Windows XP PRO SP3 – остановить изменения ключа ключа безопасности, установленного неизвестной программой

Я искал сайт и сеть для ответа на мою проблему без везения.

Не уверен, что это возможно, но неизвестная скрытая программа / скрипт / вредоносное ПО / руткит продолжает добавлять \ ?? \ к пути образа в реестре для программ безопасности / брандмауэра / антивируса, который у меня запущен на моем компьютере. Например:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ ksapi \ ImagePath

\ ?? \ C: \ WINDOWS \ system32 \ drivers \ ksapi.sys (модуль Kingsoft ksapi.)

Это фактически отключает без ведома пользователя все, что делает антивирус Кингсофт ksapi.sys. Так, например, программа может показать, что активная активная защита включена, но на самом деле это не так, поскольку \ ?? \ изменяет путь к изображению, тем самым сводя на нет его выполнение и эффективность при рендеринге его полностью неэффективного и, самое главное, он обманывает один в ложном смысле Безопасности. Я продолжаю удалять \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \

Эта программа-мошенник также делает то же самое с программами antirootkit, которые нейтрализуют их возможности обнаружения, а также иногда фактически удаляют их драйверы (sys-файлы).

Кто-нибудь знает, есть ли сценарий (или программа), который может зацикливать реестр и отслеживать ключи пути к изображению, узнать, какая программа выполняет изменения, перехватить его, возможно, заблокировать ключи, чтобы они не могли быть изменены и если Они изменились, чтобы удалить \ ?? \ и обновить реестр без перезагрузки, чтобы ключи сразу стали активными.

Было бы замечательно, если бы скрипт мог запускаться при выходе из системы и входить в систему и сообщать о его результатах и ​​результатах в журнал или текстовый файл.

Я использую Tiny Watcher, который изначально и продолжает предупреждать меня об этих изменениях, но он сообщает только после того, как они были сделаны, и бесплатная версия Registrar Registry Manager для удаления \ ?? \ s

Благодарим вас за любую помощь или указав на ресурсы, которые могут вам помочь.

2 Solutions collect form web for “Windows XP PRO SP3 – остановить изменения ключа ключа безопасности, установленного неизвестной программой”

Я нашел это в кэшированном сообщении на wugnet.com

БОЛЬШОЕ ПРЕДУПРЕЖДЕНИЕ Не переходите в исходный домен wugnet. Поиск Google, который я выполнил, и это привело меня к зараженной ссылке, ведущей через другой URL, к третьему, отображающему рекламу AdultFriendFinder

-Quote-

Это подкаталог пространства имен, созданный диспетчером объектов NT во время процесса загрузки. Именованные объекты в этом подкаталоге являются символическими ссылками на ресурсы Object Manager, доступные с помощью API Win32. Например, C: может быть символической ссылкой на \ Device \ HardiskVolume1, когда вызов Win32 выполняется для файла на C: подсистема Win32 преобразует его в \ ?? \ C: и диспетчер объектов находит символическую ссылку в \ ?? Подкаталог и находит объект устройства, в котором находится файл.

Вы можете лучше понять, как организованы пространства имен объектов с помощью утилиты WinObj от SysInternals:
http://technet.microsoft.com/en-us/sysinternals/bb896657.aspx

Я предполагаю, что полный путь к диспетчеру объекта \ ?? Подкаталог используется в значениях реестра, потому что, когда эти записи реестра обрабатываются во время процесса загрузки, подсистема Win32 может еще не полностью инициализироваться и как таковая без \ ?? Часть пути, процесс загрузки не сможет разрешить пути, указанные в этих значениях реестра. Большинство из них \?? Пути находятся в ключе HKEY_LOCAL_MACHINE \ SYSTEM и без полного пути, который машина, вероятно, не загрузила бы, или, если бы это произошло, она загрузилась бы в сильно искаженном состоянии.

-end quote-

Если это так, ваше утверждение «Это фактически отключает …» сомнительно. Вы действительно заметили, что программное обеспечение, связанное с этими разделами реестра, работает неправильно?
Если нет, вы должны изменить заголовок вопроса на что-то вроде таинственных двойных вопросительных знаков, предшествующих путям файлов в разделах реестра?


