Проблемы в работе антивирусных программ
 

:help:
Здравствуйте.
В процессе сканирования зависают следующие программы:
Norton™ Security Scan,
Windows Defender,
Ad-Aware,
Avira AntiVir.
Работа останавливается на сканировании какого - либо невидимого (даже если в свойствах папки указано "отображать скрытые файлы") файла, например: С:\System Volume Information\. Пытаюсь зайти в этот самый C:\System Volume Information из командной строки (Пуск - выполнить...) - "отказано в доступе" (и это из учетной записи с правами администратора !!!). Использование процессора 0% или окло того, процесс относящийся к работе сканера - точно на ноле; с диска ничего не считывается - и так может продолжаться часами. Запустил chkdsk - не помогло. RegСleaner - тоже самое, не помог. В общем и целом операционка устойчивая и шустрая (как ни странно). Ad-Aware разок просканировал систему в режиме expres или интеллектуального сканирования (т.е. когда он сканил не все файлы); нашел следящие куки и какой - то mru, я все удалил.
Неужели система заражена каким-то страшным вирусом, с которым ни одна программа справиться не может? Как бы не заразить ваш сайт !!!
Переустановка Norton Security scan с нуля не помогло - он опять завис во время сканирования. Правда, в этот раз на C:\WINDOWS\Notepade.exe.

Пожалуйста, помогите советом. Операционка легальная, со всеми обновлниями. Программы все легальные. Сканеры - мониторы все "халява эдишн".

Ну если ты без ошибки списал название, то у тебя, конечно, вирусы.
Избавиться от вирусов в папках восстановления -- поставь галочку "Отключить восстановление системы на всех дисках".
Применить -- ОК. и перегрузись.
После лечения можно включить обратно.

Скачай Cureit , и проверь системный диск в безопасном режиме.
Скачай HijackThis
сделай лог и выкладывай здесь.
Скачай AVZ , распакуй, обнови и перейди в меню
Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.

Перед этим будь добр удалить Ad-aware и остальные антивирусы. После лечения выбери один. От Ad-aware вообще откажись.

Прошу извинить за задержку. Эксперименты с утилитами заняли некторое время. И так, по порядку:
Еще раз запустил NORTON, он завис сканируя файл C:\Windows\bloodred.zip. Explorer его не видит; да и странное название для файла, находящегося в столь почтенной директории. Снес все, установли Avast, и он завис во время сканирования (сканил что-то там в корзине).
---------------------------------------------------
Просканировал Cure IT (Dr.Web, то есть), он кое что нашел, см. вложенный файл.
--------------------------------------------------
Далее: пофиксил HijackThis, лог см. вложенный файл. Нашел в инете довольно любопытную рекомендацию по использованию данной программы: " Запустить файл hijackthis.exe В главном окне программы нужно нажать кнопочку "Do a system scan only". В открывшемся логе сканирования поставить галочки напротив указанных строк (выбрать все - я так понял) и нажать кнопку "Fix Checked". Затем следует перегрузить компьютер."
--------------------------------------------------
AVZ - довольно информативный лог, хотя и сложный для меня (см. вложенный файл)
---------------------------------------------------
На ночь поставлю комп на сканирование (Avast), посмотрим: зависнет или нет. О результатах обязательно сообщу. В момент загрузки операционки он сканирует - не зависает. Наверное потому, что получает монопольный доступ к разделам.
----------------------------------------------------
Надеюсь на вашу помощь, друзья!

:o
Завис...

Сканируйте в Safe mode

И где ты это вычитал? Такой самодеятельностью ты можешь запросто убить систему.
Раз ты там все пофиксил, то не имеет смысла что-то выделять :)
Лог AVZ не тот. Читай внимательнее.

У меня он тоже стоит как сканер. Почему от него нужно поспешно отказываться?

Delion Soulblade, Эта программа --разрекламированная пустышка с багами.

max6665, вы не пробовали удалить все антивирусники, поставить один NOD32 и просканить?

( сканирование из безопасного режима - Администратор и есть безопасный режим. Оба зВиря удалены; Avast не смог их переместить)
18.11.2007 9:11:02 Администратор 1552 Sign of "Win32:Notre" has been found in "C:\WINDOWS\MEMORY.DMP" file. (см. вложенный файл)
C:\System Volume Information\_restore{D**DF*D*-DC**-*A**-*A*F-***F******E*}\RP**\A*******.dll inficirovan virusom Win**:Banker-CUU [Trj],
(Тут, на мой взгляд, возможны следующие варианты:
1. В безопасном режиме вирусный процесс не запустился, и поэтому вирь оказался беззащитным перед Avast.
2. Сыграло свою роль обновление антивирусных сигнатур и собственно программного модуля - которое имело место до того.
3. В любом случае сканить лучше из безопасного режима, так как половина процессов не запущена, и процесс сканирования протекает быстрее.)
(что интересно, этот вирь довольно быстро восстановился, см. ниже)

--------------------------------------------
(загрузка системы, реакция монитора)
c:\windows\system32\sfc_os.dll [L] Win32:Banker-CUU [Trj] (0)
Файл был успешно удален...
(Кстати говоря: монитор нашел этого "Банкира" в оперативной памяти; посоветовал немедленно провести сканирование во время перезагрузки, что я и сделал (см. ниже))

---------------------------------------------
(сканирование во время загрузки)
11/18/2007 19:32
Skanirovat' vse diski
Faiyl C:\System Volume Information\_restore{D**DF*D*-DC**-*A**-*A*F-***F******E*}\RP**\A*******.dll inficirovan virusom Win**:Banker-CUU [Trj], Udalennyiy
Faiyl C:\WINDOWS\system32\trz60.tmp inficirovan virusom Win32:Banker-CUU [Trj], Udalennyiy

Kolichestvo naiydenyh papok: 5992
Kolichestvo proverenyh faiylov: 101862
Kolichestvo inficirovannyh faiylov: 2
--------------------------------------------
Сейчас Windows ругается, мол не хватает этого самого c:\windows\system32\sfc_os.dll, ну да это дело поправимое. Главное, что система грузится. Восстановлюсь из системы с обновленными пакетами.
----------------------------------
Тем не менее, в безопасном режиме (и нормальном) сканер здорово тормозит (с такими темпами сканирование может продолжаться неделю или больше, раньше занимало два часа). А в нормальном режиме снова завис на C:\System Volume Information (хотя я отключил наблюдение за всеми дисками в программе восстановления системы). Может быть и в безопасном режиме завис бы, да не успел (аварийная перезагрузка, как я уже писал). Возможно, вирь грузится в оперативню память, и тормозит систему. Виря я уничтожал, так как Avast не мог переместить его в карантин.
-----------------------------------
Пошел копать дальше. :moil:

Nod_ом пока не сканил, но просканирую обязательно.
--------------------------------
Скорее бы утро, да снова на работу !!!

max6665, Если бы был нормальный лог AVZ, то с заразой скорее всего ты уже расстался бы.

Отключи Восстановление системы на всех дисках. Система не дает доступ антивирусам к этим папкам.

Скоро будет !!!

Отключал, не помогло.

Вычитал на одном сайте, посвященном вирусам. Привел пример, как шутку. Моего юзабилити хватила на то, чтобы понять, что большую половину из того, что там написано исправлять не следует. Затем нашел в инете более благоразумные рекомендации по использованию данной утилиты. :biggrin:

Увы, сканер забуксовал где-то в начале сканирования с сообщением об ошибке. См. вложенный файл.
:dont-know

Не-е-е-е, не пробовал. Платному совту не место на компьютере уважающего себя халявщика.
:jester:

Восстановил утилиту sfc с установочного CD. C помощью данной утилиты восстановил системные файлы. Просканил комп avast во премя загрузки - он ничего подозрительного не нашел. Завтра попробую запусить сканер из безопасного режима, если тормозить не будет, сочту инцидент издержанным. Я много нового узнал:
1. Лучше некоторые сервисные (и не только сервисные, наверное) работы лучше выполнять из безопасного режима - так надежнее и быстрее. Я вот еще попробую свой 3D шутер запустить в безопасном режиме.
2. Не стоит на компе держать больше одного антивирусника, так как наверное они друг дружке вставляют палки в колеса. Конкурентная борьба, да.
3. Узнал о некторых интересных утилитах.

Помимо этого избежал переустановки операционки.
Надо скорее делать backup, пока не подцепил еще какую-нибудь заразу.

Драйвера видео и звука в безопасном режиме не подгружаются.
Cureit тоже прогони в безопасном режиме.
Это не есть good.
Зайди в AVZ меню Файл -- Выполнить скрипт. Скопируй код и нажми "Запустить".
После этого попытайся сделать логи.

Вчера до меня дошло. Припрет, буду делать другую конфигурацию с отключенными службами. Пока игрушки летают.

Сегодня все получилось. См. вложенный файл. Со своей низкой колокольни ничего подозрительного там не обнаружил. Не смотря на это сканер Avast таки завис на сканировании какого - то несерьезного, вовсе не системного раздела (жаль, нету самайлика "вторая часть марлезонского балета"); причем в SAFE MODE. Системный раздел он успел просканировать - ничего не нашел, судя по отчету.


Вечером обязательно. Надо ехать - платить за интернет, а то ОНИ не церемонятся даже с постоянными клиентами.

Прогнал, Dr. Web ничего подозрительного не нашел (хотя и не забуксовал в безопасном режиме). Но система по прежнему остается непроходимой для некоторых сканеров. Я вот подумал: сканеры буксуют, но само по себе это не проблема. Пусть так все и остается. Будет хуже, что - нибудь придума. Переустановлю операционку, в конце - концов.
Вообще, конечно интересно: что тут может быть еще, кроме зловпредного софта? Сбоит система?

:rotate:

max6665, Отжег, дружище. Отчетов в *.pdf я еще не встречал.
Как работать? Если не влом, переделай, как вверху написано :) :)

1. Прошу меня простить за задержку с ответом. В цехе установили новое оборудование; приехали иностранцы, обучают нас через переводчика. Домой прихожу только для того, чтобы поесть и поспать. Да и вообще, хожу как чумной.
2. Высылаю файл отчета zip - html (я так понимаю, это надо для автоматизированного анализа).
3. Спасибо Северный, что не бросаешь меня в трудную минуту, проблема продолжает оставаться актуальной. На тебя почти вся надежда.
4. Есть пара собственных идей, возможно они смешные, поэтому я изложу их после твоего ответа.
5. В подчиненной учетной записи на рабочем столе некоторые значки удалить не получается ("Диск переполнен" и прочая подобная билиберда). Из главной учетной записи эти значки не видны. Мне кажется, это дальнейшее развитие той "патологии" о которой мы здесь говорим. Но об этом позже, как я уже писал.
:cool:

Должен быть Notepad.exe
Лог AVZ интересный, такого ещё не видел.
В процессе создания логов отключите ВСЕ антивирусы и firewall, оставьте запущенным только IE и повторите логи (в AVZ - 3-ий скрипт-пререзагрузка- 2-ой скрипт), если логи будут такими же, с крякозябликами и содержать что-то типа этого "C:\WINDOWS\system;o) ;o) \LIBEAY;o) ;o) _;o) .;o) .;o) l.dll", попробуйте сделайть лог в защищенном режиме: Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - Пуск/Сохранить протокол. Упакуйте лог в zip и прикрепите. Ещё хорошо бы увидеть лог HijackThis в обычном режиме.

Крякозябры здесь заменяют цифры, но почему и как получилось? Тоже впервые вижу.

По некоторым искал. Несколько похожая картина с "вырубаниями" и сбоями АВ-ов, но там причиной оказался диск/или профиль пользователя. В общем, помогло форматирование. :(

Перепробовал много анти-вирусов, в т.ч. и вышеназванные. Но остановился на пакете McAfee. Всем советую, стабильна, не жрет ресурсы, регулярно обновляется, вирусы,трояны, spywarez НЕ ПУЩАЕТ! Это не реклама и не спам. Это бесплатный совет всем.

На самом деле, это не кракозяблики, это ехидно улыбающиеся рожицы ;o). Это моих рук дело. Каждая рожица заменяет одну цифру; потому что многие числа напомнили мне ключи - пароли. Я не захотел отправлять их в интернет: мало ли кто может заглянуть на форум. Названия процессов и пути я не изменял.

Так и было сделано.

max6665, Выложите нормальные логи без редактирования.

См. вложенный файл.

Совет - то бесплатный, с программа стоит сколько? Я живу в России. Моя зарплата примерно в шесть раз меньше, чам зарплата рабочего в Мексике; и примерно в 10 раз меньше, чем рабочего в США.

Нет

Как то у меня была такая проблема: не удалялись папки. Поискал в интернете: оказалось, что это проблема тысяч пользователей. Нашел одно объяснение: сбоит файловая таблица корневого раздела, в случае с ХР поможет только переустановка с нуля. Я же преподнял операционку над хардом, и форматнул. Проблема была решена. (Создал образ системного раздела на харде, а потом вернул раздел на место). Возможно, вы будете смеяться; возможно, мне повезло (или обновления загрузились). Но я попробую копнуть в том же направлении.

Нет логов - не будет диагноза.
- успехов

Ну если у Вас хватило денег на лицензию этих программ:

То думаю хватит и на McAfee. :-)
А серьезно, прога на "англицком" че-то регистрирует на сервере в Америке и усё работает.

Хоть бы объяснили в двух словах, что это за ключи - пароли, которые я изменил. Конфеден... тьфу - превыше всего. Очень ценная информация для хакера, на первый взгляд.

Неужели так таки нельзя поставить диагноз, ведь имена процессов и пути я не изменял.

Это все бесплатные проги. Не полноценные антивири, а лишь урезанные демоверсии. Norton™ Security Scan выполняет лишь роль сканера (не мониторит), без функции автоматического обновления; скачать можно через google - у них есть специальная программа, с помощью которой можно скачивать всякую хальяву. То же Ad-Aware, но его надо скачивать на download.com. Windows Defender - штатная утилита для легального Windows XP. Avira AntiVir почти что полноценный антивирь (немногим отличается от проф. версии), но его можно скачать только на головном, немецком сайте. На русском нет. Но даже платные, и менитые секьюрити сьюты не гарантируют спокойной жизни. Знаем, пробовали.

max6665, Вы зря теряли время наредактирование, в логах AVZ и HJ нет паролей, если не верите, спросите у Зайцева Олега на форуме virusinfo
Как по вашему можно написать скрипт по такому логу? Сами найдете файл напр. по такому пути?

Очень "могет быть". По крайней мере У меня ни разу еще ниче вредного не пролезло.
А приобрел я ее на сборнике софта на российскую зарплату, получаемую не в Москве.
Пусть кто-то ругается, что я поддерживаю "пиратов". Хотя я не знаю, что такое "пират" и не умею отличать компьютерные диски лицензионные от "пиратских". А ежели их продают в магазине и еще отбивают кассовый и товарный чек, то это вообще не мои проблемы, а контролирующих органов и экспертов по "пиратам". :cool:

Прежде всего, спасибо Pili за внимание к моим вопросам и терпеливое объяснение. Вот прОтокол (где наша не пропадала :)) Очень надеюсь на то, что Вам удастся найти что - нибудь подозрительное. Да, я кое - что сам пофиксил с помощью AVZ (понял, как самому полуавтоматически создавать и запускать скрипты).

Ничего не имею против пиратов, сам ни раз покупал пиратские диски в самых фешенебельных магазинах города. Но одно дело пиратская игрушка, а другое дело пиратская софтина, отвечающая за безопасность компьютера :fie: . Я бы очень хотел, чтобы на рынке был отечественный или русифицированный секьюрити сьют рублей эдак за 500 в год (а не 1500 руб. за один только антивирь, как мы видим сплошь и рядом). Я думаю, что такой вот сьют продавался бы очень хорошо. Может быть стоит объедениться нескольким отечественным софтверным компанияам? Н.п. Agava плюс AVZ :)

max6665, логи не те, 2-ой и 3-ий скрипты AVZ, не выполняются? Если RezervCopy.exe, 2.bat ваши проги, то логи чистые.
Гугловский тулбар рекомендую снести. У вас стоит ZoneAlarm, Spybot S&D, Avast, Windows Defender - это слишком, если и не конфликтуют, то комп может тормозить, последний можно снести, Avast можно на Avira поменять, в ZA 7 есть антивирусный движок от касперского.

Скрипты выполняются, но это надо обращаться на сайт AVZ - я так понял. Пока погожу, до следующиего грома? Меня - сказать по правде - заинтересовал скрипт сбора неизвестных и подозрительных файлов; обязательно запущу. Я всегда подозревал, что у меня на компе скопилось много хлама. Rezerv Copy - это мой фоновый бекапер. 2.bat - батничек, написанный мною (хо -хо - хо!). Уже снес за ненадобностью. Spybot давно сенс (нет в списке "установка - удаление программ"), странно что сохранились какие-то процессы. Щас пофиксим. Avast мне нравиться потому, что им можно сканить до загрузки (в момент загрузки) системы. Я так понимаю, прога имеет монопольный доступ к разделам, и ее не блокируют никакие процессы. Googl снесу просто потому, что я не пользуюсь никакими тулбарами. Сей интерфейс не для меня. ZA 7 пошел смотреть. Если бесплатный - не побрезгую :biggrin: . Кстати говоря, Avast (выскочило информационное окошко) сообщил мне, что они постоянно контактируют с Zone Labs (на предмет совместимости софта - я так понял).

Нет, не обязательно, логи по результату этих скриптов проще разбирать, чем лог исследования системы, прикреплять эти логи можно также, как прикрепили предыдущий лог.