Антивирус Avast удаляет svchost.exe
Утром 4-го июня «упало» несколько десятков рабочих станций. Первое впечатление, что 4, либо вечером 3-го активировался какой-то вирус. Сканирование носителя с незараженного компьютера антивирусами CureIT и AVP никакой информации не дало — Якобы все чисто.
Симптомы: (далеко не все)
- Отключены все принтеры (USB. других нет)
- Не функционирует панель задач.
- Не открываются настройки встроенного фаерволла.
- Не работает сеть. Вернее работает, но только RAdmin.
- В свойствах сети не отображаются сетевые подключения.
- Практически полностью деинсталлирован антивирус Avast.
ОС: Windows XP Home SP2. Прав админа не было.
Подозрение пало на Win32.HLLM.Generic.391, но CureIT ничего не находит! Да и не возможно было заражение некоторой части компьютеров из-за повышенной защищенности (Нет дисководов, отключены порты, активирован фаерволл, и пр.).
Минут 40 ковыряния в носу и подобие дедукции привели к ветке на официальном форуме Avast. Реальность несколько шокировала: Антивирус Avast удаляет svchost.exe!!! Описанные в ветке симптомы 1:1 совпадали с наблюдаемыми.
Восстанавливал банально: Переустановка Windows в режиме обновления + накатывание по верх Service Pack 3. Второе — не обязательно, но лишним не будет.
Самое прискорбное в этой ситуации — это не прямые и косвенные потери на возвращение парка машин в рабочее состояние, а то, что верховное IT руководство так и не осознало своей убогости и тупости некомпетентности в данном вопросе. До последнего мне твердили, что это вирус и восстанавливали работу полной переустановкой ОС (В других городах до сих пор этим занимаются). На мои сомнения по поводу целесообразности использования Avast на корпоративной площадке кивали в строну Kaspersky AntiVirus, мол, и у него был такой грешок. На замечание, что у KAV есть Kaspersky Administration Kit — инструмент централизованного управления, который позволяет назначать обновления рабочим станциям в ручную, после тестирования на стендовых машинах, предпочли отмолчаться.
В общем, стандартный набор недостатков крупной организации.
5 Комментариев
Июнь 9th, 2008
Никогда не доверял avast’у
На моих тестах (вирусы прошедше sav 10 на работе и выловленные вручную — шутук 15 было за 2 года) — заливал на virustotal и смотрел на скорость реакции — лучшие результаты показал как это ни банально kav на втором месте avira, drweb и nod32 наверное делят третье. У avira правда есть болшой недостаток — большое кол-во ложых срабатываний, а nod32 при попытке лечения доводил компьютер до синего экрана при загрузке — лечилось только safe mode + uninstall nod32.
Июнь 10th, 2008
Вот ты это вот попробуй нашим TOP IT-шникам объяснить! Я пару раз пробовал — стена! Все знают, все понимают, .. — ПОХУЙ!
Ну а нижестоящие прогибаются под вышестоящих. Им похуй еще больше.
Июнь 10th, 2008
А какие плюсы в пользу avast — imho кроме бесплатной версии он ничем не примечателен. Но я сомневаюсь что на мало-мальски крупном предприятии используют персональные версии антивирусов без централизованного управления.
Июнь 11th, 2008
«Но я сомневаюсь что на мало-мальски крупном предприятии используют персональные версии антивирусов без централизованного управления.»
Ну дык не сомневайся! Если бы я сказал, на каком — ты бы охуел!
Июль 29th, 2008
пару слов в защиту avast’а. напоролся на фигню с svchost месяц назад. полазил по инету. лечил полным сносом винды с переустановкой и sp3. однако на днях прихожу в то же мсто. вижу ту же картину: на переустановленной машине, avast’у не нравится svchost. списываю все на глюки avasta, лезу в настройки, хочу поставить svchost в игнор и вижу в списке файлов два svchost’а (именно два, без всяких swchost и прочей лабудени). гружусь в линуха (plop-linux), смотрю ntfs’ный раздел и вижу на диске два файла: один svchost.exe, как есть, а второй sv201314host.exe с размерчиком типа 1639746 или тому подобное. при чем! в plop’е есть два драйвера ntfs — один старый, а другой ntfs-3g. последний этот файлик не видит. винюки тоже видят в windowssystem32 только один svchost.exe на чистых машинах, файлик тоже один. при чем, на зараженной машине был еще и spoolsrv. его аваст не видел. снес я его в реестре руками почистил, после чего avast перестал гнать на svchost.
так что ругается avast похоже правильно.
Добавить комментарий