[Лог!] Самозащита

[Black Angel]

Добрый день. У кого включена галочка в уведомлениях Показывать сообщения самозащиты не наблюдается ли следующее: при включении/перезагрузке компа и при подключении к инету (dial-up) выскакивает несколько раз сообщение самозащиты о том, что svchost пытается открыть наши процессы, запрещено. Просто думаю, нормально это или нет. От техподдержки (мой пост в теме Кому жаловаться) с 23.11.2008 не могу добиться ответа (из тех ответов, что они присылали, подозревают вирус, делал логи, но конкретного ответа нет). Обращался по этому поводу на virusinfo, там сказали, что по логам все чисто. Вот и думаю, точно все чисто или все же нет, раз техподдержка подозревает вирус, но по новым (уже вроде 3 вариант отправил, как просили) логам до сих пор нет ответа. Поэтому и думаю, если все чисто, может еще у кого-то такие сообщения появляются.

[Kapral]

Какой продукт установлен?

Какая ОС? (часом не Зверь или т.п. сборки)

Системные файлы не патчились - типа ВистаТрансформерПак?

 

Если на ВИ сказали чисто - то тут те же самые хелперы. Думаю диагноз будет такой же

[Black Angel]

Установлено

Kaspersky Internet Security 8.0.0.506

Windows Vista Home Premium SP1 + автообновление

Все лицензионное и ничего не патчилось.

Отсюда и небольшое сомнение, что на Вирусинфо сказали, что все чисто, а поддержка сомневается и конкретного ответа от поддержки так и нет. Поэтому и думаю, может еще у кого такие сообщения появляются.

Изменено 20 декабря, 2008 пользователем Black Angel

[Kapral]

Скачай ProcessExplorer

http://download.sysinternals.com/Files/ProcessExplorer.zip

 

и посмотри какой именно СвцХост (какие на нем службы висят) пытается домогаться до КИСули

[Black Angel]

Kapral,

сейчас скачаю. А пока прикладываю логи из вашей подписи

 

Как правильно посмотреть ProcessExplorer? Запустил, в открывшемся окне везде, где есть свцхост написано Хост процесс для служб Windows

Изменено 20 декабря, 2008 пользователем Black Angel

[Kapral]

Наведи мыша на сам процесс - выскочит список служб висящий на нем

ориентируйся по PID

[Black Angel]

По PID получается следующее:

1036 Защитник Виндовс

1200 Доступ к HID устройствам, сетевые подключения и тд.

1192, 1196, 1208 не нашел

Изменено 20 декабря, 2008 пользователем Black Angel

[Kapral]

PID надо смотреть именно в этом сеансе работы, в следующий раз процесс получит новый PID

 

Защитничек говоришь домогается? фи, как некрасиво

 

имхо при установленной КИСе он не нужен

[akoK]

AVZ запущена с пониженными правами.

 

Ее нужно запускать от имени администратора.

[Black Angel]

Скачай ProcessExplorer

http://download.sysinternals.com/Files/ProcessExplorer.zip

 

и посмотри какой именно СвцХост (какие на нем службы висят) пытается домогаться до КИСули

Если все сделал правильно, получается так: когда воспроизвожу ситуацию с сообщением самозащиты, смотрю в КИС в отчетах самозащиты ID процесса. Нахожу в ProcessExplorer такой PID, навожу на svchost и высвечивается следующее (скрины прилагаю, первый скрин с PID 1124, второй с PID 1272). Это нормально?

Изменено 21 декабря, 2008 пользователем Black Angel

[Kapral]

Защитник бы я приглушил бы. как я советовал выше

 

А во втором случае - есть подозрение - что пакостят 1й и 2й.

но 100% гарантии дать не могу

[Black Angel]

Kapral,

из второго скрина поста № 10 по твоей подсказке выяснил, что сообщение самозащиты вызывает 1-й ReadyBoost. Я правильно понял, что если я не использую флэшку как довесок к оперативке, то эту службу можно спокойно отключить и она больше ни на что не влияет?

[Kapral]

Теоретически - да

Т.к. у меня не Виста а ХР - то проверит не могу

[Black Angel]

Сейчас отключил ReadyBoost, вроде проблем нет. Сообщения самозащиты КИС тоже перестали появляться.