вообщем сабж. проблема в том что с кд и бряками нигде не могу задетектить как авер убивает малварь через Zw/NtDeleteFile. дело происходит на вм, подскажите, куда копать пожалуйста!
sn0w, Почему ты решил что юзается нтапи ? Авер обычно ядерный, ему не нужны нт функции высокоуровневые. Обычно они работают на уровне IOCTL драйверном. Zw/Nt-апи это юзер функции, фактически не ядерные.