Дополнительное примечание 1
В любом случае Wugnet – странный сайт, эта страница, по-видимому, очищается от pcreview.co.uk

Дополнительное примечание 2
Эта проблема не следует путать с другой плавающей вокруг Интернета об отдельных вопросительных знаках, заменяющих двоеточие в путях . Я включаю это, хотя это не кажется связанным (но я могу ошибаться). Вот пользователь, который получил странные значения C? \ В его ключах реестра, которые, возможно, были ошибкой MS, и после исправления вручную проблема исчезла (длинный поток, несколько страниц). В сообщении упоминается импорт / экспорт ключей для быстрого их исправления (но это не требуется в вашем случае, потому что там нет ничего плохого). OP пишет: Новые «поврежденные» ключи реестра продолжают создаваться при установке новых приложений, но исправленные ключи реестра остаются неизменными.

Спасибо за ваши ответы.

MBu Я передам Process Monitor, но не знаю, как отслеживать изменения в пути изображения в реестре с ним.

Ян, да, без сомнений, они являются наблюдаемыми и доказуемыми экземплярами, слишком многие тоже упоминают, где пути изображения предшествуют \ ?? \ влияют на правильное функционирование «программ безопасности», о которых идет речь. Они добавляются в пути изображения не только к элементам моего диска C :, но и к фактическим местоположениям программ. Большинство моих программ установлены в D: / Program Files.

Не исключено, что это путь к образцам драйверов служб (sys-файлов), которые выполняют важные функции, связанные с безопасностью, которые нацелены и изменены.

Это произошло сейчас, когда компьютер был включен в течение нескольких часов (поэтому система должна быть полностью инициализирована), что значение было изменено после того, как я удалил \ ?? \ в начале сеанса, чтобы:

\ ?? \ C: \ WINDOWS \ system32 \ Drivers \ ksapi.sys

Странно, что при поиске \ ?? \ в Google он говорит – ваш поиск – \ ?? \ – не соответствовал каким-либо документам. В любом случае я буду исследовать утилиту WinObj и посмотреть, есть ли какая-либо помощь.

Что касается C? \ Entries, я тоже нашел их и вручную изменил их на C: \, но спасибо за сообщение, которое предлагает это, казалось бы, более эффективное решение – надежда на работу в XP.

Приветствия и спасибо снова. Поиск продолжается.

  • Достаточно ли брандмауэр Windows XP?
  • Восстановление файлов из удаленного раздела
  • Гость VirtualBox - XP не видит несколько ядер / нескольких процессоров
  • Создание ярлыка для несуществующей папки в Windows XP
  • Версии файлов в Windows XP
  • Перезапуск системы после нажатия на сканирование руткита
  • Ярлык клавиатуры для перемещения окна на другой экран
  • DVD-привод исчезает
  • Несколько сеансов удаленного рабочего стола с Windows
  • Отключить сочетание клавиш Ctrl + Z или удалить историю отмены в проводнике Windows?
  • Ошибка входа в систему неизвестное имя пользователя или неверный пароль при подключении ПК с Windows 7 к ПК с Windows XP
  • Команда импорта ImageMagick дает ошибку в окнах?
  • Interesting Posts

    Плата за комиссию составляет 100%, но физическая память составляет всего 60% при использовании файла страницы

    Общие сведения о разрешениях на файлы

    Windows 98 на современном компьютере?

    Почему беспроводная сеть дает более точное местоположение, чем проводная сеть?

    Каковы различные способы удаленного подключения к вашему компьютеру?

    Подозрительный MBR в секторе 0, есть ли способ его исправить?

    Что эквивалентно команде apt-get Ubuntu на Mac

    Как восстановить таблицу разделов при восстановлении всего диска с помощью Clonezilla?

    Будет ли холодная погода сломать мой ноутбук?

    Как я могу суммировать свои данные по неделям?

    Почему мое использование ЦП достигает 100% слишком часто?

    Как определить, какое приложение генерирует сетевой трафик?

    Виртуальная память и SSD

    Не удается сохранить данные или настройки в VirtualBox

    Как запустить XP в безопасном режиме

    Давайте будем гением компьютера.