Касперский 7.0 & Outpost

[Сержио]

Внимание! Описание смотреть чуть ниже.

ScreenSave.doc

Изменено 17 декабря, 2008 пользователем Сержио

[MedvedevUnited]

Здравствуйте.

 

Попробуйте в правилах исключений убрать символы *\ перед именем файла (т.е. ввести просто OP_CACHE.ATR и OP_CACHE.IDX).

[Сержио]

Всем привет!

 

Позавчера преустанавливал КАВ 7 и Outpost, для того чтобы отладить их совместную работу, согласно ссылки http://forum.kaspersky.com/index.php?showt...mp;&do=findComment&comment=590159, подсказанной на этом форуме. То есть сначал установил КАВ, потом Outpost. Проги встали нормально, комп перестал тормозить.

 

Вопрос 1.) Каждые раз при загрузке компьютера появляется Outpost-сообщение (раньше - при первой установке Outpost без Касперского, что-то я такого не помню) - "Приложение NTVDM.EXE пытается изменить память другого приложения - PhysicalMemory". Пока не знаю что делать(разрешать или нет), так что нажимаю блокировать однократно. Но прикаждой перезагрузке оно снова появляется.

Посоветуйте, что надо сделать либо "блокировать работу приложения", либо "разрешить"?

 

Вопрос 2.) Согласно указаной ссылки КАВ 7 начал выдавть угрозы (Outpost-файлы OP_CACHE.ATR и OP_CACHE.IDX). Сделал все как указано в ссылке, чтобы убрать эти сообщения, а именно добавил маски *\OP_CACHE.ATR, *\OP_CACHE.IDX в доверенную зону - правила исключений.

А мой комп при "Проверке Моего компьютера" все равно считает это как угрозу (Посмотрите приложенный файл ScreenSave).

Подскажите, как можно решить эту проблему? Может быть я еще что-то должен настроить? А то ведь нереально каждый раз просматривать этот список из 500-800 файлов для поиска в нем вирусов.

 

Заранее всем спасибо!

ScreenSave.doc

[MedvedevUnited]

На второй вопрос я уже ответил в разделе "Помощь по продуктам".

[Сержио]

MedvedevUnited, спасибо за совет по второму вопросу. Сегодня вечером его попробую. А что на счет первого вопроса?

 

На всякий случау цитирую ответ MedvedevUnited на второй вопрос:

"Попробуйте в правилах исключений убрать символы *\ перед именем файла (т.е. ввести просто OP_CACHE.ATR и OP_CACHE.IDX)".

Может у кого еще будут варианты?

[MedvedevUnited]

Этот вариант сначал проверьте. Я его проверял на eicar перед тем, как Вам сегодня написать. С eicar'ом сработало.

По первому вопросу сейчас затрудняюсь ответить, к сожалению.

Изменено 17 декабря, 2008 пользователем MedvedevUnited

[Kapral]

Сообщение от модератора Kapral

Топики объединены

Изменено 18 декабря, 2008 пользователем Falcon

[Сержио]

По первому вопросу может кто-нибудь что-то сказать??

[Kapral]

Лучше спросить на офф. форуме - в указанном топике

[kos1nus]

я так понимаю аутпост выпоняет функцию исключительно фаирвола? ну в таком случае оставте функцию следить за безопасностью на копьюторе касперскому, а в аутпосте выключите "локальную бозопасность", так как она реагирает буквально на все, и если аутпост говорит что какой то процесс пытается чтолибо сделать это не обязательно плохо.

 

но если у вас сомнения по поводу ntvdm.exe(это виртуальная дос машина) вы можете просмотреть вашу автозагрузку (Пуск -> Выполнить -> msconfig) и если нету каких то подозрительных пунктов можно пропускать этот процесс.

 

если список автозагрузки видите впервые, воспользуейтесь специализированным софтом, он проанализирует и выявит безопасные и неизвестыне ему пункты. информацию по каждому пункту, как правило, можно найти в интернете через тот же софт. удачи

Изменено 17 декабря, 2008 пользователем kos1nus

[Сержио]

но если у вас сомнения по поводу ntvdm.exe(это виртуальная дос машина) вы можете просмотреть вашу автозагрузку (Пуск -> Выполнить -> msconfig) и если нету каких то подозрительных пунктов можно пропускать этот процесс.

 

В автозагрузке сомнительных пунктов нет, всё знакомо.

Да, вот еще вчера заметил, что пока я не отвечу на вопрос Outposta комп не загружает КАсперского. Может быть этот файл ntvdm.exe как-то связан с запуском Касперского? Подскажите!

