Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Руткит или нет?

Сергей 1

Автор Сергей 1
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Сергей 1 Профи

Сергей 1

Опубликовано
Опубликовано (изменено)

Скачал последние обновления для KIS7 и решил провести проверку компьютера при выключённом интернете, в проверке всё было чисто. Потом решил провести проверку утилитой Dr.Web CureIt и она тоже ничего не нашла. Включил интернет и минут через 10 появилось окно с руткитом: я нажал поместить в карантин, но появилось другое окно в котором было написано, что его нельзя туда поместить, я нажал пропустить, но появилось окно, что процесс принудительно завершён, тогда я нажал откат и появилось окно, что откат завершился неуспешно и тогда мне оставалось только нажать пропустить. И теперь периодически высвечивается маленькое окошко.

 

Полный путь к файлу C:\Documents and Settings\Сергей\Local Settings\Temp\RarSFX0\setup.exe

 

Когда я нажал на Hidden object, то перешёл на сайт в котором было написано:

  Цитата
Руткит прячет заданный процесс и файлы от других программ.

 

1. Почему антивирус во во время проверки не показал этого окна, а показал уже после всех проверок?

2. Почему он не может поместить объект на карантин?

3. Действительно ли это является руткитом или проактивная защита просто на что-то ругается? Никаких программ перед этим не ставил и ничего не качал, так что ничего нового в системе не появлялось.

4. Почему он нашёл, но не удалил этот объект? Ведь он находит с помощью записей в базах, так почему он не может с помощью этих же баз вылечить или удалить? И вообще он его обезвредил или нет, как в отчёте написано?

Ответьте пожалуйста по каждому пункту.

Про правила оформления запроса я знаю, просто хочу спросить может быть с этим уже кто-то сталкивался и может сказать что это?

post-7634-1231283814_thumb.png

post-7634-1231283822_thumb.png

post-7634-1231283827_thumb.png

post-7634-1231283833_thumb.png

post-7634-1231283839_thumb.png

post-7634-1231284202_thumb.png

Изменено пользователем Сергей 1
Ссылка на комментарий
Поделиться на другие сайты
sergio342 Ветеран

sergio342

Опубликовано
Опубликовано

Это он на Доктора ругается. При запуске куреит КИС надо отключать, а иначе можно БСОД и висяк поймать...

Зайди в папку RarSFX0 - там файлы куреита.

Ссылка на комментарий
Поделиться на другие сайты
Сергей 1 Профи

Сергей 1

Опубликовано
  • Автор
Опубликовано (изменено)

1. Вы точно уверены? Я уже проводил подобную проверку и такого не было, так почему сейчас такое окно стало появляться? И оно появилось не во время проверки утилиты, а уже после всех этих проверок. Кстати эту папку я не нашёл, даже при отображение скрытых файлов. Что вообще лежит в этой папке Temp и чем она отличается от такой же папки только в папке Windows?

2. И как от него теперь избавиться от этого окна?

Изменено пользователем Сергей 1
Ссылка на комментарий
Поделиться на другие сайты
Сергей 1 Профи

Сергей 1

Опубликовано
  • Автор
Опубликовано (изменено)

Совершенно случайно в этом файле среди множество цифр нашёл этот пункт. Что это вообще за файл от утилиты? Почему раньше такого окна не было? И что с ним теперь делать с этим файлом, просто как Вы говорите перезагрузить и всё станет нормальным? Вы так уверено отвечаете, у Вас тоже так было?

post-7634-1231285911_thumb.png

post-7634-1231285917_thumb.png

Изменено пользователем Сергей 1
Ссылка на комментарий
Поделиться на другие сайты
Сергей 1 Профи

Сергей 1

Опубликовано
  • Автор
Опубликовано (изменено)

Перезагрузил компьютер и теперь маленького окна с модификацией файла уже не всплывает. А что теперь делать с этим отчётом, просто оставить без изменений или удалить из списка?

1. Значит после таких проверок надо перезагружать компьютер, чтобы такие окна не появлялись?

2. А где же тогда искать сам файл карантина и почему он эту утилиту назвал руткитом?

3. И папка Temp в итоге тоже от этой утилиты?

Ответьте пожалуйста на эти пункты, чтобы я до конца разобрался.

post-7634-1231286481_thumb.png

post-7634-1231286490_thumb.png

Изменено пользователем Сергей 1
Ссылка на комментарий
Поделиться на другие сайты
sergio342 Ветеран

sergio342

Опубликовано
Опубликовано

Без разницы - можно удалить. У меня такое было только при загруженном КИС, скорее всего конфликтует с доктором и не дает ему закончить работу. Специалисты точней объяснят, если прочтут, а простым языком доктор устанавливает антируткит драйвер Shield. Больше ничего не знаю :huh:. Есть Google - там можно всё найти ;).

Ссылка на комментарий
Поделиться на другие сайты
Сергей 1 Профи

Сергей 1

Опубликовано
  • Автор
Опубликовано (изменено)

Большое Вам спасибо за ответы. :huh: Я уже испугался, что это руткит. А оказывается у утилиты просто схожий принцип работы, поэтому он его руткитом назвал. Сделали бы так, чтобы антивирус сразу сказал, что он ругается на другую утилиту, чтобы человек сразу понимал в чём дело. Только не пойму, как перезагрузка помогает решить эту ситуацию. И что вообще значит в окне было написано процесс (PID 3332)? Этот вопрос наверное уже к тем, кто прочтёт эту тему утром.

Изменено пользователем Сергей 1
Ссылка на комментарий
Поделиться на другие сайты
sergio342 Ветеран

sergio342

Опубликовано
Опубликовано

Не за что :huh:. Я думаю, что он в памяти сидит или что-то нарушается из-за работы шилда. Давно смотрел и, наверное, не то ;), но утилитами типа GMER, AVZ ничего не было видно.

Ссылка на комментарий
Поделиться на другие сайты
Сергей 1 Профи

Сергей 1

Опубликовано
  • Автор
Опубликовано (изменено)

А Вы могли бы сказать, что значит процесс (PID 3332) в появлявшихся окнах?

 

  Цитата
устанавливает антируткит драйвер Shield

 

1. Так саму же утилиту не надо устанавливать в систему, но драйвер он всё равно ставит?

2. И наверное на него он реагировал, как на руткита? А перезагрузка чем тогда помогает, драйвер что ли отключается?

Изменено пользователем Сергей 1
Ссылка на комментарий
Поделиться на другие сайты
Сергей 1 Профи

Сергей 1

Опубликовано
  • Автор
Опубликовано (изменено)

Значит всё-таки дело в драйвере и его антивирус принимает за руткит?

А почему так сделано, что утилиту ставить не надо, а драйвер всё равно устанавливается или он не ставится, а просто работает вместе с утилитой?

Изменено пользователем Сергей 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • user69696969
      не могу удалить руткит
      Автор user69696969
      Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
       >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
      Ошибка анализа библиотеки user32.dll   
      аvz выдает ну там еще нейтрализует что то постоянно при чем при след скане.возобновляеться вообщем мне кажеться дело в эом коде подскажите плз как удалить его?не получаеться вообще
    • Тарас333
      Похоже руткит
      Автор Тарас333
      Здравствуйте, помогите, похоже руткит!
      CollectionLog-2024.02.07-23.03.zip
×
×
  • Создать...