Первое, что хочу сказать, это здрасти
Второе перешел с касперского и оутпоста
Третье ужасая система регистрации на сайте.
Примерно с полгода пользуюсь комодо 5.0, гайки закрутил по максимум, все просто понятно, красиво, все устраивает.
А теперь проблема, не могу удалить следующие руткиты, которые нашел комодо 5.3
Не переименовать, не удалить, не выставить права не могу, система винда 7, 64 битная.
В безопасном режиме тоже колдовал, командную строку запускал от имени администратора и там регедит, может я чего-то не знаю, слышал вроде в семерке как-то еще дополнительно включается администратор в независимости от стандартных настроек, может в этом проблема?
Могу конечно систему переустановить, но может кто сталкивался и знает как решить проблему?
Тогда может попробуете запустить CCE. Он portable(без установки). Только отметьте все галочки(как на скрине), если выбираете Выборочное сканирование. Руткиты искать конечно лучше Полным сканом(долго).
Не забудьте обновить сигнатуры перед проверкой(~80 Mb).
И нам будет интересен результат. Отпишитесь потом.
Добавлено:
После Полного сканирования системы ССЕ (будет две перезагрузки), запустите модуль KillSwitch в этой же программе(ССЕ). В третьей строке слева(Verdict) со временем(после анализа процессов) увидите результат. Safe - значит безопасный процесс. Если все процессы - Safe, думаю страшного ничего нет, тогда как всегда прав ntoskrnl
К тому же: HKEY_LOCAL_MACHINE\System\ControlSet003\Control[b]GraphicsDrivers[/b]*, - даже сразу не обратил внимание
Здравствуйте, coolmans
Честно говоря, это вряд ли руткит, больше похоже на обломки какого-то видеодрайвера. (Может Вы экспериментировали с драйверами, расчитаными на другую систему или локализацию?)
Попробуйте “обработать” вот этим: RegDelNull - Sysinternals | Microsoft Learn
Для страховки сделайте бэкап реестра, например, вот этим: http://www.larshederer.homepage.t-online.de/erunt/
P.S. С другой стороны, да, действительно, может и в самом деле, как SerB говорит, попробовать CCE?
проверил вашей программой, ни чего не нашлось, странно, кстати русик у меня не работает квадратиками весь язык :), думаю кодировку надо вам соответствующую по умолчанию сделать.
кстати русик у меня не работает квадратиками весь язык
Странно. На XP и Seven у меня в ССЕ русик нормально отображается(KillSwitch не переведён)
проверил вашей программой, ни чего не нашлось
Значит действительно остатки конфигурации GraphicsDrivers в системе.. да и с шрифтами у Вас похоже неполадки.. Давно операционную систему не переустанавливали? Часто различные программки(игры) устанавливаете и удаляете? Может пора уже освежить операционку.
начинаю проверять весь ком, комп виснет, начитаю проверять то место где виснет это происходит:
Сигнатура проблемы:
Имя события проблемы: BEX64
Имя приложения: cavscan.exe
Версия приложения: 5.3.43550.1216
Отметка времени приложения: 4d1a8b6f
Имя модуля с ошибкой: unarch.cav
Версия модуля с ошибкой: 1.0.0.1
Отметка времени модуля с ошибкой: 4d1a8b9f
Смещение исключения: 000000000009d608
Код исключения: c0000409
Данные исключения: 0000000000000000
Версия ОС: 6.1.7600.2.1.0.256.1
Код языка: 1049
Дополнительные сведения 1: 2080
Дополнительные сведения 2: 2080575b7fb7a7c64b88b53a2d642a43
Дополнительные сведения 3: 9d72
Дополнительные сведения 4: 9d7278d56a5411bc237c03390350b4c2
Что-то странное с вашей системой творится… cavscan.exe - это вирусный сканер командной строки CIS.
Dll-файл unarch.cav сбоит вот из-за этого события - BEX64. Это обозначает переполнение буфера или исключение DEP в 64-разрядных версиях Windows.
Сavscan.exe, unarch.cav - связанные файлы cmdagent.exe, как основного процесса CIS, потому система и виснет. Удалённого доступа к компу нет? DCOM отключен? Порты на входящие все закрыты?
Просканируйте систему еще вот этим - http://www.freedrweb.com/cureit/
Если и эта утилита ничего не найдет, то думаю Вам придётся операционную систему переустанавливать, подустала она у вас похоже
Еще меня смущает вот это:
перешел с касперского и оутпоста
Вы после них систему чистили? Я знаю, что после Касперского, что после Outpost firewall систему нужно чистить от их следов обязательно, иначе различные ошибки могут быть с работой различных приложений и других антивирусных программ. KAV, KIS, Outpost, при установке глубоко прописываются в системе на уровне ядра(впрочем как и подобает мощным Internet Security) и своими средствами деинсталляции не удаляются окончательно.
да странно, но система почти новая, до кучи проверял этим http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
тоже все чисто, а про касперского и оутпоста это риторическое предложение, мол я разбераюсь в портах и настройки защиты. На этой системе они еще не стояли :), у меня 8 гигов памяти, недавно подкачку отключил, может в этом причина переполнения, хотя 8 гигов не так уже и мало, уровень эвристики высокий, не проверять файлы больше 20 метров, порты закрыты, как в самом комодо (убрал все в предопределенных политиках, в правилах для приложений разрешил программы и порты которые мне нужны и внизу сделал правило запретить все и вход и выход) так и покрайней мере сижу за шлюзовой машинкой, на которой настроен iptables, по мере необходимости есть проброс портов(мапинг) в локалку, игровых портов(udp 27015), но это думаю врятли может влиять.
