ремонт компьютеров калуга, +7(4842)400-1-03

08.12.2012

Антивирус Avast! заблокировал сеть

5 Декабря 2012 года обнаружено ложное срабатывание бесплатного антивируса avast! Free, приводящее к полному блокированию сети и интернета у пользователей с Windows XP и установленными домашними версиями антивируса avast. Если у вас установлен avast! и с недавнего времени пропал доступ к сети (т.е. компьютер не обменивается данными ни с локальной сеть, ни с интернет), то эта статья для вас.

Собственно предыстория этого события для нас была следующей, 6 декабря в наш сервисный центр обратились несколько пользователей с практически идентичными симптомами - не работает сеть на компьютере, отсутствует доступ в интернеткомпьютер "тормозит" при загрузке. При попытке расследовать инцидент "со слов пользователей" (что послужило причиной такого поведения компьютера, может быть посещали какие-то определенные сайты, открывали почтовые вложения от неизвестных отправителей, пользовались ли посторонние за ПК своими флешками и т.п.) ничего толком выяснить не удалось, в каждом случае версия была разной. Однако общие симптомы совпадали, компьютер абсолютно не видел сеть, отсутствовал доступ в интернет, при этом в подключении по локальной сети отображался статус "подключено". Более детальный анализ ситуации выявил следующее, при нажатии кнопки "Сведения" в свойствах подключения по локальной сети, оказывалось что компьютер не имел IP-адреса и вообще каких-либо настроек связанных с IP протоколом (при этом протокол TCP/IP в свойствах подключения якобы был), использование утилиты ipconfig для проверки параметров подключения, также выдавало ошибку, в журнале ошибок ОС содержались сообщения о невозможности запустить ни одну из сетевых служб явно зависящих от протокола TCP/IP, а также сообщение об ошибке загрузки самого драйвера протокола. Нашими специалистами было установлено, что во всех случаях настройки драйвера TCP/IP были удалены из реестра Windows, также был удален файл %windir%\system32\drivers\tcpip.sys ... во всех случаях в качестве пострадавшей операционной системы была Windows XP. Проблема во всех случаях (только в первый день было зафиксировано более 6-ти обращений с подобной проблемой) была решена нашими специалистами путем переустановки протокола TCP/IP в системе (методику описывать не будем, т.к. решение не то чтобы "нетривиальное", но выходит далеко за рамки штатных настроек операционной системы) - после чего все успешно заработало.

Также спустя какое-то время (мы пытались найти взаимосвязь между всеми этими случаями) было установлено, что на всех пораженных ОС был установлен антивирус Avast! Free, и именно он, благодаря ложному срабатыванию антивирусного модуля (файл драйвера tcpip.sys по каким-то причинам попал в разряд вредоносных в антивирусных сигнатурах Avast!) удалял этот файл. Т.к. антивирусное ядро работает с максимальными привелегиями (удалить этот файл будучи пользователем или даже администратором ОС в работающей системе попросту невозможно) жизненно необходимый системе файл был удален с легкостью, в результате, т.к. система фактически не знала о существовании протокола TCP/IP - полностью блокировался доступ к сети.

Теперь, перейдем к обзору некоторых публикаций в интернете по данной теме:

"5 декабря 2012 года антивирусная программа avast! после очередного обновления базы обнаружила у многих пользователей вредоносную программу, которую предложила заблокировать или удалить. Большинство клиентов, купивших это приложение, последовали совету avast!, а также провели последующую перезагрузку системы. За этим последовала еще более тщательный анализ системы на вирусы.

После этого, счастливые пользователи обнаружили, что компьютер полностью отказался подключаться к интернету. Исчезла возможность восстановить подключение или создать новое подключение. При этом провайдеры сообщали о том, что услуга исправно предоставляется. После долгих часов обсуждений, оказалось, что проблема была вызвана тем, что avast! случайно принял за вирус файл tcpip.sys, который и отвечал за работу с сетью. Исчез IP-адрес и MAC-адрес и восстановить их не было никакой возможности, некоторым пользователям выдавалась ошибка 720. Перезагрузка в безопасном режиме, откат системы до точки восстановления не давал никаких результатов.

По официальной версии проблема возникала только у владельцев компьютеров на базе операционной системы Microsoft Windows XP, однако народные умельцы в итоге сумели сделать скрипт, который мог бы решить проблему и на Windows 7.

Первые жалобы начали появляться на форумах avast! еще позавчера, однако рабочее решение от пользователей появилось только вчера ближе к вечеру. На сайте habrahabr.ru пользователь под ником LordNAM (которому автор заметки выражает особую благодарность) выложил несколько скриптов, которые устраняли неполадку.

Впоследствии на сайте avast! появилось официальное сообщение, в котором сотрудники компании предложили несколько заводских решений. Занимательно, что эксперты компании предлагают в качестве «Решения №1» фикс, выложенный пользователем Obramko с официальных форумов avast, а не собственный оттестированный фикс.

Для многих пользователей, к числу которых относится и автор этой заметки, проблема с avast! стоила рабочего дня и долгих часов мучений с поиском проблемы." © Кирилл Токарев, http://www.anti-malware.ru/news/2012-12-07/10738

Разработчики антивируса приносят свои извинения и предлагают на своем сайте решение (за авторством пользователя Obramko c официального форума avast), которое мы собственно и опубликуем здесь.

Решение для пользователей ОС Windows XP SP3 (обратите внимание, данное решение актуально для ОС с установленным Service Pack 3 и описанной выше проблемы):

  • Скачайте файл по одной из нижеследующих ссылок:
  • Скачать и распаковать архив на неисправном компьютере/ноутбуке(правой кнопкой мыши по файлу - "извлечь всё").
  • Отключить Avast: нажать правой кнопкой мыши на значок аваста возле часов выбрать "управление экранами avast", далее выбрать "отключение навсегда";
  • Запустить файл fixtcpip.bat , который находится внутри распакованной Вами папки, после этого компьютер перезагрузится;
  • Обновить базы Avast до последней версии (нажать двойным щелчком на значок аваста возле часов, выбрать "обслуживание" - "обновить" - "обновить модуль сканирования и определения вирусов"), включить avast: правой кнопкой мыши на значок аваста возле часов выбрать "управление экранами avast", далее выбрать "включить все экраны".
  • После выполнения действий, описанных в решениях проблемы, если avast опять захочет удалить этот файл обязательно поставьте этот файл в исключения, пока не обновите свои антивирусные базы до актуальной версии, которые уже не содержат ошибочного определения файла как вредоносного.


  • Возврат к списку

     

    Яндекс цитирования