- Avast! reported all of sudden on system some hidden drivers (4 files) and suggested upload them to Alwil for analysis
- System freezed afterward
- Since that moment no report, bootscan reveal nothing, any other file scan reveal nothing
- memory scan reveals something in memory
4.8.2009 4:27:51 avast! Upozornění Klient 90 Není k dispozici "Virus ""Win32:Zbot-AVH [Trj]"" byl nalezen v souboru ""*PROCESS\770\4a00000\40000"". "
4.8.2009 4:27:50 avast! Upozornění Klient 90 Není k dispozici "Virus ""Win32:RPCexploit [Trj]"" byl nalezen v souboru ""*PROCESS\770\49a0000\40000"". "
4.8.2009 4:27:49 avast! Upozornění Klient 90 Není k dispozici "Virus ""Win32:Small-HUF [Trj]"" byl nalezen v souboru ""*PROCESS\770\4940000\40000"". "
4.8.2009 4:27:48 avast! Upozornění Klient 90 Není k dispozici "Virus ""Win32:Small-gen2 [Trj]"" byl nalezen v souboru ""*PROCESS\770\4900000\40000"". "
4.8.2009 4:27:48 avast! Upozornění Klient 90 Není k dispozici "Virus ""JS:Agent-AU [Expl]"" byl nalezen v souboru ""*PROCESS\770\4860000\40000"". "
4.8.2009 4:27:47 avast! Upozornění Klient 90 Není k dispozici "Virus ""Win32:Agent-WOT [Trj]"" byl nalezen v souboru ""*PROCESS\770\47e0000\40000"". "
4.8.2009 4:27:46 avast! Upozornění Klient 90 Není k dispozici "Virus ""Win32:Inject-DO [Trj]"" byl nalezen v souboru ""*PROCESS\770\4760000\40000"". "
4.8.2009 4:27:46 avast! Upozornění Klient 90 Není k dispozici "Virus ""Win32:Banker-CDW [Trj]"" byl nalezen v souboru ""*PROCESS\770\4720000\40000"". "
4.8.2009 4:27:45 avast! Upozornění Klient 90 Není k dispozici "Virus ""Win32:Small-HZH [Trj]"" byl nalezen v souboru ""*PROCESS\770\4690000\40000"". "
4.8.2009 4:27:44 avast! Upozornění Klient 90 Není k dispozici "Virus ""Win32:MalWarrior [Tool]"" byl nalezen v souboru ""*PROCESS\770\4630000\40000"". "
4.8.2009 4:27:43 avast! Upozornění Klient 90 Není k dispozici "Virus ""Win32:PcClient-OD [Trj]"" byl nalezen v souboru ""*PROCESS\770\4580000\40000"". "
4.8.2009 4:27:42 avast! Upozornění Klient 90 Není k dispozici "Virus ""Win32:Agent-SG [Trj]"" byl nalezen v souboru ""*PROCESS\770\44e0000\40000"". "
4.8.2009 4:27:40 avast! Upozornění Klient 90 Není k dispozici "Virus ""Win32:FraudLoad-P [Trj]"" byl nalezen v souboru ""*PROCESS\770\43b0000\40000"". "
4.8.2009 4:26:39 avast! Upozornění Klient 90 Není k dispozici "Virus ""Win32:Adloader-AC [Trj]"" byl nalezen v souboru ""*PROCESS\770\4260000\40000"". "
obviously the process ID reveals this is MsMpEng.exe which is MS Windows Defender
http://forum.avast.com/index.php?topic=47139.0
so i need to ask does MSWD keeps part of virus in memory non encrypted or is this false positive?