DCOM включен, сейчас отключил.
Кстати доктор веб тоже ни чего не нашел
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID{7F9AD6B0-3255-15FD-2AF8-DCCF3EB052C5}\InProcServer32\jaklldbahmffebhjhmgc
Rootkit.HiddenValue@0 HKEY_LOCAL_MACHINE\Software\Classes\CLSID{7F9AD6B0-3255-15FD-2AF8-DCCF3EB052C5}\InProcServer32\iaklfefbldlcnanjnp
не могу удалить ССЕ не находит AVZ сканировал тоже не нашел
Здравствуйте!Пользуюсь СISom 1 год(опер.система XP Pro SP3) и претензий никаких,с работой своей справляется.Сидел на 4 версии,потом перешел на 5,и после обновления на 5.3,при сканировании обнаруживает вредоноса- Rootkit.HiddenVallue@0 - HKEY-CURRENT-USER/Software/Microsoft/WindowsNT/Current Version/Windows/Device.Хотел отправить в карантин,не отправляется,и не удаляется.При выборе “Игнорировать” не один пункт не срабатывает кроме"пропустить в этот раз"Проверил AVZ он ничего не нашел,скачал и проверил Malwarebytes Anti-Malware тоже ничего,сегодня проверил с помощью Dr.Web CureIt и KasVirusTool тоже 0.Вот сегодня зарегистрировался на форуме,и ищу помощи, как мне с этим бороться?Заранее благодарен!!!
У меня тоже сложилось такое мнение,после проверки выше перечисленными программами(при том что до версии 5.3 он ничего не находил,а сразу после обновления на 5.3 тут же просканировал,и он его нашел)Так вот я его хотел отправить в Comodo о ложном срабатывании,он отвечает что данный метод не может применен к данному вредоносу,и предлагает обезвредить,я на свой страх и риск соглашаюсь,но и удалить он его не может.
Не буду утверждать,но Hiiden это вроде непознанный руктит,т.е вполне возможно это ложное срабатывание
[b]Rootkit.HiddenValue[/b] - дословный перевод - [b]скрытое значение руткита[/b](а руткиты ясное дело скрытые)
Если впереди названия зловреда стоит приписка - [b]HEUR[/b], то это [b]неопределённая, но возможная опасность[/b].
Дело в том, что последние руткиты на полиморфных движках очень тщательно маскируются в системе под различные сетевые соединения, процессы и файлы, в т.ч. системные, постоянно изменяются при обращении к ним и пожалуй ни один антивирус не сможет с 100%-ной достоверностью определить точно что это руткит.
CIS 5-й версии довольно хорошо научился находить срытые процессы и файлы в системе, он их показывает, но зачастую ими могут оказаться различные остатки драйверов низкого уровня антивирусных программ, файлы и ключи системного реестра “хитрой” регистрации некоторых платных программ и т.п., хотя эти технологие очень схожи с поведением руткитов. Вот и ошибается СIS… или всё-таки не ошибается?!
Не знаю куда он делся но CIS его больше не находит установил запланированное сканирование каждый день в карантине нет хотя указал перемещать туда
Он не делся, надеюсь он был удалён при перезагрузке вашего ПК.
Дело в том, что “тяжёлые” вредоносы(будем так их называть, не вдаваясь в дебри терминологий: бекдоры, руткиты, вирусы, трояны, черви и т.п., в этих категориях можно запутаться так как некоторые вредоносам присущи свойства разных категорий), удаляются из системы только после её перезагрузки.
установил запланированное сканирование каждый день
ну это слишком. Я думаю раз в одну-две недели вполне нормально, если Вы конечно не ожидаете целенаправленной атаки на ваш компьютер :D
в карантине нет хотя указал перемещать туда
я бы Вам не советовал выставлять в настройках антиивруса автоматическое перемещение в карантин. Представьте себе, если ошибочно будет изолирован и перемещен в карантин важный системный файл, который приведет к BSOD. Оно Вам надо?!
Могу порекомендовать COMODO System-Cleaner. Действительно неплохо чистит реестр и выпиливает из системы лишние файлы. Особенно полезно, если доплнительные сканеры вроде CureIt что-то находят, тогда реестр точно чистить надо.
А я бы никому не советовал пользоваться подобными программами-чистильщиками.Если конечно вы не любитель частой переустановки виндоуз.Временные файлы удаляются встроенной утилитой Очистка Диска,а реестр лучше вообще не трогать такими программами.
Мне комодина чистильная )) снесла адобовские файлы регистрации в реестре, хотя парагоном копию делаю давно все как то не прияно. Без афффотопа и рекламы но иногда подчищаю вит регистри, слета пока не было, два года прошло.
Пользуюсь старой портативной Comodo System Cleaner для периодической чистки реестра на трёх машинах. Ещё ни разу ничего лишнего не выпилилось, ничего не слетело, совершенно никаких претензий к качеству программы нет.
Друг, ты все правильно делаешь, это в адобе хрен пойми че понапридумывали, что после чистки комодовским клинером слетает регистрация стотысячного продукта…
