Странный драйвер *.sys в каталоге c:\Windows\temp
 

Здравствуйте!
Странный драйвер *.sys в каталоге c:\Windows\temp создает Windows 10.
При проверке на virustotal все - ок. Если его удалить, то он создается заново с другим именем.
Сейчас имя - 629DE97.sys
Кто-нибудь знает, что за "фича" и что с этим делать?

Не так все просто. Файл создаётся при загрузке ОС и удалить его без перезагрузки не получается - система не даёт.
И мониторить его создание не получится, поскольку он создается раньше, чем грузится Process Monitor.

Vasylich, посмотрите при помощи. например, Unlocker, чем занят этот файл.

Ничем. Unlocker считает его свободным, но удалить не может и предлагает перезагрузку для удаления.

Vasylich,

Скачайте Process Explorer. Далее:

Find Handle (значок бинокля) - Вводите имя файла - Search.

Сделайте лог загрузки с помощью Process Monitor. Дальше воспользуйтесь поиском, для того, что бы отследить все обращения к этому файлу.

Цитата Казбек:
Find Handle (значок бинокля) - Вводите имя файла - Search. »
Здесь - пусто.
Возможно, что драйвер всегда пересоздается с новым именем, даже если не было удаления.
А вот бутлог кое что дал:
C:\Windows\System32\smss.exe - блокировал до пересоздания.
C:\Program Files\DrWeb\dwservice.exe - создал новый. Это похоже на drweb.
Drweb - у меня установлен.

Дальше svchost.exe безуспешно пытается создать sys-файл со всеми старыми именами существовавших ранее этих sys-ов.
В итоге успешно создает с новым, который по идее уже есть. И затем этот файл успешно цепляется explorer.exe.
лог загрузки:

Странное поведение системы..

А вы по маске поиск сделайте.

Отключите, лучше удалите Dr. Web. Посмотрите, появляются ли файлы.

Ваши файлы создает dwservice:

Удалил - файл пропал. Точно Drweb.

Спасибо за помощь!

DrWeb хороший антивирус, но за некоторые его косяки тухлыми яйцами бы авторов, да словцом приложить.

Dr.Web и KAV поделки ФСБ. Оба продукта имеют сертификаты спецслужб. Напомните мне хоть один антивирусный продукт амеров, который создавали даже бывшие ЦРУ-шники? Потому какой-бы клёвый этот антивирус не был - в топку. Кстати интересную вещь заметил, что как избавился от этих "антивирусов" - сразу пропали и вирусы. Уже лет 5 не встречал ничего серьёзного. Всё отлавливается даже виндовым дефендером. Да на всякий случай ХРАНЮ портабл версию этого вэба от Хазарда, но реальной ситуации когда бы он мне чем-то помог - нет и надеюсь не будет.

Вы не поверите :)

А с чего вы взяли, что это косяк? Очевидно, так и задумано. Почему так задумано - другой вопрос, и его надо задавать поддержке или на официальном форуме.

Откуда дровишки? :)))
Я Лозинского по его разарботкам лет 30 знаю, начиная с Aidstest-а. Тогда ФСБ еще не существовало :)
И продукты его - Adinf, aidstest, drweb - очень даже реальные. И не раз мне помогли против вполне реальных вирусов.
Более того, у меня в коллекции есть несколько сотен исходников с собранными вирусами и drweb и каспер - единственные, кто вылавливают все 100%, ну еще симантек. Остальные - пропускают вирусы и весьма болезненные.

В США есть закон, запрещающий продавать защищающие продукты, в т.ч. антивирусы без сертификации в АНБ/ФБР, иначе дикие штрафы и уголовная статья. Это означает, что даже Windows имеет реальные бэкдоры. Что было подтверждено на иракских истребителях американского производства под управлением Windows XP embedded - все они не взлетели.

Ну ппц.. Ваш дефендер даже вирусы 10-летней давности пропускает.
Цитата Lion_Smith:
но реальной ситуации когда бы он мне чем-то помог - нет и надеюсь не будет. »
Это означает лишь одно - очень низкую вашу активность в Интернете. И при передаче файлов на носителях.

И таки да, все пиндостанские ОС для использования в государственных учреждениях -
сертифицированы ФСБ :)
Я вел переговоры с ними в прошлом году - серверная версия на серверах не должна требовать перезагрузки, однако пару раз в мес требует. Если отказаться, то перестает обновлять базы с ошибкой 101. У каспера такой проблемы нет, но есть другая. Как говорят со старыми валенками в новый век. Однако другие антивирусы имеют проблемы с отлавливанием вирусов, а это как показывает моя 25-летняя практика порой может стать фатальным для очень важных данных.

В таком случае очень странно появление вашего вопроса на этом форуме.
Давно пора бы было знать, что Dr.Web загружает свой драйвер с рандомным именем.
Дабы освежить вам память:
http://www.anti-malware.ru/forum/ind...e=2#entry41654
http://www.anti-malware.ru/forum/ind...e=2#entry41716

нет не все, Windows 10 ещё не сертифицировали, поди пользоватся в РФ в гос структурах нельзя, шутка,

Трудно освежать, если кроме забыл еще и не знал :)

Ок, я прикрою флейм