Показано с 1 по 12 из 12.

Лопухнулся.

  1. #1
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226

    Smile Лопухнулся.

    Сегодня KAV "обрадовал" -- дескать smss.exe в system32 это жуткий руткит. Сделать он с ним ничего не смог.
    Голова моя в этот момент была занята совершенно другими вопросами. И я, не долго думая, запустил AVZ, скопировал в карантин, затем грохнул этот файл. И в dllcash -- тоже.
    AVZ запросила перезагрузки. Я, думая совсем о другом, перезагрузил комп.
    И -- всё. Комп ушёл в бесконечный перезагруз. Вдобавок ко всему у меня отказалась работать USB-клава.
    Почесал я в затылке, обматерил сам себя и достал с полки порядком запылившийся Реаниматор.
    Сам файлик smss.exe скопировал на дискетку с другого компа. Клаву оживил, переключив в БИОСе одну позицию. Затем с Реаниматора запустил TC и тупо скопировал файлик с дискетки в system32.
    Перезагруз и -- вуаля!-- Винда загрузилась нормально.

    Всё нормально вроде бы... Но остался вопрос: почему KAV детектил smss.exe, как руткит? Что это было -- ложняк или на самом деле зверёк пробегал?
    Только что просканировал всё самым жёстким образом -- тишина, ничего не найдено.
    Сижу вот теперь, читаю в И-нете разные форумы, но ничего толком не понял. Если у кого-нибудь есть информация или соображения по данному инцинденту -- поделитесь пожалуста, просветите.
    Наше дело правое--победа будет за нами!!!

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    1. Палыч, пришлите мне отчет работы антивируса, где есть упоминание об этом файле
    2. Во избежание надопониманий - отправьте этот файл на newvirus@kaspersky.com с пометкой "Возможно, ложное срабатывание".

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Возможно был пропатчен, либо что-то им подгружалось. Нужны "старые" логи до удаления, новые тоже не помешают.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226
    Фрагмент отчёта KAV с зафиксированным инциндентом:
    17.01.2009 15:33:31 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
    17.01.2009 15:33:31 Защита вашего компьютера работает.
    17.01.2009 15:34:34 Процесс (PID 0) не завершен.
    17.01.2009 15:34:59 Обновление завершено успешно
    17.01.2009 15:36:26 Ошибка помещения C:\WINDOWS\System32\smss.exe на карантин (доступ запрещен или объект не найден)
    17.01.2009 15:44:48 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
    17.01.2009 15:47:04 Защита вашего компьютера работает.
    17.01.2009 16:30:05 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
    17.01.2009 18:57:07 Защита вашего компьютера работает.
    17.01.2009 18:58:03 Процесс (PID 0) не завершен.
    17.01.2009 18:58:15 Ошибка помещения C:\WINDOWS\System32\smss.exe на карантин (доступ запрещен или объект не найден)
    17.01.2009 18:58:34 Обновление завершено успешно
    17.01.2009 19:15:58 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
    17.01.2009 20:36:21 Защита вашего компьютера работает.
    17.01.2009 20:56:49 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
    17.01.2009 20:57:23 Защита вашего компьютера работает.
    17.01.2009 21:18:50 Обновление завершено успешно
    Логи в AVZ я не делал.
    В карантине и резервном хранилище KAV пусто...
    Я выполнял поиск и удаление в AVZ. Резервных копий там тоже не делал. Так что -- увы -- прислать ничего не смогу. Сейчас в system32 работает заведомо чистый файлик.

    Просматривал форум на сайте ЛК, так там тоже есть описания подобных инциндентов. И в русскоязычном разделе, и в англоязычном. Может другие люди оказались не такими лопухами, как я и догадались закарантинить один экземпляр?
    Наше дело правое--победа будет за нами!!!

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Цитата Сообщение от Палыч Посмотреть сообщение
    17.01.2009 16:30:05 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
    Вот эти записи совпадают с перезагрузками компа или какими-то еще действиями? Или они спонтанны?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226
    Там была странная ситуация -- монитор во время текущей работы ничего не детектил. А этот алярм я получал только при старте KAV.
    То есть целенаправленное сканирование папки ничего не давало. Но если сделать Выход и тут же снова запустить KAV, то пожалуста, при старте имелся детект.
    Так что это я сам отключал KAV и снова его включал ручками.
    Наше дело правое--победа будет за нами!!!

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Можете найти в отчетах имя детекта?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226
    Цитата Сообщение от DVi Посмотреть сообщение
    Можете найти в отчетах имя детекта?
    Вот:
    обнаружено: потенциально опасное ПО Hidden object Процесс: C:\WINDOWS\System32\smss.exe
    Добавлено через 1 час 20 минут

    Вообщем, возможно это конфликт KAV и CureIt.

    Порядок действий такой:
    -- выгружаем KAV;
    -- запускаем CureIt, делаем экспресс-проверку;
    -- запускаем KAV, не выгружая CureIt;
    -- при старте KAV получаем алярм.

    обнаружено: потенциально опасное ПО Hidden object Процесс: C:\WINDOWS\System32\smss.exe
    обнаружено: потенциально опасное ПО Hidden object Процесс: C:\Documents and Settings\Палыч\Local Settings\Temp\RarSFX3\setup.exe
    18.01.2009 10:05:07 Защита вашего компьютера работает.
    18.01.2009 10:09:53 Обновление завершено успешно
    18.01.2009 11:03:16 Процесс (PID 0) не завершен.
    18.01.2009 11:05:08 Ошибка помещения C:\Documents and Settings\Палыч\Local Settings\Temp\RarSFX3\setup.exe на карантин (доступ запрещен или объект не найден)
    18.01.2009 11:05:17 Откат успешно выполнен.
    18.01.2009 11:18:48 Процесс C:\WINDOWS\System32\smss.exe (PID: 2084): попытка выполнения подозрительных действий разрешена.
    18.01.2009 11:18:48 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
    18.01.2009 11:22:54 Защита вашего компьютера работает.
    18.01.2009 11:23:52 Процесс (PID 0) не завершен.
    Последний раз редактировалось Палыч; 18.01.2009 в 11:43. Причина: Добавлено
    Наше дело правое--победа будет за нами!!!

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    Понятно. Стало быть, это был вердикт проактивки. Вполне вероятно, что и из-за CureIt.
    А версия KAV какая?

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226
    KAV7.0.1.325
    Наше дело правое--победа будет за нами!!!

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Аналогичная ругань: http://virusinfo.info/showthread.php?t=37702

  13. #12
    Expert Репутация Репутация Репутация
    Регистрация
    03.01.2007
    Адрес
    Ставрополь
    Сообщений
    16
    Вес репутации
    39
    Обратился пользователь Dr.Web CureIt! с этой проблемой.
    Установил актуальный KIS 2009, проапдейтил, скачал свежий Dr.Web CureIt!
    Запустил, сделал полную проверку.
    Никаких проблем. В общем случае CureIt! и KIS совместимы.
    Если кто-то узнает частности проблемы - добро пожаловать на http://support.drweb.com/new/feedback - всегда рады.
    (я постоянно за этим форумом не слежу, к сожалению).

    Касается и темы http://virusinfo.info/showthread.php?t=37702, где ответить у меня не получилось.
    Я так и не понял, причём тут CureIt!, если алерт выдаёт продукт ЛК...
    Последний раз редактировалось ValeryLedovskoy; 26.01.2009 в 22:32.
    Оно пошто поди понятно, оно и правильно, а случись-тко что-нибудь - вот те и пожалуйста...

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00637 seconds with 20 queries