Лопухнулся.

Сегодня KAV "обрадовал" -- дескать smss.exe в system32 это жуткий руткит. Сделать он с ним ничего не смог.
Голова моя в этот момент была занята совершенно другими вопросами. И я, не долго думая, запустил AVZ, скопировал в карантин, затем грохнул этот файл. И в dllcash -- тоже.
AVZ запросила перезагрузки. Я, думая совсем о другом, перезагрузил комп.
И -- всё. Комп ушёл в бесконечный перезагруз. Вдобавок ко всему у меня отказалась работать USB-клава.
Почесал я в затылке, обматерил сам себя и достал с полки порядком запылившийся Реаниматор.
Сам файлик smss.exe скопировал на дискетку с другого компа. Клаву оживил, переключив в БИОСе одну позицию. Затем с Реаниматора запустил TC и тупо скопировал файлик с дискетки в system32.
Перезагруз и -- вуаля!-- Винда загрузилась нормально.

Всё нормально вроде бы... Но остался вопрос: почему KAV детектил smss.exe, как руткит? Что это было -- ложняк или на самом деле зверёк пробегал?
Только что просканировал всё самым жёстким образом -- тишина, ничего не найдено.
Сижу вот теперь, читаю в И-нете разные форумы, но ничего толком не понял. Если у кого-нибудь есть информация или соображения по данному инцинденту -- поделитесь пожалуста, просветите.

1. Палыч, пришлите мне отчет работы антивируса, где есть упоминание об этом файле
2. Во избежание надопониманий - отправьте этот файл на [email][email protected][/email] с пометкой "Возможно, ложное срабатывание".

Возможно был пропатчен, либо что-то им подгружалось. Нужны "старые" логи до удаления, новые тоже не помешают.

Фрагмент отчёта KAV с зафиксированным инциндентом:
[quote]
17.01.2009 15:33:31 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.
17.01.2009 15:33:31 Защита вашего компьютера работает.
17.01.2009 15:34:34 Процесс (PID 0) не завершен.
17.01.2009 15:34:59 Обновление завершено успешно
17.01.2009 15:36:26 Ошибка помещения C:\WINDOWS\System32\smss.exe на карантин (доступ запрещен или объект не найден)
17.01.2009 15:44:48 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
17.01.2009 15:47:04 Защита вашего компьютера работает.
17.01.2009 16:30:05 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
17.01.2009 18:57:07 Защита вашего компьютера работает.
17.01.2009 18:58:03 Процесс (PID 0) не завершен.
17.01.2009 18:58:15 Ошибка помещения C:\WINDOWS\System32\smss.exe на карантин (доступ запрещен или объект не найден)
17.01.2009 18:58:34 Обновление завершено успешно
17.01.2009 19:15:58 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
17.01.2009 20:36:21 Защита вашего компьютера работает.
17.01.2009 20:56:49 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
17.01.2009 20:57:23 Защита вашего компьютера работает.
17.01.2009 21:18:50 Обновление завершено успешно
[/quote]

Логи в AVZ я не делал.
В карантине и резервном хранилище KAV пусто...
Я выполнял поиск и удаление в AVZ. Резервных копий там тоже не делал. Так что -- увы -- прислать ничего не смогу. Сейчас в system32 работает заведомо чистый файлик.

Просматривал форум на сайте ЛК, так там тоже есть описания подобных инциндентов. И в русскоязычном разделе, и в англоязычном. Может другие люди оказались не такими лопухами, как я и догадались закарантинить один экземпляр?

[QUOTE=Палыч;335693]17.01.2009 16:30:05 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.[/QUOTE]
Вот эти записи совпадают с перезагрузками компа или какими-то еще действиями? Или они спонтанны?

Там была странная ситуация -- монитор во время текущей работы ничего не детектил. А этот алярм я получал только при старте KAV.
То есть целенаправленное сканирование папки ничего не давало. Но если сделать Выход и тут же снова запустить KAV, то пожалуста, при старте имелся детект.
Так что это я сам отключал KAV и снова его включал ручками.

Можете найти в отчетах имя детекта?

[QUOTE=DVi;335724]Можете найти в отчетах имя детекта?[/QUOTE]

Вот:
[quote]обнаружено: потенциально опасное ПО Hidden object Процесс: C:\WINDOWS\System32\smss.exe[/quote]

[size="1"][color="#666686"][B][I]Добавлено через 1 час 20 минут[/I][/B][/color][/size]

Вообщем, возможно это конфликт KAV и CureIt.

Порядок действий такой:
-- выгружаем KAV;
-- запускаем CureIt, делаем экспресс-проверку;
-- запускаем KAV, не выгружая CureIt;
-- при старте KAV получаем алярм.

[quote]
обнаружено: потенциально опасное ПО Hidden object Процесс: C:\WINDOWS\System32\smss.exe
обнаружено: потенциально опасное ПО Hidden object Процесс: C:\Documents and Settings\Палыч\Local Settings\Temp\RarSFX3\setup.exe
[/quote]

[quote]
18.01.2009 10:05:07 Защита вашего компьютера работает.
18.01.2009 10:09:53 Обновление завершено успешно
18.01.2009 11:03:16 Процесс (PID 0) не завершен.
18.01.2009 11:05:08 Ошибка помещения C:\Documents and Settings\Палыч\Local Settings\Temp\RarSFX3\setup.exe на карантин (доступ запрещен или объект не найден)
18.01.2009 11:05:17 Откат успешно выполнен.
18.01.2009 11:18:48 Процесс C:\WINDOWS\System32\smss.exe (PID: 2084): попытка выполнения подозрительных действий разрешена.
18.01.2009 11:18:48 Защита вашего компьютера не работает. Рекомендуется возобновить защиту.
18.01.2009 11:22:54 Защита вашего компьютера работает.
18.01.2009 11:23:52 Процесс (PID 0) не завершен.
[/quote]

Понятно. Стало быть, это был вердикт проактивки. Вполне вероятно, что и из-за CureIt.
А версия KAV какая?

KAV7.0.1.325

Аналогичная ругань: [url]http://virusinfo.info/showthread.php?t=37702[/url]

Обратился пользователь Dr.Web CureIt! с этой проблемой.
Установил актуальный KIS 2009, проапдейтил, скачал свежий Dr.Web CureIt!
Запустил, сделал полную проверку.
Никаких проблем. В общем случае CureIt! и KIS совместимы.
Если кто-то узнает частности проблемы - добро пожаловать на [url]http://support.drweb.com/new/feedback[/url] - всегда рады.
(я постоянно за этим форумом не слежу, к сожалению).

Касается и темы [url]http://virusinfo.info/showthread.php?t=37702[/url], где ответить у меня не получилось.
Я так и не понял, причём тут CureIt!, если алерт выдаёт продукт ЛК...