69 ответов в этой теме

[Mister-X]

Проблема в следующем. Drweb 4.44, версия drweb32w.exe 4.44.4.1280. Устанавливается нормально, иконки в трее появляются и работают. Запускаю сканер он запускается и проверяет диски. Но когда находит вирус, или подозрение на вирус при попытке лечить файл выпадает в синий экран.

[Pavel Plotnikov]

SP1 for Vista RC1 устанавливается пользователем на свой страх и риск, корпорация Microsoft не гарантирует роботоспособность системы и отдельных программ т.к. это не релиз ядро и компоненты SP обязательно изменятся, со списком не совместимых приложений можно ознакомиться на оф. сайте. Microsoft настоятельно не рекомендует устанавливать SP1 RC1 на основной машине.

Dr.WEB пока не совместим с SP1 RC1 for Vista и возможно не будет совместим до выходя релиза SP.

[Mister-X]

SP1 for Vista RC1

Это не RC1, а как раз уже релиз. Ошибка синего экрана была 0000008Е, вроде так.

[Borka]

С дампом памяти и комментариями сюда: http://support.drweb.com/request

[Pavel Plotnikov]

Это не RC1, а как раз уже релиз

Где достали?

[Konstantin Yudin]

Но когда находит вирус, или подозрение на вирус при попытке лечить файл выпадает в синий экран.

какой вирус? скорее всего срабатывает самозащита руткита. многие руткиты при попытке их обнаружить роняют систему в BSOD (обычно с DIVIDE BY ZERO bugcheck).

Загузится в safe-mode и проверить систему свежим CureIt!. Дамп, желательно полный хотелось бы получить.

[Mister-X]

Только не пинайте меня. Что-то у меня там не получается дамп отправить. Не знаю ушел файл или нет. Как можно проверить?

[Mister-X]

[Проверяемый путь] F:
F:ProgramsKomputerParoliPASSWORD_SHOWOPENPASS.EXE является программой взлома Tool.OpenPass.11
>F:ProgramsNeron79_60m_ru.exe - ошибка распаковки
>>F:ProgramsMediaVideoDVD_goodSuper_DVD_Ripper_1.90.rarls_superdvdripper190Patcher
.exe является программой взлома Tool.ASEye.2
F:ProgramsMediaVideoDVD_goodSuper_DVD_Ripper_1.90.rar - архив содержит инфицированные объекты

Дамп никак не могу выслать. При попытке отсылки присоединенного файла выдает ошибку сервера. Пытался отправить и сюда и на http://support.drweb.com/request/.

[Konstantin Yudin]

[Проверяемый путь] F:
F:ProgramsKomputerParoliPASSWORD_SHOWOPENPASS.EXE является программой взлома Tool.OpenPass.11
>F:ProgramsNeron79_60m_ru.exe - ошибка распаковки
>>F:ProgramsMediaVideoDVD_goodSuper_DVD_Ripper_1.90.rarls_superdvdripper190Patcher
.exe является программой взлома Tool.ASEye.2
F:ProgramsMediaVideoDVD_goodSuper_DVD_Ripper_1.90.rar - архив содержит инфицированные объекты

А если поставить спайдер на паузу, запустить проверку сканером, будет ли падение при проверке этих файлов?

Дамп никак не могу выслать. При попытке отсылки присоединенного файла выдает ошибку сервера. Пытался отправить и сюда и на http://support.drweb.com/request/.

а если выложить дамп на одном из файловых обменников и ссылку дать сюда?

[Mister-X]

на паузу поставил, вывалился в синий экран с ошибкой 0х0000008Е(0х00000005, 0х81Е3DF85, 0x9901E8E4, 0x00000000)

Дамп залил на http://slil.ru/25540122

[Konstantin Yudin]

Спасибо. Похоже ошибка в сканере, будем разбираться.

[Mister-X]

Т.е. виста тут не причем, такое может повториться в любой винде и в любое время? Или это может быть только с программами взлома?

[Konstantin Yudin]

пока понять причину не удалось, мало информации. У Вас есть возможность сделать и выложить полный дамп системы?

[Mister-X]

Дамп памяти вместе с blue screen http://slil.ru/25547052. И еще вопрос, при попытке отослать отчет о ошибке в майкрософт Dr.web сообщил о вирусе в отсылаемом файле http://slil.ru/25547143. Касперский 7.0.1.325 в этом файле вируса не нашел

[Konstantin Yudin]

Дамп памяти вместе с blue screen http://slil.ru/25547052

это дамп от падения хука спайдер-мейла, вернее падения сервера печати (известный баг). Дамп памяти ядра находится в файле WindowsMEMORY.DMP - вот он и нужен.

[Borka]

И еще вопрос, при попытке отослать отчет о ошибке в майкрософт Dr.web сообщил о вирусе в отсылаемом файле http://slil.ru/25547143

Онлайн говорит:
Версия антивирусного ядра: 4.44.0.9170
Размер файла: 158 байт

В файле tmp54D4.vbs обнаружен вирус modification of Trojan.DownLoader.13879

В этом файле:
Set shell = createobject("wscript.shell")
Shell.run """D:Temptmp54D3.url"""

Ну чем не Даунлоадер? :)

[Mister-X]

Полный дамп пока не могу снять. Но вот еще особенность, если после проверки файла ставить не лечить (удалить неизлечимый), а переименовать зараженный файл, то все идет нормально.

[Konstantin Yudin]

Но вот еще особенность, если после проверки файла ставить не лечить (удалить неизлечимый), а переименовать зараженный файл, то все идет нормально.

А на каком конкретно файле падает при лечении, удалось выяснить? Кстати, в куске лога приведенного выше фигурирует диск F: - что это за диск, HDD или флешка, CD? Я немогу воспроизвести пока падение.

[Mister-X]

Диск F это раздел HDD. Один из файлов http://slil.ru/25549978. Другие не помню. Посмотрю скажу. По моему это происходить не при лечении, а при попытке удалить, т.к. Dr.web определяет файл как программу взлома. Полный дамп памяти занимает 600Mb в упакованном виде.

[Mister-X]

Дамп залил, посмотрите если не трудно, а то надоели синие экраны.
Дамп находится http://ifolder.ru/5688123 , http://ifolder.ru/5689554 ,http://ifolder.ru/5689592 , http://ifolder.ru/5689646 , http://ifolder.ru/5690524 , http://ifolder.ru/5690565 , http://ifolder.ru/5690628 (7частей).