Сергей 1 Опубликовано 6 января, 2009 Поделиться Опубликовано 6 января, 2009 (изменено) Скачал последние обновления для KIS7 и решил провести проверку компьютера при выключённом интернете, в проверке всё было чисто. Потом решил провести проверку утилитой Dr.Web CureIt и она тоже ничего не нашла. Включил интернет и минут через 10 появилось окно с руткитом: я нажал поместить в карантин, но появилось другое окно в котором было написано, что его нельзя туда поместить, я нажал пропустить, но появилось окно, что процесс принудительно завершён, тогда я нажал откат и появилось окно, что откат завершился неуспешно и тогда мне оставалось только нажать пропустить. И теперь периодически высвечивается маленькое окошко. Полный путь к файлу C:\Documents and Settings\Сергей\Local Settings\Temp\RarSFX0\setup.exe Когда я нажал на Hidden object, то перешёл на сайт в котором было написано: Руткит прячет заданный процесс и файлы от других программ. 1. Почему антивирус во во время проверки не показал этого окна, а показал уже после всех проверок? 2. Почему он не может поместить объект на карантин? 3. Действительно ли это является руткитом или проактивная защита просто на что-то ругается? Никаких программ перед этим не ставил и ничего не качал, так что ничего нового в системе не появлялось. 4. Почему он нашёл, но не удалил этот объект? Ведь он находит с помощью записей в базах, так почему он не может с помощью этих же баз вылечить или удалить? И вообще он его обезвредил или нет, как в отчёте написано? Ответьте пожалуйста по каждому пункту. Про правила оформления запроса я знаю, просто хочу спросить может быть с этим уже кто-то сталкивался и может сказать что это? Изменено 6 января, 2009 пользователем Сергей 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
sergio342 Опубликовано 6 января, 2009 Поделиться Опубликовано 6 января, 2009 Это он на Доктора ругается. При запуске куреит КИС надо отключать, а иначе можно БСОД и висяк поймать... Зайди в папку RarSFX0 - там файлы куреита. Ссылка на комментарий Поделиться на другие сайты Поделиться
Сергей 1 Опубликовано 6 января, 2009 Автор Поделиться Опубликовано 6 января, 2009 (изменено) 1. Вы точно уверены? Я уже проводил подобную проверку и такого не было, так почему сейчас такое окно стало появляться? И оно появилось не во время проверки утилиты, а уже после всех этих проверок. Кстати эту папку я не нашёл, даже при отображение скрытых файлов. Что вообще лежит в этой папке Temp и чем она отличается от такой же папки только в папке Windows? 2. И как от него теперь избавиться от этого окна? Изменено 6 января, 2009 пользователем Сергей 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
sergio342 Опубликовано 6 января, 2009 Поделиться Опубликовано 6 января, 2009 Оно появляется именно через какое-то время. Перезагрузить комп. Ссылка на комментарий Поделиться на другие сайты Поделиться
Сергей 1 Опубликовано 6 января, 2009 Автор Поделиться Опубликовано 6 января, 2009 (изменено) Совершенно случайно в этом файле среди множество цифр нашёл этот пункт. Что это вообще за файл от утилиты? Почему раньше такого окна не было? И что с ним теперь делать с этим файлом, просто как Вы говорите перезагрузить и всё станет нормальным? Вы так уверено отвечаете, у Вас тоже так было? Изменено 6 января, 2009 пользователем Сергей 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
sergio342 Опубликовано 6 января, 2009 Поделиться Опубликовано 6 января, 2009 Да. Это лог. Ссылка на комментарий Поделиться на другие сайты Поделиться
Сергей 1 Опубликовано 7 января, 2009 Автор Поделиться Опубликовано 7 января, 2009 (изменено) Перезагрузил компьютер и теперь маленького окна с модификацией файла уже не всплывает. А что теперь делать с этим отчётом, просто оставить без изменений или удалить из списка? 1. Значит после таких проверок надо перезагружать компьютер, чтобы такие окна не появлялись? 2. А где же тогда искать сам файл карантина и почему он эту утилиту назвал руткитом? 3. И папка Temp в итоге тоже от этой утилиты? Ответьте пожалуйста на эти пункты, чтобы я до конца разобрался. Изменено 7 января, 2009 пользователем Сергей 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
sergio342 Опубликовано 7 января, 2009 Поделиться Опубликовано 7 января, 2009 Без разницы - можно удалить. У меня такое было только при загруженном КИС, скорее всего конфликтует с доктором и не дает ему закончить работу. Специалисты точней объяснят, если прочтут, а простым языком доктор устанавливает антируткит драйвер Shield. Больше ничего не знаю . Есть Google - там можно всё найти . Ссылка на комментарий Поделиться на другие сайты Поделиться
Сергей 1 Опубликовано 7 января, 2009 Автор Поделиться Опубликовано 7 января, 2009 (изменено) Большое Вам спасибо за ответы. Я уже испугался, что это руткит. А оказывается у утилиты просто схожий принцип работы, поэтому он его руткитом назвал. Сделали бы так, чтобы антивирус сразу сказал, что он ругается на другую утилиту, чтобы человек сразу понимал в чём дело. Только не пойму, как перезагрузка помогает решить эту ситуацию. И что вообще значит в окне было написано процесс (PID 3332)? Этот вопрос наверное уже к тем, кто прочтёт эту тему утром. Изменено 7 января, 2009 пользователем Сергей 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
sergio342 Опубликовано 7 января, 2009 Поделиться Опубликовано 7 января, 2009 Не за что . Я думаю, что он в памяти сидит или что-то нарушается из-за работы шилда. Давно смотрел и, наверное, не то , но утилитами типа GMER, AVZ ничего не было видно. Ссылка на комментарий Поделиться на другие сайты Поделиться
Сергей 1 Опубликовано 7 января, 2009 Автор Поделиться Опубликовано 7 января, 2009 (изменено) А Вы могли бы сказать, что значит процесс (PID 3332) в появлявшихся окнах? устанавливает антируткит драйвер Shield 1. Так саму же утилиту не надо устанавливать в систему, но драйвер он всё равно ставит? 2. И наверное на него он реагировал, как на руткита? А перезагрузка чем тогда помогает, драйвер что ли отключается? Изменено 7 января, 2009 пользователем Сергей 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
kos1nus Опубликовано 7 января, 2009 Поделиться Опубликовано 7 января, 2009 pid - это идентификационный номер процесса перезагрузка . . . драйвер просто не запускается Ссылка на комментарий Поделиться на другие сайты Поделиться
Сергей 1 Опубликовано 7 января, 2009 Автор Поделиться Опубликовано 7 января, 2009 (изменено) Значит всё-таки дело в драйвере и его антивирус принимает за руткит? А почему так сделано, что утилиту ставить не надо, а драйвер всё равно устанавливается или он не ставится, а просто работает вместе с утилитой? Изменено 7 января, 2009 пользователем Сергей 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Гриша Опубликовано 7 января, 2009 Поделиться Опубликовано 7 января, 2009 Да принимает за руткита, сделано для того чтобы лечить вирусы, без драйвера антивирусный сканер-мусор... Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти