Руткит или нет?

[Сергей 1]

Скачал последние обновления для KIS7 и решил провести проверку компьютера при выключённом интернете, в проверке всё было чисто. Потом решил провести проверку утилитой Dr.Web CureIt и она тоже ничего не нашла. Включил интернет и минут через 10 появилось окно с руткитом: я нажал поместить в карантин, но появилось другое окно в котором было написано, что его нельзя туда поместить, я нажал пропустить, но появилось окно, что процесс принудительно завершён, тогда я нажал откат и появилось окно, что откат завершился неуспешно и тогда мне оставалось только нажать пропустить. И теперь периодически высвечивается маленькое окошко.

 

Полный путь к файлу C:\Documents and Settings\Сергей\Local Settings\Temp\RarSFX0\setup.exe

 

Когда я нажал на Hidden object, то перешёл на сайт в котором было написано:

Руткит прячет заданный процесс и файлы от других программ.

 

1. Почему антивирус во во время проверки не показал этого окна, а показал уже после всех проверок?

2. Почему он не может поместить объект на карантин?

3. Действительно ли это является руткитом или проактивная защита просто на что-то ругается? Никаких программ перед этим не ставил и ничего не качал, так что ничего нового в системе не появлялось.

4. Почему он нашёл, но не удалил этот объект? Ведь он находит с помощью записей в базах, так почему он не может с помощью этих же баз вылечить или удалить? И вообще он его обезвредил или нет, как в отчёте написано?

Ответьте пожалуйста по каждому пункту.

Про правила оформления запроса я знаю, просто хочу спросить может быть с этим уже кто-то сталкивался и может сказать что это?

Изменено 6 января, 2009 пользователем Сергей 1

[sergio342]

Это он на Доктора ругается. При запуске куреит КИС надо отключать, а иначе можно БСОД и висяк поймать...

Зайди в папку RarSFX0 - там файлы куреита.

[Сергей 1]

1. Вы точно уверены? Я уже проводил подобную проверку и такого не было, так почему сейчас такое окно стало появляться? И оно появилось не во время проверки утилиты, а уже после всех этих проверок. Кстати эту папку я не нашёл, даже при отображение скрытых файлов. Что вообще лежит в этой папке Temp и чем она отличается от такой же папки только в папке Windows?

2. И как от него теперь избавиться от этого окна?

Изменено 6 января, 2009 пользователем Сергей 1

[sergio342]

Оно появляется именно через какое-то время.

Перезагрузить комп.

[Сергей 1]

Совершенно случайно в этом файле среди множество цифр нашёл этот пункт. Что это вообще за файл от утилиты? Почему раньше такого окна не было? И что с ним теперь делать с этим файлом, просто как Вы говорите перезагрузить и всё станет нормальным? Вы так уверено отвечаете, у Вас тоже так было?

Изменено 6 января, 2009 пользователем Сергей 1

[sergio342]

Да. Это лог.

[Сергей 1]

Перезагрузил компьютер и теперь маленького окна с модификацией файла уже не всплывает. А что теперь делать с этим отчётом, просто оставить без изменений или удалить из списка?

1. Значит после таких проверок надо перезагружать компьютер, чтобы такие окна не появлялись?

2. А где же тогда искать сам файл карантина и почему он эту утилиту назвал руткитом?

3. И папка Temp в итоге тоже от этой утилиты?

Ответьте пожалуйста на эти пункты, чтобы я до конца разобрался.

Изменено 7 января, 2009 пользователем Сергей 1

[sergio342]

Без разницы - можно удалить. У меня такое было только при загруженном КИС, скорее всего конфликтует с доктором и не дает ему закончить работу. Специалисты точней объяснят, если прочтут, а простым языком доктор устанавливает антируткит драйвер Shield. Больше ничего не знаю . Есть Google - там можно всё найти .

[Сергей 1]

Большое Вам спасибо за ответы. Я уже испугался, что это руткит. А оказывается у утилиты просто схожий принцип работы, поэтому он его руткитом назвал. Сделали бы так, чтобы антивирус сразу сказал, что он ругается на другую утилиту, чтобы человек сразу понимал в чём дело. Только не пойму, как перезагрузка помогает решить эту ситуацию. И что вообще значит в окне было написано процесс (PID 3332)? Этот вопрос наверное уже к тем, кто прочтёт эту тему утром.

Изменено 7 января, 2009 пользователем Сергей 1

[sergio342]

Не за что . Я думаю, что он в памяти сидит или что-то нарушается из-за работы шилда. Давно смотрел и, наверное, не то , но утилитами типа GMER, AVZ ничего не было видно.

[Сергей 1]

А Вы могли бы сказать, что значит процесс (PID 3332) в появлявшихся окнах?

 

устанавливает антируткит драйвер Shield

 

1. Так саму же утилиту не надо устанавливать в систему, но драйвер он всё равно ставит?

2. И наверное на него он реагировал, как на руткита? А перезагрузка чем тогда помогает, драйвер что ли отключается?

Изменено 7 января, 2009 пользователем Сергей 1

[kos1nus]

pid - это идентификационный номер процесса

перезагрузка . . . драйвер просто не запускается

[Сергей 1]

Значит всё-таки дело в драйвере и его антивирус принимает за руткит?

А почему так сделано, что утилиту ставить не надо, а драйвер всё равно устанавливается или он не ставится, а просто работает вместе с утилитой?

Изменено 7 января, 2009 пользователем Сергей 1

[Гриша]

Да принимает за руткита, сделано для того чтобы лечить вирусы, без драйвера антивирусный сканер-мусор...