» Антивирус Dr.Web (Доктор Веб, Doctor Web, DrWeb antivirus)

Цитата:

А вот если запускаю DrWeb32.exe, сразу BSOD...

Похоже что это косяк антируткита, хотя ошибка всегда одна и таже?
STOP: 0x0000008E (0xC0000005, 0xF43BD04A, 0xF4487B78, 0x00000000) 4h1e1n98.sys - F43BD04A base at F43B1000, DateStamp 47eb7a8f всегда? он случайно создает драйвер при запуске сканера, попробуй АВЗ проверь систеу, видимо сильное заражение и логи бы надо

redwhiterus
Что такое АВЗ? Да и не уверен, что заражение, ещё и сильное. Проблем в работе компьютера, за исключением этой, нет.

BakLAN
www.z-oleg.com
Им можно подлатать систему после заражения

BakLAN

Цитата:

Да и не уверен, что заражение, ещё и сильное.

Все зависит от целей и назначения малвари

Цитата:

Что такое АВЗ?

Тема на Ru-Board юзай аккуратно, если не знаешь лучше ничего не делай или в соотв. теме спроси
C CureIt также все(всмысле БСоД)? Еще можно AVPtool от касперского просканиться

Цитата:

STOP: 0x0000008E (0xC0000005, 0xF43BD04A, 0xF4487B78, 0x00000000) 4h1e1n98.sys - F43BD04A base at F43B1000, DateStamp 47eb7a8f всегда?

Не ответил ошибка и мя драйвера всегда одни и те же?

redwhiterus
Нет, запустил второй раз - совсем другие:

STOP: 0x0000008E (0xC0000005, 0xF431B04A, 0xF4C82B78, 0x00000000)

51gifoc9.sys - Address F431B04A base at F430F000, DateStamp 47eb7a8f

Проверил AVZ. [more]Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 12.04.2008 21:23:05
Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 70476
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083120)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A120
KiST = 804E26A8 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 21
Количество загруженных модулей: 208
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\Eugene\Local Settings\Temp\~DFC5B2.tmp
Прямое чтение C:\Program Files\Opera\mail\indexer\indexer.ax
Прямое чтение C:\Program Files\Opera\mail\lexicon\lexicon.ax
Прямое чтение C:\Program Files\Opera\profile\vps\0000\url.ax
Прямое чтение C:\Program Files\Opera\profile\vps\0000\w.ax
Прямое чтение C:\Program Files\Opera\profile\vps\0000\wb.vx
Прямое чтение C:\Program Files\Opera\profile\vps\0003\url.ax
Прямое чтение C:\Program Files\Opera\profile\vps\0003\w.ax
Прямое чтение C:\Program Files\Opera\profile\vps\0003\wb.vx
Прямое чтение C:\Program Files\Opera\profile\vps\0004\url.ax
Прямое чтение C:\Program Files\Opera\profile\vps\0004\w.ax
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeeDesktopShortcu_F99F74B4972B4B06B8936B3B0DB0128B.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeePMShortcut_F99F74B4972B4B06B8936B3B0DB0128B.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ARPPRODUCTICON.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{A1200000-0003-0000-0000-074957833700}\ICON_SetupPalm.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00511B0B 08CD8ABD 001C13F0 001FD6D9 53248)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Program Files\Nero\Nero8\InCD\NBHShx.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Nero\Nero8\InCD\NBHShx.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
C:\Program Files\Nero\Nero8\InCD\NBHStr.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Nero\Nero8\InCD\NBHStr.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
C:\Program Files\Common Files\Nero\Shared\NL3\AdvrCntr3.dll --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Common Files\Nero\Shared\NL3\AdvrCntr3.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 5 TCP портов и 9 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>>> Разрешен автозапуск с HDD - исправлено
Проверка завершена
Просканировано файлов: 11438, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 4
Сканирование завершено в 12.04.2008 21:33:19
Сканирование длилось 00:10:20
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
[/more]

Цитата:

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

Вызывает некоторый интерес, попробуй если в че неуверен на virustotal.com перелей

Цитата:

Нет, запустил второй раз - совсем другие

В одном правтически уверен во всем виноват антируткит модуль встроенный в сканер,
он создает случайный драйвер для борьбы с руткитами, и тот роняет систему, какой еще софт установлен, в особенности то что работает? C CureIt тоже падения?Ей проверять не пробовал? Возможно правда это несовместимость с чем-либо..
железо впорядке?

