symantec ругается на AVZPM

Printable View

30.04.2009, 01:54
Greyhawk

Вложений: 3

symantec ругается на AVZPM

Здравствуйте.

(прошу прощения, как-то я "растекся" с описанием %) )

Столкнулся пару дней назад с тем, что symantec antivirus считает драйвер AVZPM трояном. При этом AVZ не мог его закарантинить никакими мне известными способами (правда, я думаю, что BootCleaner не отрабатывал - лог ВС не создавался). Сервисы симантека при этом гасил (останавливал, но не оключал). AVZ также сообщала, что поиск руткитов уровня kernel и скрытых процессов производить также не будет, ибо ошибка загрузки драйвера.
Симантек тоже при ребуте его не мог удалить. На тот момент я просто снес симантек, выполнил стандартный скрипт 6, заново поставил AVZPM и симантек и, вроде, все нормально стало.

Сейчас, на другой машине похожая ситуация (>>>> Подозрение на RootKit utezmza0 C:\WINDOWS\system32\Drivers\utezmza0.sys
). Правда, драйвер загружается и ругается AVZ только когда симантек не остановлен. В предыдущей ситуации - в любом случае ругался и не грузился. Там, правда, симантек в качестве клиента у сервера. Но ведь он я отключал его локально через сервисы...
На этой машине еще дополняется tmp файлом в а-ля временной папке симантека, на который сам же симантек и ругается.

Также подозревается C:\WINDOWS\system32\vksaver.dll, но на virustotal все антивирусы сказали, что файл чистый. Понимаю, что это не 100%, но ...

Просьба подсказать, по-возможности, в какую сторону копать, а не написать за меня скрипт. Или это все к симантеку?

Сейчас загружаю только стандартные логи, свои "наработки" и карантин с vksaver.dll - по требованию.

Заранее спасибо.

ЗЫ логи делались, к сожалению, через радмин, а не локально.
30.04.2009, 04:31
Bratez

1. Драйверы AVZ могут конфликтовать с антивирусами, поэтому при выполнении скриптов антивирусы следует отключать, об этом и в правилах сказано.

2. Подозрительные файлы можно проверять самостоятельно на [url]http://www.virustotal.com[/url].

3. В логах ничего плохого не видно.

4. Рекомендуется установить SP3 и последующие обновления.
30.04.2009, 09:51
Greyhawk

[QUOTE=Bratez;394944]1. Драйверы AVZ могут конфликтовать...[/QUOTE]

[QUOTE=Greyhawk]В предыдущей ситуации - в любом случае ругался и не грузился. Там, правда, симантек в качестве клиента у сервера. Но ведь я отключал его через сервисы (локально)[/quote]
Или я как-то не так делал?
[QUOTE=Bratez;394944]2. Подозрительные файлы можно проверять самостоятельно на [url]http://www.virustotal.com[/url].[/QUOTE]
[QUOTE=Greyhawk]vksaver.dll, но на virustotal все антивирусы сказали, что файл чистый. [/QUOTE]
Дык, так и проверял же, вроде :( А драйвер у меня не карантинится никак %)
[QUOTE=Bratez;394944]3. В логах ничего плохого не видно.[/QUOTE]
При этом симантек постоянно ругается на utezmza0 и C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Antivirus Corporate Edition\7.5\APTemp\APQ2.tmp

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

PS В данной ситуации драйвер AVZ по базе безопасных прошел, а в прошлый раз не проходил.
30.04.2009, 10:20
Bratez

Если вы говорите, что Симантек назвал драйвер AVZ трояном, значит в этот момент Симантек не был отключен, так ведь? Но не это главное, просто возможные конфликты антивирусов и AVZ - дело естественное, ничего странного тут нет, нужно только об этом знать и иметь ввиду. То, что сам AVZ иногда на свой же драйвер пишет [I]Подозрение на RootKit [/I]- тоже бывает, ничего страшного.

Извиняюсь, про вирустотал в первом посте не увидел.[I]
vksaver.dll [/I]насколько я понимаю, безопасная штучка.

По поводу C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Antivirus Corporate Edition\7.5\APTemp\APQ2.tmp - это уже странности Симантека. Я полагаю, удалив этот файл, вы ничего не испортите.