Вирус в файле подкачки Windows-7 - можно ли доверять срабатываниям Avast!?
Доброго времени суток.
Проблема такая:
Avast! Antivirus детектирует ряд угроз, в файле подкачки Windows-7. Проверяю с раздела Windows-XP и Ubuntu, при каждом новом создании его. При этом, ничего не обнаруживается в "Семёрке", что могло бы заражать. Установка Avast! "внутрь" "Семёрки" на защиту - ничего так же, подозрительного не выявляет.
Другие антивирусники, какими проверялся - так же ничего не находят.
Уже, больше пол-года маюсь с этой проблемой - замучило, честно говоря.
Общался с техподдержкой Avast!, пересылал им ни один хост-файл для иследования - говорят "всё чётко - никаких ложных срабатываний". А я им - как быть тогда? А они - "Вам сказать как пользоваться не легальной копией?". На что я ответил - MSDN образ DVD диска у меня, не легальной активации не использую. К тому же, хеш-суммы образа, совпадают, с опубликованными на MSDN.
Не поможете/ найти ответ, на эту проблему? Может быть аппаратный вирус "сидит" где-то в системе, и "затрагивает" его именно "Семёрка"...
Windows-XP работает нормально - без детектирований угроз в своём файле подкачки.
С уважением,
Аркадий
Последний раз редактировалось 74911709; 27.11.2011 в 11:16.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) 74911709, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Windows-7 Ultimate SP1 на чистую пере установлена. Никакого ПО не установлено, кроме обновлений Microsoft "Центра обновлений". Установлен ESET Antivirus 5.0 на защиту (после проверки "внутрь" установленным Avast! Antivirus).
Утилитой Dr.Web CureIt! проверялся, в режиме "усиленной защиты" - ничего не найдено. Так же, с LiveCD проверку всех разделов жёсткого диска... Где-то недели три назад.
По Kaspersky Removal Tool - пробовал, месяца два назад, на старой версии установки Windows-7. C Kaspersky Disk Rescue 10, проверял все разделы, два дня назад, антивирусными базами от 20.11.2011.
В принципе AVZ и HijackThis проверялся, так же на старой версии установки. Логи к сожалению не сохранил. Сделаю новые, согласно "правил" - выложу.
Логи - согласно "правил" (Диагностика п.п.1-3)...
ESET Antivirus полностью не выгружал - отключал только службу и автозагрузку. Поэтому, в логах присуствуют строчки запуска, и модуль ehdrv.sys с подозрением на RootKit.
NetWorx тоже - просто отключал.
Лог Malwarebytes' - как просили...
Есть правда проблемка... Может быть как-то влияет, на проблему с файлом подкачки... По безопасности Windows-7, может быть что то сбрасывается в swap файл, а уже Avast! воспринимает это как заражение...:
По данным S.M.A.R.T., у основного жёсткого диска завышены значения атрибутов "5-го" (значенние:89; допустимое:60) и "196-го" (значение:90; допустимое:59). У второго жёсткого диска (на нём как раз, чистая, только установка Windows-7) - значения не критичны (значение:1; допустимое:199).
Хотя, только пере установку "Семёрки", делал на второй диск, без подключения основного... CMOS очищал... Проблема со swap(ом) проявилась и в этом случае...
Проверочку инструментом TDSS делал в безопасном режиме загрузки, так же. С дополнительными опциями, и режимом по умолчанию. Ничего не обнаружено.
Лог - обычная загрузка ПК, запуск от имени администратора, дополнительные опции TDSS.
В версии, только установки Windows-7 Ultimate SP1 с последними обновлениями Microsoft, запустить проверку ComboFix не могу, в Safe Mode так же. Остановка проверки на этапе сообщения командной строки:
Scanning for infected files...
This typically doesn't take more than 10 minutes
However, scan times for badly infected machines may easily double
Зависания системы при этом нету. При попытке вывести из проблемного состояния - получаю зависание системы.
В режиме совместимости Windows-XP SP3, запустить проверку так же нельзя - сообщение окна проводника:
----WARNING----
Do not run ComboFix in Compatibilily Mode.
Doing so may damage the machine.
Лог делал в старой версии установки "Семёрки", с незначительным количеством установленного софта. Проблема с файлом подкачки, существует в обоих версиях установки.
На защиту сейчас установлен НОД. Ничего не обнаруживает. При попытке просканировать с раздела Ubuntu - НОД не сканирует целиком swop файл.
В реальном времени, при удалении исключений в настройках Avast! на сканирование pagefile.sys, принятые по умолчанию - так же ничего не обнаруживается. Срабатывания Avast!, при сканировании с WinXP, Ubuntu, LiveCD, Avast!BART CD.
Есть странная тенденция... Может что-то подскажет...
При делении swop файла в 1,1 Гигабайта, на части 1,467 Мегабйт (стандартная дискета) - получаю 4 - 5-ть заражённых частей. Детектирование угроз, при вновь воссозданном файле подкачки - каждый раз по разному, и примерно в тех самых частях.
При проверке этих частей на www.virustotal.com имеются срабатывания других антивирусников.
Результат одной из таких проверок, прилагаю...
Простите, не понял... Что загружать, целиком файл подкачки в 1,1 Гигабайт? Или заражённые части его, получившиеся при делении? Могу сжать архиватором 7-Zip, тогда объём передаваемых данных будет около 260 Мегабайт, имею ввиду если полностью целый swap файл. Вам же пересылать файлы можно упаковывая только Zip архиватором... Полагаю для анализа, чтобы помогло установить причину?
Такая ситуация сложилась... Проверил раздел с Windows-XP Pro SP3, ComboFix. Он нашёл подозрения в файлах msmqinst.log и _000008_.tmp.dll, соответственно перенеся их в "карантин". Так же удалил несколько параметров ветки реестра [HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\tcpip\parameters]. После этого, стала проявляться ситуация с файлом подкачки, аналогичная в Windows-7. Когда вернул всё на место - срабатываний Avast!, насчёт файла подкачки Windows-XP, не стало.
Поэкспериментировал отдельно, с подозрительными двумя этими файлами - вроде всё нормально. Остаётся только какие-то значения параметров ветки реестра, влияют на ситуацию с файлом подкачки. Может быть, как раз этих параметров не достаёт в реестре Windows-7, или они не верные изначально при установке системы. Получается, что сетевой адаптер..., что-то с ним связано, наверно.
Последний раз редактировалось 74911709; 13.12.2011 в 13:23.
Уважаемый(ая) 74911709, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: