41 ответов в этой теме

[sysinfo]

Здравствуйте!

Не нашел на форуме аналогичной темы, решил написать здесь обнаруженную проблему.

 

Вечером 4 Июля Dr.Web предложил перегрузить компьютер, так как установлено критическое обновление.

 

Так как такие сообщения приходят периодически, я установил задержку в 4 часа и потом выключил компьютер, не думая о плохом.

 

Проблемка проявилась утром 4 Июля, когда я попытался запустить стандартную Windows 10 самым стандартным образом.

Система стала говорить, что обнаружена неустранимая проблема в менеджере загрузок. 

 

Не думая о плохом, используя инструменты, выяснилось следующее, в пути:

C:\Windows\System32\drivers\

не мог стартовать файлик 

170b356.sys

Данные этого файлика:

Размер 50.9 Кб

Дата изменения 04.07.2016 23:59

Цифровая подпись Dr.Web

 

Систему удалось стартануть только после ручного удаления этого файлика.

 

Вчера утром ситуация полностью повторилась.

Сегодня я специально запустил сканер Dr.Web на каталог Windows,

который ничего подозрительного не обнаружил, хотя в каталоге

C:\Windows\Temp

имеется такой же неубиваемый файлик 

158FD4D.sys

Данные этого файлика:

Размер 242 Кб

Дата изменения 06.07.2016 08:58

Цифровая подпись Dr.Web

 

Вопрос - что это за неубиваемые файлики, которые полностью вешают систему при старте ?

Если это вирус - почему тогда их не обнаруживает Dr.Web ?

Если это Ваши секретные компоненты от Dr.Web - почему тогда они вешают систему ???

 

Хотелось бы услышать ответы от компетентных специалистов.

 

Образцы этих двух файликов имеются, могу выслать их на экспертизу.

 

[Diana Lebedeva]

sysinfo, выложите, пожалуйста, отчет Dr.Web для технической поддержки. 

[sysinfo]

Стесняюсь спросить - как это делается ?

Или в каком файле это уже лежит готовое ?

Сообщение было изменено sysinfo: 06 Июль 2016 - 09:43

[Diana Lebedeva]

клик на иконку в трее, в меню выбираете "Инструменты", далее - "поддержка". 

В открывшемся окне "Отчет для технической поддержки". 

Формирование отчета может занять время, пожалуйста, дождитесь окончания этого процесса. Сформированный архив можно выложить на форум, или на файлообменник (и выложить ссылку на форум), либо мне в личку. 

Спасибо. 

[VVS]

Вечером 4 Июля Dr.Web предложил перегрузить компьютер, так как установлено критическое обновление.

Так как такие сообщения приходят периодически, я установил задержку в 4 часа и потом выключил компьютер, не думая о плохом.

Перегрузить и выключить - это не только разные слова, но и разные действия.

[sysinfo]

Раньше таких проблем не было - ставлю задержку на 4 часа, вечером выключаю, утром предполагается,

что новые обновления уже установлены.

 

Однако , в данном случае,

утром 5 Июля пришлось неприятно удивится синему экрану с такой неприятной записью

Error code ...

 

Почему пишу именно на этом форуме ?

Уверен, что причина в неубиваемых файликах с цифровой подписью и сертификатом от Dr.Web

 

А так как файлики неубиваемые -

пришлось полностью удалить сначала Dr.Web , чтобы удалить и его неубиваемые файлики ...

 

И так два утра подряд ...

[RomaNNN]

sysinfo, отчет...

[sysinfo]

Полный отчет, как и просил пользователь 

Diana Lebedeva

выслал в личное сообщение, там большой архив большого размера

[Konstantin Yudin]

>C:\Windows\System32\drivers\
>не мог стартовать файлик 170b356.sys

Что лечили? Этот файл так просто не появляется.

>C:\Windows\Temp
>имеется такой же неубиваемый файлик 158FD4D.sys

Это наш шилд, он будет на каждом ребуте. Не убиваемый, потому что начиная с Win10 что процессы что драйвера (не бутовые) грузятся легально и одинаково, через секцию. Обычный запущенный exe вы тоже не удалите.

[sysinfo]

Сразу могу сказать, никаких действий на компьютере за сутки 

04.07.2016

не производилось, все было как всегда, обычная рутина ...

 

Потом пришло сообщение от DrWeb, что установлено критическое обновление.

 

Ничего другого за целые сутки на компьютере не происходило.

 

Файлик, 170b356.sys , который не давал стартовать Windows 10 , прикладываю к сообщению,

добавил только текстовое расширение, иначе не разрешает приложить файлик.

 

Сами посмотрите в свои мелкоскопы, что это такое и откуда оно берется ...

 170b356.sys.txt   50,93К   5 Скачано раз

 

 

[VVS]

Раньше таких проблем не было - ставлю задержку на 4 часа, вечером выключаю, утром предполагается,

что новые обновления уже установлены.

Нет, не установлены.

Для их установки требуется перезагрузить компьютер.

[Diana Lebedeva]

Что лечили? Этот файл так просто не появляется.

судя по sysinfo 04/07/2016 в 11:55:18:

disinfect object: \device\harddiskvolume4\temp\nsi4616.tmp\dist.divx.com\divx\offer\conduit\mism.exe - quarantined [threat name: {Adware.Conduit.315:5}, action: 3, type: 0, ret: 8]

disinfect object: \device\harddiskvolume4\temp\nsi4616.tmp\dist.divx.com\divx\offer\conduit\checktbexist.exe - quarantined [threat name: {Adware.Conduit.279:5}, action: 3, type: 0, ret: 8]

disinfect object: \device\harddiskvolume4\temp\nsi4616.tmp\dist.divx.com\divx\offer\conduit\installer.exe - quarantined [threat name: {Adware.Conduit.3:5}, action: 3, type: 0, ret: 8]

 

[sysinfo]

Не могу ничего сказать на этот счет, за компьютером работает несколько человек,

но остался открытым вопрос - файл 170b356.sys, который именно и стал причиной нестарта Windows 10,

подписан цифровой подписью и сертификатом, выдан Doctor Web Ltd, действителен по 28 октября 2017.

 

Связано ли это с тем, что на компьютере действительно присутствуют кодеки, 

доступны для установки любым желающим:

Your free DivX 10 download includes:

DivX Player

DivX Web Player

DivX Converter

DivX Media Server

 

И да - в их инсталляторе Doctor Web постоянно находит какие-то вирусы,

однако на официальном сайте DivX 

http://www.divx.com/en/software/divx

гордо красуется надпись

Проверено Лабораторией Касперского - вирусов нет, можно абсолютно доверять !

 

 

Не уходите от основной темы в сторону ..

Сообщение было изменено sysinfo: 06 Июль 2016 - 12:57

[Diana Lebedeva]

и еще удаление (сразу как-то пропустила):

delete_key: path = \Registry\Machine\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SppExtComObj.exe

delete_key: path = \Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SppExtComObj.exe

disinfect object: \Device\HarddiskVolume4\Windows\SECOH-QAD.exe - quarantined [threat name: DPH:Trojan.Inject.3, action: 3, type: 0, ret: 8]

 

Preventive protection event: Inject to protected/system process

 

id: 45364, type: PsInject (43), flags: 1 (wait: 1), cid: 8828/1912:\Device\HarddiskVolume4\Windows\SECOH-QAD.exe

  hips: type: 18, action: deny [5]

  inject: CreateThread [3], target process: \Device\HarddiskVolume4\Windows\System32\SppExtComObj.Exe:1152

  hash: 66c72019eafa41bbf3e708cc3824c7c4447bdab6 status: unsigned, pe64, new_pe (0xa00400) / unsigned / unknown

threat: DPH:Trojan.Inject.3 ==> send user blocked alert

path: \Device\HarddiskVolume4\Windows\SECOH-QAD.exe ==> denied access to file

process: \Device\HarddiskVolume4\Windows\SECOH-QAD.exe:8828 ==> suspended all threads in process

path: \Device\HarddiskVolume4\Windows\SECOH-QAD.exe ==> quarantined

send driver event reply for unblock process ==> success

process: \Device\HarddiskVolume4\Windows\SECOH-QAD.exe:8828 ==> terminated

disinfect: \Device\HarddiskVolume4\Windows\SECOH-QAD.exe ==> quarantined [8]

threat: DPH:Trojan.Inject.3 ==> sended user virus found alert

id: 45364 ==> denied [5], time: 1184.218877 ms

[Diana Lebedeva]

 

Не могу ничего сказать на этот счет, за компьютером работает несколько человек,

но остался открытым вопрос - файл 170b356.sys, который именно и стал причиной нестарта Windows 10,

подписан цифровой подписью и сертификатом, выдан Doctor Web Ltd, действителен по 28 октября 2017.

 

Связано ли это с тем, что на компьютере действительно присутствуют кодеки, 

доступны для установки любым желающим:

Your free DivX 10 download includes:

DivX Player

DivX Web Player

DivX Converter

DivX Media Server

 

И да - в их инсталляторе Doctor Web постоянно находит какие-то вирусы,

однако на официальном сайте DivX 

http://www.divx.com/en/software/divx

гордо красуется надпись

Проверено Лабораторией Касперского - вирусов нет, можно абсолютно доверять !

 

 

Не уходите от основной темы в сторону ..

 

 

никто не уходит от основной темы в сторону.  Просто указанный драйвер не появляется просто так в системе. И нужно понять, что этому предшествовало. Для начала. 

[Diana Lebedeva]

sysinfo, 

насколько я вижу, система корпоративная. Есть ли какие-либо особенности в настройках безопасности?

[sysinfo]

Установки все стоят в большей части по дефолту, все было как обычно, никаких работ / нового софта не устанавливалось,

что за файл SECOH-QAD - понятия не имею, за компьютером работает несколько человек,

он мог и автоматом с интернета подгрузиться, тогда вопрос - почему система DrWeb это допустила.

 

Я связываю проблему запуска системы именно с обновлением, или пираты / вирусологи уже такие умные,

что свои вирусы подписывают Вашей цифровой подписью ???

[Игорь7]

Нет, не установлены.

Для их установки требуется перезагрузить компьютер.

 

Извините за оффтоп, но может и я чего не понимаю, но перезагрузка - это те же Выключение и Включение, просто без полного отключения питания. Я сам так постоянно делаю, откладываю перезагрузку, затем выключаю компьютер. На другой день все обновления на месте.Правда у меня Win7, но не думаю, что это имеет значение.

Объясните, если можно на пальцах, в чем по вашему отличия этих действий?

[sysinfo]

Аналогично!

Абсолютно согласен с предыдущим оратором !

[Diana Lebedeva]

Установки все стоят в большей части по дефолту, все было как обычно, никаких работ / нового софта не устанавливалось,

что за файл SECOH-QAD - понятия не имею, за компьютером работает несколько человек,

он мог и автоматом с интернета подгрузиться, тогда вопрос - почему система DrWeb это допустила.

 

Я связываю проблему запуска системы именно с обновлением, или пираты / вирусологи уже такие умные,

что свои вирусы подписывают Вашей цифровой подписью ???

 

еще раз. Файл - наш. Валидный, подписанный. Никто ровным счетом не сказал, что файл не наш, или что проблема не в нем. Но, как видите, форум не кишит сообщениями о том, что после выхода обновления от 4 числа у них система не поднимается и запускает восстановление. Значит, нужно понять и разобраться, что произошло на данной конкретной системе. Что мы и пытаемся здесь сделать, хотя это в общем-то повод обращения в официальную службу технической поддержки, а не на форум. 

Проблема могла быть не связана непосредственно с обновлением, а могла быть связана именно с тем, что обновление потребовало перезагрузки, что совпало с предыдущим лечением.