Dr. Web CureIt! виснет при сканровании в безопасном режиме!

[COLOR=black][FONT=Verdana]Приветствую[/FONT][/COLOR] Вас, уважаемые господа специалисты.
При тестировании в безопасном режиме Dr. Web CureIt! виснет или скорее "замерзает", как только доходит до сканирования папки C:\WINDOWS\system32\drivers и сканирование каждого файла длится около 30-40 мин. Потом происходит сбой и ОС подвисает и не реагирует на мышь и клавиатуру - только перезагрузка!
Загружается комп очень долго, NOD32 перестал [COLOR=black][FONT=Verdana]обновляться[/FONT][/COLOR]. Такие же проблемы замечены и на других компах, куда вставлял свою флешку, так что пока начну с первого "больного". Отчеты по нему сделал согласно Вашим правилам.
Очень надеюсь на Вашу помощь, заранее Вам благодарен.

Такой лог сделайте [url]http://virusinfo.info/showthread.php?t=40118[/url]

Вот, есть такой лог:)

NOD32 лицензионный?

нет:(

Ничего зловредного в логах не увидела. Проблема с невозможностью обновить антивирус может быть связана с блокировкой левого ключа.

Станно, :( одако симтомы вирусного поведения остались прежние - очень медленная загрузка и зависание при сканировании Dr. Web CureIt! в безопасном режиме. Точно такие же симтомы наблюдаются еще на трех моих компютерах. Все они периодически подключаются к LAN и "общаются" друг с другом еще и через флешки.
Интересен еще такой факт, относящийся ко всем трем компам. После сканирования Dr. Web CureIt! несколькими последними версиями и в разных режимах стандартная иконка Internet Explorer на рабочем столе вмето запуска браузера создает на рабочем столе свои копии. После удаления этой иконки и ее клонов, восстановить ее через Свойста Рабочего стола уже нельзя - ее там просто нет!:(.
Вчера после первого запроса к Вам с Основного Компьютера собрал все логи с остальных компьютеров для Virusinfo, и запустил провеку Dr. Web CureIt! в безопасном режиме. Два компа из трех зависли при сканировании C:\WINDOWS\system32\drivers:(.
Кстати NOD32 стоит на всех моих компах, но на одном из них он всё-таки обновился (хотя тоже не лицензионный), однако именно на этом компе Web CureIt! в безопасном режиме виснет.
Может попробовать прислать логи остальных компьютеров - это сможет что- прояснить? :?

[QUOTE=Fate;614617]Может попробовать прислать логи остальных компьютеров - это сможет что- прояснить? :?[/QUOTE]
Попробуйте... Только для каждой машины отдельная тема и полный комплект логов по правилам.

И как относится к этм результатам проверки AVZ этого компьютера?:
[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_CREATE] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A7C31D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A7C31D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 897A8980 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 897A8980 -> перехватчик не определен
[/COLOR][/SIZE][/COLOR][/SIZE]----------------------------------------------
[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]C:\WINDOWS\system32\nview.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\nview.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура, все события
2. Определяет PID текущего процесса
C:\WINDOWS\system32\nview.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
[/COLOR][/SIZE][/COLOR][/SIZE][SIZE=2]Файл успешно помещен в карантин (C:\WINDOWS\system32\nview.dll)
[/SIZE][SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]C:\WINDOWS\system32\NVWRSRU.DLL --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\NVWRSRU.DLL>>> Поведенческий анализ
----------------------------------------------------
[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]!!! Внимание !!! Восстановлено 9 функций KiST в ходе работы антируткита
[/COLOR][/SIZE][/COLOR][/SIZE]----------------------------------------------------
:?

[/COLOR][/SIZE][/COLOR][/SIZE]

Нормально...

А кто "перехватчик", и почему его не может определить AVZ?

C:\Program Files\Alcohol Soft\Alcohol 120
Там драйвер есть, он хорошо прячется. Правда, в логе его всё равно видно.

Так все-таки, это вирус? И что делать с Alcohol 120? Он вредит работе ОС?

Это эмулятор дисков. Вы его сами ставили - наверное, для запуска игр без дисков.

Это я знаю, ставил недавно и после установки пявились вышеописанные прблемы. Причина уже ясна, осталось разобраться со следствием.:)
Однако это далеко не первый эмулятор дисков, который я ставил на свой комп, но первый из тех, кто заметно ухудшил работу компа. Поэтому, вопрос у меня все же остался - так должен работать Alcohol 120%, т.е.: значительно тормозить работу компа, прибивать обновление антивирусника, запускать файл SPTD.SYS в безопасном режиме и заставить повиснуть в нем Dr. Web CureIt. Или все же мне попался Alcohol 120% со встроенным и хорошо маскируемым вирусом?:(

В логах AVZ активного заражения не видно, а лог антируткита не показал никаких аномалий в системе.

[QUOTE=Fate;614988]так должен работать Alcohol 120%, т.е.: значительно тормозить работу компа, прибивать обновление антивирусника, запускать файл SPTD.SYS[/QUOTE]
Да, за исключением второго. Я Вам уже написала причину, по которой антивирус может не обновляться.

[QUOTE=Fate;614988]Или все же мне попался Alcohol 120% со встроенным и хорошо маскируемым вирусом?:([/QUOTE]
Нет.

Хочется быть окончательно уверенным в [COLOR=black][FONT=Verdana]отсутствии[/FONT][/COLOR] зловредов на моем компе. Поэтому прошу Вас еще раз проверить новые логи, сделанные после удаления Alcohol 120 и удаления файла SPTD.SYS из C:\WINDOWS\system32\drivers.
После этих действий комп стал [COLOR=black][FONT=Verdana]загружаться[/FONT][/COLOR] как и прежде.
[B][COLOR=red]НО! Осталась проблема с тестированием Dr. Web CureIt! безопасном режиме[/COLOR][/B]:
- при [B][U]полной[/U][/B] проверке комп "замерзает", на сканирования папки C:\WINDOWS\system32\drivers и сканирование каждого файла длится около 30-40 мин. Этот же [COLOR=black][FONT=Verdana]эффект[/FONT][/COLOR] наблюдается еще на двух компах (на одном из которых не был установлен Alcohol 120, но все три компа были в одной LAN).
- данный эффект отсутствует при тестировании Dr. Web CureIt! в безопасном режиме на [B][U]быстрой[/U][/B] проверке - проверку проходят все компы и вирусы не найдены (на всех трех компах).
- попытка в этом же безопасном режиме протестировать в [B][U]выборочной[/U][/B] проверке папку C:\WINDOWS\system32\drivers тоже приводит к "замерзанию" компа.
- проверка производилась тремя разными версиями Dr. Web CureIt! с разницей по дате в несколько дней, взятыми с официального сайта, последний файл - [COLOR=red][B]m5n6zytp.exe[/B][/COLOR] (может ли он быть заражен или перехвачен вирусом при распаковке и запуске?).
Очень хочется понять, в чем [COLOR=black][FONT=Verdana]проблема[/FONT][/COLOR] с Dr. Web CureIt!, надеюсь на Вашу помощь.

Проверка с помощью CureIt осуществлялась при отключенном защитном ПО?

Не совсем понял что значит "отключенном защитном ПО". Если Вы имели ввиду опцию "отключит восстановление сисиемы на всех дисках", то [B][COLOR=red]ДА - [U]отключена.[/U][/COLOR][/B]

[QUOTE=Fate;615197]Не совсем понял что значит "отключенном защитном ПО".[/QUOTE]
Антивирус с фаерволом отключали? :)