 

 

Отдельный респект MedvedevUnited за решение 2 вопроса. Вчера попробовал сделать по его совету все получилось! Короче респект и уважуха .

[Misterio]

Автозапуск(содержимое), лучше наверно смотреть с помощью АВЗ, более подробная информация выдается. Что до Outposta, то поместите Касперского в его доверенную зону. Сделайте настройку совместимости, советы по этой операции уже приводились

[Сержио]

Все настройки по указанным в ссылке советам я сделал и КАВ и Outpost стоят у друг друга в доверенных зонах. Так что проблема не в этом.

[Misterio]

На крайний случай в Outpost можно выключить "контроль компонентов" Кстати, какой запрос выдает Outpost при загрузке Касперского? Если можно, сделайте скрин (Print Screen, затем "пуск>все программы>стандартные>Paint>правка>вставить)

Изменено 18 декабря, 2008 пользователем Androno12

[Сержио]

Что из этого может запускать ntvdm.exe? И как ее снять с автозагрузки, если этого приложения нет в списке автозагрузки (msconfig)?

 

Автозапуск

Имя файла Статус Метод запуска Описание

C:\Drevlanka\cnstart.exe Активен Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, CNStart 2.0

C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, OutpostMonitor

C:\Program Files\Agnitum\Outpost Security Suite Pro\feedback.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, OutpostFeedBack

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, AVP

C:\Program Files\Microsoft Office\Office10\OSA.EXE Активен Ярлык в папке автозагрузки C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\, C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Microsoft Office.lnk,

C:\Program Files\VDOTool\TBPanel.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Gainward

C:\WINDOWS\SYSTEM32\Userinit.exe -- Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit

C:\WINDOWS\System32\cscript.exe -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows Scripting Host\Locations, CScript

C:\WINDOWS\System32\logon.scr Активен Ключ реестра HKEY_CURRENT_USER, Control Panel\Desktop, scrnsave.exe

C:\WINDOWS\System32\logon.scr Активен Файл system.ini C:\WINDOWS\system.ini, boot, SCRNSAVE.EXE

C:\WINDOWS\System32\wscript.exe -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows Scripting Host\Locations, WScript

C:\WINDOWS\system32\CTFMON.EXE Активен Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, CTFMON.EXE

C:\WINDOWS\system32\NvCpl.dll Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, NvCplDaemon

C:\WINDOWS\system32\SHELL32.dll Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, PostBootReminder

C:\WINDOWS\system32\SHELL32.dll Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, CDBurn

C:\WINDOWS\system32\browseui.dll Активен Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler, {438755C2-A8BA-11D1-B96B-00A0C90312E1}

C:\WINDOWS\system32\browseui.dll Активен Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler, {8C7461EF-2B13-11d2-BE35-3078302C2030}

C:\WINDOWS\system32\cleanmgr.exe /D %c -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\cleanuppath,

C:\WINDOWS\system32\ctfmon.exe Активен Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, CTFMON.EXE

C:\WINDOWS\system32\dfrg.msc %c: -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\DefragPath,

C:\WINDOWS\system32\ntbackup.exe -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\BackupPath,

C:\WINDOWS\system32\ntmarta.dll -- Ключ реестра HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider, ProviderPath

C:\WINDOWS\system32\nwiz.exe Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, nwiz

C:\WINDOWS\system32\shell32.dll Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {AEB6717E-7E19-11d0-97EE-00C04FD91972}

C:\WINDOWS\system32\stobject.dll Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, SysTray

C:\WINDOWS\system32\webcheck.dll Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, WebCheck

Explorer.exe -- Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell

Explorer.exe -- Файл system.ini C:\WINDOWS\system.ini, boot, shell

autocheck autochk * -- Ключ реестра HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager, BootExecute

c:\progra~1\agnitum\outpos~1\wl_hook.dll -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs

drwtsn32 -p %ld -e %ld -g -- Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug, Debugger

logon.scr Активен Ключ реестра HKEY_USERS, .DEFAULT\Control Panel\Desktop, scrnsave.exe

logonui.exe -- Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, UIHost

mvfs32.dll -- Ключ реестра HKEY_CURRENT_USER, Control Panel\IOProcs, MVB

rdpclip Активен Ключ реестра HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd, StartupPrograms

rundll32 shell32,Control_RunDLL "sysdm.cpl" -- Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, VmApplet

Обнаружено элементов автозапуска - 36, опознано как безопасные - 31