CIS 5.3 ругается на руткиты

Подозреваю ложное срабатывание. ОС - win7 x64.
При сканировании в режиме “Критические зоны” CIS 5.3 выдаёт:

Rootkit.HiddenFile@0 c:\Users\Дмитрий\AppData\Roaming\systemfl.$dk
Rootkit.HiddenFile@0 c:\Windows\SysWOW64\sys_drv_2.dat
Rootkit.HiddenFile@0 c:\Windows\SysWOW64\WinFLdrv.sys

А компонент Защита при этом пихает WinFLdrv.sys в Доверенные файлы, получается CIS противоречит сам себе!
При сканировании диска С вручную CIS ничего не находит.
Самое интересное, что я вообще таких файлов на диске не нашёл.
AVZ, Kaspersky Virus Removal Tool, Hitman Pro также ничего не находят.
Может кто-нибудь объяснит мне что происходит?

Ничего удивительного, ведь:

Rootkit.HiddenFile
Проверьте GMER'ом: http://www.gmer.net/ и с загрузочного диска. Если файлы всё-таки есть (скорее всего), значит комп надо лечить, просто удалить их, во многих случаях, мало.

А как именно это происходит?

А как именно это происходит?
После сканирования с профилем Критические зоны Комодо добавляет WinFLdrv.sys в список Доверенных, поскольку WinFLdrv.sys подписан цифровой подписью доверенного поставщика.

Вобщем отловил эту гадость.
Как выяснилось WinFLdrv.sys - какой то сомнительный драйвер, подписан цифровой подписью NewSoftwares.net Inc. SDN. BHD., скрывает себя и два других файла так, что даже при включённом отображении скрытых и системных файлов они не видны.
С помощью autoruns я отключил WinFLdrv.sys, после перезагрузки все три файла стали видны и доступны, проверил их на virustotal - ни одного алерта, на всякий случай отправил их в comodo malware analysis.
Никакого ПО от NewSoftwares.net Inc. я никогда не устанавливал и не скачивал.
На всякий случай я у себя удалил newsoftwares.net из списка “Доверенные поставщики”.

Плохо. Файлы уже убили? Запостите инфу сюда, если не трудно:

Правильно, пожалуй. Там вообще стоит поудалять побольше. Безопасный режим пока ещё далёк от совершенства… :frowning:

Я так понял, что GMER это руткит сканер? Если не трудно можно в “трех словах” о проге с позиции применения. ??? И если есть инфа, на каком уровне на данный момент руткит сканер у Comodo?

Драйвер отключил, файлы в корзине лежат.
GMER после этого ничего не нашёл. Правда многие опции сканирования недоступны, наверно потому что ОС 64битная

http://s4.postimage.org/3xcjkujlh/gmer.jpg

Инфу запостил:
https://forums.comodo.com/av-false-positivenegative-detection-reporting/report-trusted-and-whitelisted-malwares-here-dont-attach-live-malware-t67172.0.html;msg476583#msg476583

Лучше этот GMER не запускать.
Я на работе WinXP SP3 x86, CIS 5.3 запустил программу. Программка ничего не нашла. Я перегрузил комп и привет BSOD. Даже не могу в безопасном режиме зайти на комп. Добрые люди подсказали, что можно зайти с LiveCD и поискать и удалить файл gmer.sys.
Как я понял этот драйвер сканирует память при запуске, тоже самое делает и CIS. Скорее всего между ними получился конфликт. Если ничего не получится то попробую восстановить систему. Перед Новым годом сохранялся Acronisom. Вот такой мой печальный способ использования Gmer.

Загрузись с LiveCD. Давно ей не пользовался, но она если мне память не изменяет портабл.

К сажалению мне ничего не помогает. Драйвера Gmer найти не могу. Acronis диск восстанавливать не хочет говорит битый архив. Во попал.
Может кто поможет где искать этот брайвер. Файла gmer.sys не нашел. Среди файлов созданных вчерашним числом на комне ничего похожего на файл драйвера не нашел.
Дайте дельный совет.

Вполне возможно поврежден системный файл Windows. Ну что посоветовать. Запускай LiveCD, сохраняй важные файлы, документы. Переноси на другой раздел и переустанавливай Windows.

На диске С ничего ценного нет, только программы. Документы, файлы почты и прочее находятся на других дисках. Уффф. Так не хочется переустанавливаться.

Очень сомневаюсь, что дело в GMER или CIS. Какие код ошибки и имя упавшего модуля на синем экране?

ikar2006
Драйвер GMER-а (в последних версиях программы ) устанавливается при каждом запуске GMER-а в папку C:\TEMP . В автозагрузке находится здесь - HKLM\System\CurrentControlSet\Services . Имеет примерно такой вид C:\TEMP\AGXYIKOD.SYS .
Крэш-дамп сидит в папке C:\WINDOWS\Minidump , файл скрытый , имеет вид примерно такой - Mini120210-01.dmp .
Смотреть удобно BlueScreenView - http://www.nirsoft.net/utils/bluescreenview.zip и русский язык к ней
http://www.nirsoft.net/utils/trans/bluescreenview_russian.zip - кинуть в папку с прогой .
Смотреть придётся с LiveCD , так как у тебя ни в каком режиме не загружается .

Большое спасибо за участие. Уже переустанавливаю винду.
ntoskrnl
Код ошибки был 0х0000007в имени модуля не указывалось.
Fyord
Файлы с расширением dmp находил только в crash mozillы.
Еще раз спасибо все это учту себе на будущее.
P.S. Самое обидно, что перед Новым Годом сохранился Акронисом. Но архив оказался битым.

ikar2006, 0x7b - это INACCESSIBLE_BOOT_DEVICE. Этот как раз могут быть какие-то фокусы Акрониса или железные проблемы. Но, с другой стороны, раз переставляете, то, может, и к лучшему… :slight_smile: