на что похожа маскировка (AVZ) ?

[Wit12]

второй раз в Drweb 5 отключается spider, без возможности восстановления
слать в помогите ?
пока делаю проверку (по инструкции)

Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 09.01.2009 18:48:35
Загружена база: сигнатуры - 204891, нейропрофили - 2, микропрограммы лечения - 56, база от 08.01.2009 17:46
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 75597
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 80504450 (284)
Функция NtCreateKey (29) перехвачена (80623786->F7476B3A), перехватчик E:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateKey (47) перехвачена (80623FC6->F7476C7E), перехватчик E:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (80624230->F7476FF6), перехватчик E:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (80624B58->F7476A1, перехватчик E:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (80624E7E->F74770C0), перехватчик E:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (806219BE->F7476F5, перехватчик E:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (80621D0C->F747714, перехватчик E:\WINDOWS\system32\Drivers\sptd.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=2396, имя = "\Device\HarddiskVolume2\Program Files\DrWeb\spidernt.exe"
>> обнаружена подмена имени, новое имя = "e:\progra~1\drweb\spidernt.exe"
Маскировка процесса с PID=3220, имя = "DrWeb32w.exe", полное имя = "\Device\HarddiskVolume2\Program Files\DrWeb\DrWeb32w.exe"
>> обнаружена подмена PID (текущий PID=2247554168, реальный = 3220)
>> обнаружена подмена имени, новое имя = "0п┼Рх"("
Маскировка процесса с PID=5244, имя = "DrWeb32w.exe", полное имя = "\Device\HarddiskVolume2\Program Files\DrWeb\DrWeb32w.exe"
>> обнаружена подмена PID (текущий PID=0, реальный = 5244)
>> обнаружена подмена имени, новое имя = "н}д"
Маскировка процесса с PID=4424, имя = "DrWeb32w.exe", полное имя = "\Device\HarddiskVolume2\Program Files\DrWeb\DrWeb32w.exe"
>> обнаружена подмена PID (текущий PID=65536, реальный = 4424)
>> обнаружена подмена имени, новое имя = "РЎ"TРЎ"TРЎ"J/P"
Маскировка процесса с PID=4080, имя = "DrWeb32w.exe", полное имя = "\Device\HarddiskVolume2\Program Files\DrWeb\DrWeb32w.exe"
>> обнаружена подмена PID (текущий PID=0, реальный = 4080)
>> обнаружена подмена имени, новое имя = ""
Маскировка процесса с PID=8176, имя = "DrWeb32w.exe", полное имя = "\Device\HarddiskVolume2\Program Files\DrWeb\DrWeb32w.exe"
>> обнаружена подмена PID (текущий PID=6648, реальный = 8176)
>> обнаружена подмена имени, новое имя = "mplayerc.exe"
Маскировка процесса с PID=6628, имя = "taskmgr.exe", полное имя = "\Device\HarddiskVolume2\WINDOWS\system32\taskmgr. exe"
>> обнаружена подмена PID (текущий PID=0, реальный = 662
>> обнаружена подмена имени, новое имя = ""
Маскировка процесса с PID=7524, имя = "drwreg.exe", полное имя = "\Device\HarddiskVolume2\Program Files\DrWeb\drwreg.exe"
>> обнаружена подмена PID (текущий PID=65536, реальный = 7524)
>> обнаружена подмена имени, новое имя = ""T "T "J/P"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 865D4EB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 865D4EB0 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 85ED30E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 85ED30E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 85ED30E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 85ED30E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85ED30E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 85ED30E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 85ED30E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 85ED30E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 85ED30E8 -> перехватчик не определен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 80
Количество загруженных модулей: 536
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
E:\Program Files\DrWeb\drwebsp.dll --> Подозрение на Keylogger или троянскую DLL
E:\Program Files\DrWeb\drwebsp.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>> Таймаут завершения служб находится за пределами допустимых значений
Проверка завершена
Просканировано файлов: 616, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 09.01.2009 18:49:20
Сканирование длилось 00:00:47
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

[AndreyKa]

Spider в 5 версии не может быть отключен иначе как пользователем. Смотрите его лог.
Вы пять сканеров DrWeb специально запустили?

[Wit12]

Spider в 5 версии не может быть отключен иначе как пользователем. Смотрите его лог.
Вы пять сканеров DrWeb специально запустили?

Когда я обноружил, что вирус не детектится спайдером, "посмотрел" на иконку. Он был включен. Выключил/включил снова. 0 эмоций
второй раз так же. только перезагрузка помогает.
Сканеры запускались для проврки скачанных файлов. Я ихъ естевенно закрывал после проверки.

скажите , переуставка с 0 (я ставил поверх 4.44) сведет глюки на 0 ?
ситуация не вирусная ?

[AndreyKa]

Спайдер может пропускать вирус если он его не знает или вирус находится в архиве. Без анализа лога спайдера определенно ничего нельзя сказать.
Версию 5 надо было ставить предварительно деинсталлировав 4.44.
Для оценки наличия вирусов нужно действовать с соответствии с Правилами.

[Wit12]

Спайдер может пропускать вирус если он его не знает или вирус находится в архиве. Без анализа лога спайдера определенно ничего нельзя сказать.
Версию 5 надо было ставить предварительно деинсталлировав 4.44.
Для оценки наличия вирусов нужно действовать с соответствии с Правилами.

спасибо....
решилось деинсталяцей продукта
удалением папаки \program files\drweb
устновкой заного

теперь спайдер включается и отключается успешно

вирусную тревогу бить считаю преждевременно

[Wit12]

спасибо....
решилось деинсталяцей продукта
удалением папаки \program files\drweb
устновкой заного

теперь спайдер включается и отключается успешно

вирусную тревогу бить считаю преждевременно

опять отключился.....

[AndreyKa]

Spider не отключается. При обновлении баз через раз видим:

[Вирусная база] E:\Documents and Settings\All Users\Application Data\Doctor Web\Bases\drwebase.vdb - ошибка

Основная база не загружена - детекта большинства вирусов нет.
Проверяйте диск на сбойные кластеры.
+ Как вариант: сбойная ОЗУ.

[Wit12]

Spider не отключается. При обновлении баз через раз видим:

Основная база не загружена - детекта большинства вирусов нет.
Проверяйте диск на сбойные кластеры.

вот тебе бабушка ..... и Юрьев день
у винтов детский возраст :\ и поставщик хвалил как безпробленые.
просьба уточнить :
сделать проверку логики диска ?
chkdsk E: /f
полную
chkdsk E: /f /r
или лучше MHDD/Viktoria

[AndreyKa]

лучше MHDD

[Wit12]

лучше MHDD

MHDD не "тронет" логику NTFS
А на E: ошибки в рисунке тома
делаю MHDD обоим жестким
потом при нормальной зайгрузке винда сома проверит на логику

Добавлено через 5 часов 21 минуту

лучше MHDD

проверил все.
тоже самое
...drwebase.vdb - ошибка

[Wit12]

проверил все.
тоже самое
...drwebase.vdb - ошибка

нет мыслей?

[AndreyKa]

ОЗУ проверяли?
Процессор не разгоняли?

[Wit12]

ОЗУ проверяли?
Процессор не разгоняли?

ОЗУ проверял memtest (загрузка с CD) ... правда до конца ждать не стал....
прогнал несколько этапов

процессор не разгонял
в остальном компьютер работает стабильно.

[AndreyKa]

01-01-2009 22:01:10 [Вирусная база] C:\Documents and Settings\All Users\Application Data\Doctor Web\Bases\drwebase.vdb - ошибка
получается, что не подгружалась основная база.

Такое, к сожалению, почему-то бывает - спайдер не может загрузить основную базу. Но не воспроизводится и до причин докопаться не удается.

http://forum.drweb.com/index.php?showtopic=276690
Обращайтесь в техническую поддержку DrWeb.