Здравствуйте!
Странный драйвер *.sys в каталоге c:\Windows\temp создает Windows 10.
При проверке на virustotal все - ок. Если его удалить, то он создается заново с другим именем.
Сейчас имя - 629DE97.sys
Кто-нибудь знает, что за "фича" и что с этим делать?

Если его удалить, то он создается заново с другим именем.
Process Monitor: как отследить приложение, записывающее непонятные файлы на диск (http://www.outsidethebox.ms/11644/)

Не так все просто. Файл создаётся при загрузке ОС и удалить его без перезагрузки не получается - система не даёт.
И мониторить его создание не получится, поскольку он создается раньше, чем грузится Process Monitor.

Vasylich, посмотрите при помощи. например, Unlocker, чем занят этот файл.

посмотрите при помощи. например, Unlocker, чем занят этот файл. »
Ничем. Unlocker считает его свободным, но удалить не может и предлагает перезагрузку для удаления.

Vasylich,

Скачайте Process Explorer. Далее:

Find Handle (значок бинокля) - Вводите имя файла - Search.

Не так все просто »
Сделайте лог загрузки с помощью Process Monitor (https://xaegr.wordpress.com/2009/07/27/procmon-bootlogging/). Дальше воспользуйтесь поиском, для того, что бы отследить все обращения к этому файлу.

Цитата Казбек:
Find Handle (значок бинокля) - Вводите имя файла - Search. »
Здесь - пусто.
Возможно, что драйвер всегда пересоздается с новым именем, даже если не было удаления.
А вот бутлог кое что дал:
C:\Windows\System32\smss.exe - блокировал до пересоздания.
C:\Program Files\DrWeb\dwservice.exe - создал новый. Это похоже на drweb.
Drweb - у меня установлен.

Дальше svchost.exe безуспешно пытается создать sys-файл со всеми старыми именами существовавших ранее этих sys-ов.
В итоге успешно создает с новым, который по идее уже есть. И затем этот файл успешно цепляется explorer.exe.
лог загрузки:
https://yadi.sk/d/wuGxJhulxkNMt
Странное поведение системы..

Возможно, что драйвер всегда пересоздается с новым именем, даже если не было удаления. »

А вы по маске поиск сделайте.

Отключите, лучше удалите Dr. Web. Посмотрите, появляются ли файлы.

Ваши файлы создает dwservice:

http://i.imgur.com/47FSCOZ.png

Отключите, лучше удалите Dr. Web. »
Удалил - файл пропал. Точно Drweb.

Спасибо за помощь!

DrWeb хороший антивирус, но за некоторые его косяки тухлыми яйцами бы авторов, да словцом приложить.

DrWeb хороший антивирус, но за некоторые его косяки тухлыми яйцами бы авторов, да словцом приложить. »
Dr.Web и KAV поделки ФСБ. Оба продукта имеют сертификаты спецслужб. Напомните мне хоть один антивирусный продукт амеров, который создавали даже бывшие ЦРУ-шники? Потому какой-бы клёвый этот антивирус не был - в топку. Кстати интересную вещь заметил, что как избавился от этих "антивирусов" - сразу пропали и вирусы. Уже лет 5 не встречал ничего серьёзного. Всё отлавливается даже виндовым дефендером. Да на всякий случай ХРАНЮ портабл версию этого вэба от Хазарда, но реальной ситуации когда бы он мне чем-то помог - нет и надеюсь не будет.

Dr.Web и KAV поделки ФСБ. Оба продукта имеют сертификаты спецслужб. »
Вы не поверите (http://certsys.ru/products/microsoft/) :)

но за некоторые его косяки »
А с чего вы взяли, что это косяк? Очевидно, так и задумано. Почему так задумано - другой вопрос, и его надо задавать поддержке или на официальном форуме.

Цитата Lion_Smith:
Dr.Web и KAV поделки ФСБ. »
Откуда дровишки? :)))
Я Лозинского по его разарботкам лет 30 знаю, начиная с Aidstest-а. Тогда ФСБ еще не существовало :)
И продукты его - Adinf, aidstest, drweb - очень даже реальные. И не раз мне помогли против вполне реальных вирусов.
Более того, у меня в коллекции есть несколько сотен исходников с собранными вирусами и drweb и каспер - единственные, кто вылавливают все 100%, ну еще симантек. Остальные - пропускают вирусы и весьма болезненные.

Цитата Lion_Smith:
Напомните мне хоть один антивирусный продукт амеров, который создавали даже бывшие ЦРУ-шники? »
В США есть закон, запрещающий продавать защищающие продукты, в т.ч. антивирусы без сертификации в АНБ/ФБР, иначе дикие штрафы и уголовная статья. Это означает, что даже Windows имеет реальные бэкдоры. Что было подтверждено на иракских истребителях американского производства под управлением Windows XP embedded - все они не взлетели.

Цитата Lion_Smith:
Всё отлавливается даже виндовым дефендером. »
Ну ппц.. Ваш дефендер даже вирусы 10-летней давности пропускает.
Цитата Lion_Smith:
но реальной ситуации когда бы он мне чем-то помог - нет и надеюсь не будет. »
Это означает лишь одно - очень низкую вашу активность в Интернете. И при передаче файлов на носителях.

Цитата Vadikan:
Вы не поверите :) »
И таки да, все пиндостанские ОС для использования в государственных учреждениях -
сертифицированы ФСБ :)
Цитата Vadikan:
А с чего вы взяли, что это косяк? Очевидно, так и задумано. »
Я вел переговоры с ними в прошлом году - серверная версия на серверах не должна требовать перезагрузки, однако пару раз в мес требует. Если отказаться, то перестает обновлять базы с ошибкой 101. У каспера такой проблемы нет, но есть другая. Как говорят со старыми валенками в новый век. Однако другие антивирусы имеют проблемы с отлавливанием вирусов, а это как показывает моя 25-летняя практика порой может стать фатальным для очень важных данных.

лет 25 знаю »
В таком случае очень странно появление вашего вопроса на этом форуме.
Давно пора бы было знать, что Dr.Web загружает свой драйвер с рандомным именем.
Дабы освежить вам память:
http://www.anti-malware.ru/forum/index.php?showtopic=4995&page=2#entry41654
http://www.anti-malware.ru/forum/index.php?showtopic=4995&page=2#entry41716

И таки да, все » нет не все, Windows 10 ещё не сертифицировали, поди пользоватся в РФ в гос структурах нельзя, шутка, https://russian.rt.com/article/326041-minkomsvyaz-pervym-iz-vedomstv-otkazhetsya-ot-microsoft, значит сертификат отзовут :).

Дабы освежить вам память: »
Трудно освежать, если кроме забыл еще и не знал :)

Ок, я прикрою флейм