WIndows 7 SP1. CIS 6.3.302093.2976 обновления баз последние.
В последнее время при выключении ПК получаю от защиты COMODO такое сообщение: “Приложение System не было опознано и оно пытается изменить содержимое C:\Windows\system32\WDI\LogFiles\ShutdownCKCL.etl. Вы должны убедиться, что System - это безопасное приложение, прежде чем разрешать этот запрос.”.
Запускал проверку системного диска на вирусы самим COMODO. Также, из второй системы, где установлена ХР, запускал проверку диска с Windows 7 новейшим антивирусом Avast. Всё чисто. Запускал проверку системных файлов Windows системной утилитой sfc (скриншот прилагается), и также всё ОК.
Я конечно, на запрос COMODO, нажал Разрешить и Запомнить, но всё равно, что это за ерунда такая? Какого фига, системное приложение не опознано? Может кто сталкивался? Поиск данной ситуации на форуме ничего не дал (может плохо искал). Если кто знает, подскажите.
Я сталкивался.
По научному не объясню…
Когда происходит выключение машины какая то часть системы уже ушла в завершение, включая некоторые компоненты комодо, может произойти аллерт.Та часть комодо которая в состоянии ответить за вопрос безопасное это приложение или нет-выгружена. Нажимай ты или не нажимай это не имеет смысла. Если Вы уверены в чистоте машины рекомендуется, даже в мануале, поработать в режиме обучения (хипс). Некоторое время - это до двух суток ( экспериментальным путём). Само собой в это время нужно пользоваться обычными программами,но не как не шариться в интернете и писать программы, исследовать вирусы. До включения режима обучения желательно снять скриншот уже внесённых правил хипса для приложений.После обучения вы легко сравните с теми что появились (правила). Те которые не знаете ищете в поисковике (интернет). Таким образом вы расширите свои знания о процессах протекающих на машине. Само собой все помнить нельзя и я не помню.Но справочку то веду! Блокнотик в папке. Ну как то так…
bad1968
Еще я бы Вам посоветовал тщательно изучить автозагрузку ОС, и временно поотключать “лишнее”.
И посмотреть, не исчезла ли проблема при выключении ПК…
P.S. Не пользовались твикерами типа “Ускорение процесса выключения ОС” ?
Спасибо всем. Всё понял, буду ковырять дальше. Я уж подумал, что CIS вирусняк пропустил.
Я запустил утилиту AVZ - Диспетчер процессов и он обнаружил кучу скрытых процесов (скриншот). И ещё проверил прогой RootkitRevealer от Sysinternals, и она нашла эти процессы - но тут всё проще из отчёта видно, что эти скрытые процессы создал HIPS COMODOвский. Или может я ошибаюсь? Если кто пользуется утилитой AVZ, отпишитесть, пожалуйста, как у вас?
ivm19651
P.S. Не пользовались твикерами типа “Ускорение процесса выключения ОС” ?
Я пользуюсь Ashampoo WinOptimizer, но систему не ускорял. Время завершения программ WaitToKillAppTimeout в реестре стоит - 10000, а WaitToKillServiceTimeout - 12000. По моему это умолчания.
Всё верно по скриншоту. Когда то пользовался. Подтверждаю. Поэтому вернее пользоваться диспетчерами не АВ производителей. Сторонними. Вы правильно поступили. Моё мнение Ваша проблема выеденного яйца не стоит.
У Вас, при проверке, был установлен драйвер расширенного мониторинга процессов в AVZ?
Я запускал Диспетчер устройств AVZ на другой машине, где не CIS, а AVAST стоит, но установлена та же самая сборка Windows 7. И там такая же ситуация с маскировкой процессов и подменой ID.
Пример сообщения после сканирования системного диска утилитой AVZ: “Маскировка процесса с PID=2440, имя = “” >> обнаружена подмена PID (текущий PID=0, реальный = 2440)”.
И, никак не дает покоя мне эта проблема с System. Недавно, при запуске не помню какого приложения, опять выскочило сообщение от защиты CIS, что System не опознано и пытается выполнить… и т.д. Но это уже не в момент выключения ПК а в процессе работы.
До этого устанавливал на многих машинах эту утилиту. Погонять зверей. Совместно с 5х Сомодо. Сборки ос были разные.Где то было чисто, где то зловреды, где то лажняк: как у вас (предположительно(после проверки другими утилитами)). Вчера решил поставить. Сейчас Сомод 6х последний. ОС лицензия 8ка. Ответ крайне неутешительный для вас-Всё зеленым. Но свой предыдущий пост не отменяю. Ложные срабатывания подтверждаю. Я тогда еще не собирал так активно скрины… А зря… Может проверить ещё каким диском загрузочным на зловреды?
Понятно, спасибо.
У меня есть на флэшке kav_rescue_10. Загружусь с нее, проверю. Как я выше писал, я проверял Avastом с другого диска, чисто. Мог конечно и его вирусняк положить. Запущу ещё там AVZ.
У меня есть подозрение, что этот руткит мог попасть уже изначально в сборку ОС (либо по ошибке криворуких сборщиков, либо специально). Не люблю сборки наших “специалистов”, но выбирать не из чего. Остаётся лицуха.
У меня есть такое правило, раз в неделю, делаю полный образ системного диска. Вернусь к самому началу установки ОС, без драйверов и антивируса, если там нет руткита, то получится, что CIS пропустил. Что не есть приятным фактом. Чтож будем посмотреть.
Прошлый скрин от WIN7 x64, где драйвер отказывается устанавливаться из-за несовместимости…
Сейчас сделал скрины с установленным драйвером расширенного мониторинга процессов в AVZ.
Один скрин на реальной системе WinXP x86, с CIS 5.12.
Второй скрин тоже с WinXP x86 на Virtualbox, но уже с установленным CIS 6.3.
В обоих случаях ничего плохого не увидел.
Сдается мне, что что-то все таки не так…
Попробуйте проверить еще систему Malwarebytes Anti-Malware:
В общем пропахал я систему вдоль и поперёк разными средствами защиты, от Антируткитов (Sophos AntiRootkit,GMer, TDSSkiller от Каспера) до антивирусов с загрузочных дисков (загрузочный COMODO, KAV rescue 10), и Dr.WEB Cure it, Kasper Removal tool.
Все чисто.
Выходит AVZ ложняк гонит или какой то кофликт.
Я думаю ложняк. Если бы был какой зловред, хоть какой нибудь из АВ его показал бы. Что то может в сборке не так.Так вы это писали уже. Короче, круг сужается.