BakLAN
А меня больше настораживает вот это

Цитата:

подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00511B0B 08CD8ABD 001C13F0 001FD6D9 53248)

и вот это

Цитата:

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Стоит повторить проверку с включённым AVZPM и попробовать прогнать DrWeb, задействовав AVZGuard.

И еще на вот этот вопрос ответь плиз, Agnitum Outpost Firewall Pro не установлен случаем?

redwhiterus
Не, у меня аппаратный файерволл.

Abs62
Стоит повторить проверку с включённым AVZPM и попробовать прогнать DrWeb, задействовав AVZGuard.

Что значит прогнать DrWeb ?

BakLAN

Цитата:

Что значит прогнать DrWeb ?

Это значит включить AVZGuard и запустить DrWeb через его меню "Запустить приложение как доверенное". Жаргон-с.

Подскажите, плиз, пока на компах сети стояла версия 4.33
прекрасно проходило обновление из общей папки ,а с версией 4.44
не получается, в логах все в норме, но файлы не копируются в папку
антивируса на обновляемой машине

BakLAN
redwhiterus

Цитата:

В одном правтически уверен во всем виноват антируткит модуль встроенный в сканер,
он создает случайный драйвер для борьбы с руткитами, и тот роняет систему,

Согласен. Падает либо в борьбе с хитрым руткитом, либо конфликт на низком уровне с каким-то драйвером. BakLAN, ты последнюю версию 4, 44, 5, 3270 сканера пользуешь, базы свежие? В безопасном режиме запускал ?

Цитата:

Не, у меня аппаратный файерволл.

А подробнее?

sancher

Цитата:

Для обновления пользуюсь программой DrUpdate 6

Тебе в Варезник в тему Альтернативные апдейтеры

ToAll
Почитав топик, выснил, что поддержка Vista x64 планируется только в 5-ой вресии. ПРадв ли это?

Цитата:

В безопасном режиме запускал ?

Под виндой, которая в безопасном режиме?


Цитата:

А подробнее?

3Com 3CRWDR200A-75? но он здесь причём?

Цитата:

Под виндой, которая в безопасном режиме?

Да,
про софт, че-нить специфичное есть?

redwhiterus
Про какой софт, софт к роутеру? К нему не нужен софт.

BakLAN

Цитата:

Про какой софт, софт

Вообще на компе! Какие проги установлены, особенно необычные, не офис и т.п.?
Цитата:

безопасном режиме

Как с этим дела?

redwhiterus
Запускал DrWeb в защищённом режиме. Результат всё тот же. Только имя файле снова другое.
Проги, установленные на компе? [more]µTorrent
ASAPI Update
ATI - Software Uninstall Utility
ATI Control Panel
DupDetector
K-Meleon
Lizardtech DjVu Control
Maxthon
Messenger
Miranda
Monkey's Audio
Movie Maker
MPlayer
Neo Mule
NeroDigital
NetMeeting
Outlook Express
pqiUtilityDisk
Privoxy
SuperCleaner
TestMan
Tor -rc
VersionInfo Uploader
Vidalia
Проигрыватель Windows Media
3DSavers, Free B-boy 3D Screensaver
7-Zip, Compression
Abbyy, Lingvo
Abbyy, TrainingUtility
ACD Systems, ACDSee
ACD Systems, DBLocalServer
ACD Systems, DevDetect
ACD Systems, Device Detector
ACD Systems, EditLib
ACD Systems, ID_Media
ACD Systems, Inventory
ACD Systems, ResourceLangID
ACD Systems, Vango
Acelogix, Ace Utilities
Adobe, Acrobat
Adobe, Flash Player ActiveX
Adobe, PDF Admin Settings
Adobe, Shockwave Player
Adobe, Type Manager
Ahead, ImageDrive
Ahead, Nero Home
Ahead, Nero Scout
Andre Wiethoff, Exact Audio Copy pb
Apple Computer, QuickTime
Apple, Safari
Apple, Software Update
Arts pdf, Nitro PDF Driver
Arts pdf, Nitro PDF Professional
ATI Technologies, ATI Display Driver
ATI Technologies, CDS_ReadASICMSIError
BCL Technologies, Nitro PDF
BitTorrent, uTorrent
Capacala, Apollo
Cedrick Collomb, Unlocker
CodeStuff, Starter
Creative Tech, MixerName
EldoS, SecureBlackbox
EmSoft, EmEditor
EmSoft, Regist
Emurasoft, Пакет русского языка для EmEditor
Eset, Security
FastStone Soft, FastStone Capture
Foxit Software, Foxit Reader
G&G Software, Password Cracker
Gemplus, Cryptography
Ghisler, Total Commander
HalfBit Software, CDSlow
Headlight, XGetRightToGoX
Igor Pavlov, 7-Zip
InqSoft, Neo Sign 0f Misery
InqSoft, Window Scanner
Integra, DnUpMan
Intel, Indeo
JavaSoft, Java Plug-in
JavaSoft, Java Runtime Environment
JavaSoft, Java Update
JavaSoft, Java Web Start
KC Softwares, SUMo
LizardTech, DjVu Control
LizardTech, DjVu Plug-In
Macecraft Software, jv16 PowerTools
Macromedia, FlashPlayer
Macromedia, Shockwave
Macrovision, FLEXnet Publisher
Mail.Ru, Agent
Mail.Ru, Агент (сборка 2094, для всех пользователей)
Maxthon2
Microsoft, Compression Client Pack for Windows XP
Microsoft, High Definition Audio - KB
Microsoft, Internationalized Domain Names Mitigation APIs
Microsoft, National Language Support Downlevel APIs
Microsoft, Office - профессиональный выпуск версии
Microsoft, User-Mode Driver Framework Feature Pack
Microsoft, Visual C++ 2008 Redistributable - x
Microsoft, WebFldrs XP
Microsoft, Windows Internet Explorer
Microsoft, Windows Media Format 11 runtime
Microsoft, Windows Script
Microsoft, XML Parser
Microsoft, Базовый пакет поставщика службы криптографии смарт-карт ()
Microsoft, Пакет исправлений для Windows XP - KB
Microsoft, Пакет обновления 2 для клиента управления правами Windows
Mozilla.org, Mozilla
MozillaPlugins, @adobe.com/FlashPlayer
Namida, Kyodai
Nec display solutions, NaViSet
Nero AG, VCRedistSetup
Nero, Nero
Netscape, Navigator
Network Associates, ePolicy Orchestrator
Nokia, Mo ptions
Opera Software ASA, Opera
Peter Pawlowski, Foobar
PopCap, Atomica
PopCap, BigMoney
Ramo, WinVi
Rarlab, Архіватор WinRAR
Raxco, PerfectDisk
Rit, SpellCheck
Rit, The Bat!
Ritlabs, The Bat! v Русская Версия
SamLab.ws, Total Commander
Schlumberger, Smart Cards and Terminals
Seba14, µtorrent Leecher Pack
Skype Technologies S.A., Skype™
Skype, Phone
Skype, ProtectedStorage
Sofrayt, GetSmile
Sun Microsystems, Java(TM) 6 Update
Sysinternals, Process Explorer
The Code::Blocks Team, CodeBlocks
VB and VBA Program Settings, MillFlashPla
VB and VBA Program Settings, TrashReg
WestByte, Download Master[/more]

BakLAN

Цитата:

Eset, Security

А это что, можно подробности?

www.ESETnod32.ru Я его ставил уже после проблем с DrWeb`ом.

C какого перепугу Dr.Web вдруг решил что дистрибутив Far Manager 1.7 заражен Trojan.PWS.Gamania.6656? Маразм, как в случае с парой генераторов ключей недавно? Месяц подождать и все пройдет?

Panzer

Цитата:

Все базы (зачем?)

Так проще. Ctrl+A, Ctrl+C, Ctrl+V
На самом деле закачка только новых (например, с помощью DrWU) картины нифига не меняет - проверено.
today-базы один чёр перезапишутся.

Цитата:

BSOD что ли был?

Нет, BSOD'а нет. Система просто не даёт ничего делать.
Между уже открытыми приложениями можешь попереключаться Alt+Tab'ом, да мышкой повозюкать - и всё.
Запустить новое - невозможно никаким способом. Даже банально открыть "Мой компьютер" нельзя.
Изредка реагирует на кнопку питания. Может показать окошко снятия задачи Spider Guard или explorer. Более ничего.
Спасает только перезагрузка reset'ом.
Причём, после этого spider, гад, показывает, что обновлён до текущей даты и всё типа хорошо.
Но обновлять базы и заставлять пользователя тыкать ресет - это полный пипец.

Цитата:

И что, каждый раз так?

Ога!
На КУЧЕ разных систем. С разной степенью обновленности самой винды и замусоренности её всякими программами. В том числе - и на вообще свежепоставленных.
Есть пара систем, на которых раньше стоял 4.33, а потом был обновлён до 4.44 - вот на них вроде не виснет.


Ны выходных взял devctrl для управления драйверами.
Пробовал остановить spider - не даётся, гад (хотя не попробовал ещё поставить на паузу и потом выгружать), хотя удалить - без проблем - тогда после перезагрузки комп остаётся без защиты.

BakLAN
Еще раз воспользуйся AVZ, как это сделать расписАл в соотвествующей теме

BakLAN

Судя по коду ошибки, думаю что причина сбоя - это руткит обращающийся в чужую область памяти: 0xC0000005, ..., ..., по адресу аппаратной таблицы векторов прерываний 0x00000000. Похоже дрянь запускается ещё на очень ранней стадии запуска - ей удаётся перехватить управление ещё до загрузки ядра. Но код ошибки 0xC0000005 вызывает заодно предположение о возможной аппаратной неисправности - я бы проверил с помощью MemTest+ 2.0.1 ОЗУ, причём не виде быстрого, одноразового теста, а поставил бы тест на режим повтора, циклов на 20 - 30 - у меня бывали случае когда неисправность модулей памяти удавалось выяснить только путём длительного теста. Или запустить на машине Doom II из под DOS - эта игрушка очень чувствительна к малейшим сбоям в памяти, и чуть что не так, "виснет" практически мгновенно. Но её тоже надо "погонять" часа 2 - 3, не меньше.

Версию "для печати просмотрел", но интересующих меня ответов не нашел.
Вопросы(DrWEB лицензионный):
- как изменить интервал времени после которого DrWEB вопит, что бызы не обновлялись
- как сделать, что бы можно было отключать мониторинг, если работаешь с правами юзера.

DJ makrus
Вот, здесь полный отчёт: http://rapidshare.de/files/39119588/avz_sysinfo.zip.html

BakLAN

Я поглядел твой отчёт. Что бы я сделал:

1) Сменить режимы запуска драйверов CDFS, FastFAT, InCDFs, NPFS, NTFS, UDFS на "Система" (стандартное значение - "Запрещено");
2) Заменить драйвер Asapi.SYS от (с) 1997-2001 by VOB Computersysteme GmbH на обычный Adaptec ASPI 4.71.2 или драйвера от VSO - они не столь чувствительны к аппаратуре и не столь сбойные как SPTD.SYS/ASAPI.SYS.
3) Перезапустить машину с Live! CD и из под него запустить AVZ.

Цитата:

- как изменить интервал времени после которого DrWEB вопит, что бызы не обновлялись

На 37 странице 2 пост снизу!

Цитата:

- как сделать, что бы можно было отключать мониторинг, если работаешь с правами юзера.

никак, если я правильно знаю, по любому нужны права админа, вариант-скрипт с запуском от админа
BakLAN
PDBoot.exeautocheck autochk * что это?
C:\Program Files\CDSlow\cdslow.exe Не в нем ли дело? опиши суть программ

16:45 15-04-2008
Vitus_Bering
http://support.drweb.com/sendnew/ выбрать опцию ложное срабатывание, или более подходящую хотя если это AutoIt скрипт, то это у них давно

BakLAN

А сюда не заглядывал?

BSOD. STOP: 0x0000008E
iXBT
Microsoft
Архив за 2004 год, Google
izCity
Ferra.ru

Поиск в Google сразу выдал приблизительно 630 страниц на русском для запроса "STOP: 0x0000008E"... И если поглядим статистику, увидим - основная причина либо плохие модули памяти, либо неверно выставленные её тайминги. Давай-ка сделаем так: "опроси" конфигурацию своей машины Everest-ом (мне хватит раздела "Аппаратура") и пришли мне данный отчёт. Посмотрю что может быть неверно настроено. Сдаётся мне что или модулям памяти не хватает напряжения питания, либо временные параметры (тайминги) памяти у системы стоят "по умолчанию" и очень часто не корректно. Таким недостатком обладает например AMI BIOS если выставляет параметры памяти "By SPD". Давай-ка сначала исключим аппаратуру. Так будет легче.

Добавлено:
redwhiterus

Более похоже именно на реальную аппаратную проблему. Слишком много признаков.

Подскажите, пожалуйста, как отключить уведомление об устаревших антивирусных базах?