-
Junior Member
- Вес репутации
- 58
Dr. Web CureIt! виснет при сканровании в безопасном режиме!
Приветствую Вас, уважаемые господа специалисты.
При тестировании в безопасном режиме Dr. Web CureIt! виснет или скорее "замерзает", как только доходит до сканирования папки C:\WINDOWS\system32\drivers и сканирование каждого файла длится около 30-40 мин. Потом происходит сбой и ОС подвисает и не реагирует на мышь и клавиатуру - только перезагрузка!
Загружается комп очень долго, NOD32 перестал обновляться. Такие же проблемы замечены и на других компах, куда вставлял свою флешку, так что пока начну с первого "больного". Отчеты по нему сделал согласно Вашим правилам.
Очень надеюсь на Вашу помощь, заранее Вам благодарен.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 58
Log GMER
Вот, есть такой лог
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 58
нет
-
Ничего зловредного в логах не увидела. Проблема с невозможностью обновить антивирус может быть связана с блокировкой левого ключа.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 58
-
Сообщение от
Fate
Может попробовать прислать логи остальных компьютеров - это сможет что- прояснить?
Попробуйте... Только для каждой машины отдельная тема и полный комплект логов по правилам.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 58
А что делать с этим компом?
И как относится к этм результатам проверки AVZ этого компьютера?:
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A7C31D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 897A8980 -> перехватчик не определен
----------------------------------------------
C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, все события
2. Определяет PID текущего процесса
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
Файл успешно помещен в карантин (C:\WINDOWS\system32\nview.dll)
C:\WINDOWS\system32\NVWRSRU.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\NVWRSRU.DLL>>> Поведенческий анализ
----------------------------------------------------
!!! Внимание !!! Восстановлено 9 функций KiST в ходе работы антируткита
----------------------------------------------------
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 58
А кто "перехватчик", и почему его не может определить AVZ?
-
C:\Program Files\Alcohol Soft\Alcohol 120
Там драйвер есть, он хорошо прячется. Правда, в логе его всё равно видно.
-
-
Junior Member
- Вес репутации
- 58
Так все-таки, это вирус? И что делать с Alcohol 120? Он вредит работе ОС?
-
Это эмулятор дисков. Вы его сами ставили - наверное, для запуска игр без дисков.
-
-
Junior Member
- Вес репутации
- 58
Так БЫТЬ или не БЫТЬ?
Это я знаю, ставил недавно и после установки пявились вышеописанные прблемы. Причина уже ясна, осталось разобраться со следствием.
Однако это далеко не первый эмулятор дисков, который я ставил на свой комп, но первый из тех, кто заметно ухудшил работу компа. Поэтому, вопрос у меня все же остался - так должен работать Alcohol 120%, т.е.: значительно тормозить работу компа, прибивать обновление антивирусника, запускать файл SPTD.SYS в безопасном режиме и заставить повиснуть в нем Dr. Web CureIt. Или все же мне попался Alcohol 120% со встроенным и хорошо маскируемым вирусом?
-
В логах AVZ активного заражения не видно, а лог антируткита не показал никаких аномалий в системе.
Сообщение от
Fate
так должен работать Alcohol 120%, т.е.: значительно тормозить работу компа, прибивать обновление антивирусника, запускать файл SPTD.SYS
Да, за исключением второго. Я Вам уже написала причину, по которой антивирус может не обновляться.
Сообщение от
Fate
Или все же мне попался Alcohol 120% со встроенным и хорошо маскируемым вирусом?
Нет.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 58
Просьба проверить новые логи
Хочется быть окончательно уверенным в отсутствии зловредов на моем компе. Поэтому прошу Вас еще раз проверить новые логи, сделанные после удаления Alcohol 120 и удаления файла SPTD.SYS из C:\WINDOWS\system32\drivers.
После этих действий комп стал загружаться как и прежде.
НО! Осталась проблема с тестированием Dr. Web CureIt! безопасном режиме:
- при полной проверке комп "замерзает", на сканирования папки C:\WINDOWS\system32\drivers и сканирование каждого файла длится около 30-40 мин. Этот же эффект наблюдается еще на двух компах (на одном из которых не был установлен Alcohol 120, но все три компа были в одной LAN).
- данный эффект отсутствует при тестировании Dr. Web CureIt! в безопасном режиме на быстрой проверке - проверку проходят все компы и вирусы не найдены (на всех трех компах).
- попытка в этом же безопасном режиме протестировать в выборочной проверке папку C:\WINDOWS\system32\drivers тоже приводит к "замерзанию" компа.
- проверка производилась тремя разными версиями Dr. Web CureIt! с разницей по дате в несколько дней, взятыми с официального сайта, последний файл - m5n6zytp.exe (может ли он быть заражен или перехвачен вирусом при распаковке и запуске?).
Очень хочется понять, в чем проблема с Dr. Web CureIt!, надеюсь на Вашу помощь.
-
Проверка с помощью CureIt осуществлялась при отключенном защитном ПО?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 58
Не совсем понял что значит "отключенном защитном ПО". Если Вы имели ввиду опцию "отключит восстановление сисиемы на всех дисках", то ДА - отключена.
-
Сообщение от
Fate
Не совсем понял что значит "отключенном защитном ПО".
Антивирус с фаерволом отключали?
Сердце решает кого любить... Судьба решает с кем быть...
-