Win32/Kryptik.AMD на чистой системе - Форум технической поддержки ESET NOD32

Сообщений: 4

Баллов: 2

Регистрация: 23.04.2010

Размещено 23.04.2010 16:48:53

Здравствуйте, проблема в следующем:
имеется компьютер со свежеустановленной Windows 7 Professional,
несколько раз в день появляется сообщение от nod32 следующего содержания:
Объект:
C:\windows\SoftwareDistribution\DataStore\Logs\tmp.edb
Угроза:
модифицированный Win32/Kryptik.AMD
Комментарий:
Событие произошло в новом файле, созданном следующим приложением: C:\Windows\system32\svchost.exe

выбираю удалить, через некоторое время предупреждение появляется снова.

Собственно вопрос: это ложное срабатывание или руткит или что-то другое ?

Версия Nod32 4.0.474.0

Сообщений: 190

Баллов: 152

Регистрация: 19.03.2010

Размещено 23.04.2010 18:00:16

Цитата
Дмитрий пишет: Собственно вопрос: это ложное срабатывание или руткит или что-то другое ?

На фолс не похоже. Делайте логи по правилам http://forum.esetnod32.ru/forum6/topic55/
Попробуйте просканить комп вот этой утилитой - http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Warum das leben lohnt

Размещено 25.04.2010 18:19:31

Насчёт Windows 7 лучше использовать Максимальную (Ultimate), а NOD32 лучше скачать новую версию и использовать Smart Security - http://esetnod32.ru/.download/home/commerce/ , насчёт вируса - я никогда с этим не сталкивался. Предположение: Возможно Windows 7 пиратская (рекомендуется поставить ЛИЦЕНЗИЮ).

Сообщений: 4

Баллов: 2

Регистрация: 23.04.2010

Размещено 05.05.2010 16:16:14

сделал логи SysInspector и hijackthis, установлен nod32 Antivirus Business edition, имя пользователя: EAV-17347371

Прикрепленные файлы

SysInspector-computer-100505-1309.zip (206.56 КБ)
hijackthis-20100505.zip (2.65 КБ)

Изменено: Дмитрий - 05.05.2010 16:18:04

Сообщений: 4

Баллов: 2

Регистрация: 23.04.2010

Размещено 11.05.2010 11:52:11

ответьте, пожалуйста, сообщение продолжает появляться

Размещено 11.05.2010 12:47:51

Ложное срабатывание. Это обновления винды, исключите всю папку из проверки:

%windir%\SoftwareDistribution\Datastore

Сообщений: 4

Баллов: 2

Регистрация: 23.04.2010

Размещено 11.05.2010 13:46:50

я готов исключить папку из проверки, но только если это будет официальный ответ технической поддержки компании eset. скажите, можно ли получить таковой на этом форуме ?

Сообщений: 1023

Баллов: 818

Регистрация: 16.03.2010

Размещено 11.05.2010 14:17:06

Так удали его вручную или просканируй на VirusTotal, и будешь точно знать.
Не советую подобные папки исключать из проверки, потому что, как в принципе правильно заметил как-то Алексей, "не бывает ложных срабатываний антивируса, бывает лишь детектирование некоторых функций полезных программ, как опасных или вредоносных".

Сообщений: 471

Баллов: 376

Регистрация: 15.03.2010

Размещено 11.05.2010 15:26:27

Полезная статья - http://support.microsoft.com/kb/822158/ru

Выдержка из нее:

"Отключение сканирования файлов системы безопасности Windows
Добавьте в список исключений следующие файлы, находящиеся в папке %windir%\Security\Database:
*.edb;
*.sdb;
*.log;
*.chk;
*.jrs.
Примечание. Если не исключить эти файлы из числа объектов сканирования, антивирусная программа может затруднить доступ к ним и вызвать повреждение баз данных безопасности. Также сканирование этих файлов в ряде случаев делает невозможным их использование либо применение к ним политик безопасности. В связи с этим их рекомендуется не проверять, потому что антивирусная программа может не распознать их как специальные файлы базы данных."

Указанный файл может относиться к логам Системы обновления Windows, либо к логам системы безопасности Windows - обе могут выполнять потенциально опасные действия, которые могут детектироваться антивирусом.

ESET Technical Support

Win32/Kryptik.AMD на чистой системе , Win32/Kryptik.AMD в файле tmp.edb