm.Win32.Zhelatin.uq
после этого заметил там и small.yc, и маскирующийса парпорт, и пявилось новое устр-во..

[V_Bond]

такой лог сделайте еще ...

[Karlson]

такой лог сделайте еще ...

Хорошо.. в пятницу..

[Karlson]

сделал.. 1.3мб.. нужен он такой?
методом исключений заподозрил в появлении этого устройства е-траст антивирус. его удаление совпало примерно по времени с этим устройством. причем до конца его не убили.. руки никак не дойдут..
в сведениях устройства-код экземпляра устройства есть строка ROOT\LEGACY_UZI3NJQ3\0000. В реестре в HKLM\SYSTEM\ControlSet002\Enum\Root\ есть 3 похожие записи: uzi3njq3, uti3njq3 и uоi3njq3.
от чего это и что будет если просто убить в реестре эти ветки?

[V_Bond]

сделал.. 1.3мб.. нужен он такой?

интересно .... запакуйте .... и выложите на slil.ru ссылку сюда ...

[Karlson]

интересно .... запакуйте .... и выложите на slil.ru ссылку сюда ...

дык ужался то он нормально.. и суда влез..

имелось ввиду надо ли копать 1.3 метра текста?

[V_Bond]

Amyuni PDF Converter - попробуйте деинсталировать ..

[Karlson]

Amyuni PDF Converter - попробуйте деинсталировать ..

рад бы.. анинсталла нет, в установке/удалении программ не числится..
полез искать на форумы..

но интуиция почему-то не верит в его виновность..

[V_Bond]

я так понимаю он пытается установить пдф принтер ....
попроблвать деинсталировать можно через какой нибудь твикер ...

[Karlson]

я так понимаю он пытается установить пдф принтер ....
попроблвать деинсталировать можно через какой нибудь твикер ...

драйвер ставился через инф файл, сейчас проверил - работает.. какой твикер попробовать?

[V_Bond]

тут есть кое что ...

[Karlson]

тут есть кое что ...

ща попробую..

не видит она амуню..
да, действительно хочет поставить принтер. пробую переустановить, но при установке говорит, что порт не найден.. надо с парпортом разбираться, куда и от кого он маскируется.. раз в драйверах затык, дальше попробую сам поковыряться.. еще раз спасибо за помощь.

спать пошел..

[pig]

надо с парпортом разбираться, куда и от кого он маскируется..

Не надо. Считайте фичей. Если совсем страшно - попробуйте закарантинить, скорее всего, AVZ его не добавит как проходящего по базе безопасных.

[Karlson]

да в общем то не страшно. просто эта фигня - новое неизвестное устр-во (принтер) и parport.sys видимо как то связаны.. а может и нет..

хмм.. в устройствах лпт порт отсутствует.. только сейчас внимание обратил..