Войти
| Регистрация
НОВОСТИ СТАТЬИ ВИДЕО ФАЙЛЫ ГАЛЕРЕЯ ССЫЛКИ ФОРУМ +1 G
RSS канал Новостей MSInsider
Страница MSInsider на Facebook
Страница MSInsider ВКонтакте
MSInsider на Twitter
Опрос
Вы участвуете в программе Windows Insider?
Результаты
Все опросы
Комментарии
mex 0
Всем привет. Весьма жаль. Но все равно был рад стать частью проекта @Nickolay и помогать в модерировании.  Mex
24.10.23 12:54
Благодарим
За активность и полезность в апреле
Последние видео
Обновление Windows 11 Moment 1
20.10.2022
Xbox Elite Wireless Controlle...
08.09.2022
Анимированные иконки в Windows 11 25188
26.08.2022
Новая анимация Панели задач в Windows 11 25179
12.08.2022
Microsoft Cameo в PowerPoint ...
07.06.2022
Свежие статьи
16.09.2022 Windows 11 - Активация полноэкранной Панели виджетов в Windows 11 25201 и выше
14.09.2022 Windows 11 - Активация поисковой строки Панели задач в Windows 11 25197 и выше
13.06.2022 Windows 11 - Включение вкладок в Проводнике Windows 11
20.05.2022 Windows 11 - Включение строки поиска в Интернете на Рабочем столе Windows 11
18.01.2022 Система Windows - Как запаролить папки и файлы на компьютере (Windows 10 и др)
Популярные новости
Обсуждаемые новости

1
MS INSIDER - Форумы - Операционные системы Microsoft - Windows 7 - При каждой загрузке новый драйвер

При каждой загрузке новый драйвер

Версия для печати
Johny-electric
Не в сети
Инсайдер
Сообщений: 3329
Благодарностей: 391
Предупреждений:
Из: Russia Усть-Илимск
Род занятий: Электромонтёр
Johny_Electric

Стоит семёрка 7127 билд, оригинал инглиш. Установленный софт

Антивирь нод 32 последней версии и базы каждый день обновляю. Включил создание лога при загрузке и наткнулся там на странный драйвер, который при каждой новой загрузке системы имеет новое имя. Вот несколько отрывков из лога загрузки (одно и то же место только при нескольких загрузках)

Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys

Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys

Loaded driver \SystemRoot\System32\Drivers\akyf6nq8.SYS

Loaded driver \SystemRoot\system32\DRIVERS\CompositeBus.sys





Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys

Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys

Loaded driver \SystemRoot\System32\Drivers\abvz1gm9.SYS

Loaded driver \SystemRoot\system32\DRIVERS\CompositeBus.sys





Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys

Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys

Loaded driver \SystemRoot\System32\Drivers\a93ierpm.SYS

Loaded driver \SystemRoot\system32\DRIVERS\CompositeBus.sys





Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys

Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys

Loaded driver \SystemRoot\System32\Drivers\a1c8hq3b.SYS

Loaded driver \SystemRoot\system32\DRIVERS\CompositeBus.sys





Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys

Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys

Loaded driver \SystemRoot\System32\Drivers\a7zkd3mu.SYS

Loaded driver \SystemRoot\system32\DRIVERS\CompositeBus.sys





Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys

Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys

Loaded driver \SystemRoot\System32\Drivers\a86eh2bw.SYS

Loaded driver \SystemRoot\system32\DRIVERS\CompositeBus.sys


Но файлов с такими именами не существует вообще на моём компьютере. В реестре при каждой загрузке меняется имя файла в этом ключе на тот, что загрузился при старте системы:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\a86eh2bw]

"Start"=dword:00000003

"Type"=dword:00000001

"Group"="SCSI miniport"



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\a86eh2bw\Enum]

"0"="ACPI\\PNPA000\\4&5d18f2df&0"

"Count"=dword:00000001

"NextInstance"=dword:00000001



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\a86eh2bw\Parameters]



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\a86eh2bw\Parameters\PnpInterface]

"0"=dword:00000001


Вот сейчас он например имеет имя того файла, что был загружен при последнем старте системы (a86eh2bw.SYS).

Отсюда вопрос к умным людям: что это такое, и может ли это быть вирусом?

Есть подозрение на драйвер SPTD от алкоголя, но я его удалял... Да и даже если это он, то мне интересен тот факт, что он при каждой загрузке имеет новое имя и так себя прописыает в реестр .

#166065   | 22.05.09 18:39
Lico
Не в сети
Ведущий раздела
Сообщений: 2109
Благодарностей: 298
Предупреждений:
Из: Russia Екатеринбург
Род занятий: IT

Johny-electric, сам алкоголь или и SPTD? При удалении алкоголя драйвер остается (будь он проклят)

#166067   | 22.05.09 18:45
Johny-electric
Не в сети
Инсайдер
Сообщений: 3329
Благодарностей: 391
Предупреждений:
Из: Russia Усть-Илимск
Род занятий: Электромонтёр
Johny_Electric

Lico, алкоголь ставил последней версии (в котором SPTD 1.58), но удалял его через установку и удаление программ. Да, походу SPTD то и не удалился... Ну ладно допустим это драйвер виртуального привода, но мне всё же интересен принцип этого рандомного получения имени при каждой загрузке. Для чего это сделано? Просто очень похоже на поведение вируса, загружающегося при старте системы, и меняющего своё имя...

#166068   | 22.05.09 18:48
Lico
Не в сети
Ведущий раздела
Сообщений: 2109
Благодарностей: 298
Предупреждений:
Из: Russia Екатеринбург
Род занятий: IT

Johny-electric, скачайте SPTDinst и сделайте Uninstall. А сделан рандомайз, чтобы хитрые старфорсы и прочие защиты не могли отловить этот драйвер по стандартному имени.

Поблагодарили: Johny-electric

#166069   | 22.05.09 18:52
AmiDreAm
Не в сети
Инсайдер
Сообщений: 914
Благодарностей: 36
Предупреждений:
Из: Russia Д.В.
Род занятий: ИТ

Насколько я помню по XPюше еще, у этого драйвера есть несколько файлов со строго прописанными именами. И если файл меняется - это вирус. Я ловил его в свое время. На 7 даже не пробую...

#166070   | 22.05.09 18:55
Lico
Не в сети
Ведущий раздела
Сообщений: 2109
Благодарностей: 298
Предупреждений:
Из: Russia Екатеринбург
Род занятий: IT

amifamif, со времен XP некоторые вещи изменились

#166071   | 22.05.09 18:59
Johny-electric
Не в сети
Инсайдер
Сообщений: 3329
Благодарностей: 391
Предупреждений:
Из: Russia Усть-Илимск
Род занятий: Электромонтёр
Johny_Electric

И действительно, SPTD установлен, хотя алкоголь удалял. Корявость блин . Удалил, ща ребутну с логом загрузки, проверю.

Всё ясно, это действительно был драйвер SPTD. Сейчас в логе загрузки эта строка исчезла:

Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys

Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys

Loaded driver \SystemRoot\system32\DRIVERS\CompositeBus.sys



В принципе тему можно закрывать, вопрос решён. Lico, спасибо за подсказку

#166072   | 22.05.09 19:15
Быстро
Разделы
Актуально
Мы
Экспорт
Все права принадлежат © ms insider @thevista.ru, 2022
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.03 секунд (Общее время SQL: 0.013 секунд - SQL запросов: 73 - Среднее время SQL: 0.00018 секунд))
Яндекс цитирования
Top.Mail.Ru