Антивирусная утилита AVZ - 4.23 + AVZGuard/AVZPM/BootCleaner

[B]Вышла новая версия антивирусной утилиты AVZ - 4.23 + AVZGuard/AVZPM/BootCleaner[/B]
Страница загрузки [url]http://www.z-oleg.com/secur/avz/download.php[/url]
Система учета ошибок, замечаний и предложений: [url]http://www.z-oleg.com/secur/avz/report.php[/url]
Архив с утилитой содержит базу вирусов [B]от 29.12.2006 74329 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, 365 микропрограмм эвристики, 54473 подписи безопасных файлов[/B]
Список доработок и модификаций:
[+++] Новая подсистема AVZ - Boot Cleaner. Данная система основана на драйвере режима ядра и применяется для чистки системы в процессе загрузки компьютера. Управление системой производится при помощи скриптов AVZ. Boot Cleaner позволяет удалять ключи реестра и файлы с указанными именами, удалять и отключать драйвера и службы. Команды управления системой и примеры описаны в документации.
[++] Сохранение настроек в виде именованных профилей. Позволяет создавать неограниченное количество профилей с возможностю их последобщей загрузки. Профиль содержит параметры, идентичные параметрам командной строки - все параметры описаны в документации
[+] Детектирование подмены имени файла или пути к нему в PEB процесса в AVZPM
[+] Остановка процесса из KernelMode при активном AVZ PM
[+] Скрипты - добавлен ряд команд, в частности для проверки любого файла по базам AVZ,
работы с файлом Hosts. Расширен раздел "Типовые примеры" в описании скриптов
[-] Исправлен драйвер AVZPM - ряд доработок, в том числе исправлена ошибка на W2K3 SP0
[-] Исправлен мелкий глюк с отображением окон AVZ при наличие в системе нескольких мониторов
----------
[B]Немного подробнее о BootCleaner:[/B] это драйвер KernelMode, предназначенный для чистки системы. BootCleaner может работать в двух режимах:
1. Без перезагрузки. В этом случае просто производится попытка выполнения указанных операций из режима ядра. В этом слечае в систему устанавливается драйвер BootCleaner, производится его настройка, драйвер выполняет необходимые действия, после чего заверешает работу и самоуничтожается
2. С перезагрузкой. В данном случае драйвер устанавливается в систему как Boot-драйвер и производится его настройка. Затем необходима перезагрузка, в ходе которой драйвер выполнить указанные операции и самоуничтожится.
Управление драйвером производится из скриптов, все команды описаны в документации (раздел 15.20). Пара примеров:
[COLOR=#000000][FONT=Courier New][B]begin[/B]
[COLOR=#000080][FONT=Courier New][I]// Добавление в сценарий команды удаления файла[/I][/FONT][/COLOR][/FONT][/COLOR]
[COLOR=#000000][FONT=Courier New][COLOR=#000080][FONT=Courier New][/FONT][/COLOR][/FONT][/COLOR][COLOR=#000000][FONT=Courier New] BC_DeleteFile([COLOR=#000080][FONT=Courier New]'[/FONT][/COLOR][/FONT][/COLOR][COLOR=#000000][FONT=Courier New][COLOR=#000080][FONT=Courier New]c:\trojan.exe[/FONT][/COLOR][/FONT][/COLOR][COLOR=#000000][FONT=Courier New][COLOR=#000080][FONT=Courier New]'[/FONT][/COLOR][/FONT][/COLOR][COLOR=#000000][FONT=Courier New]);
[COLOR=#000080][FONT=Courier New][I]// Активация драйвера[/I][/FONT][/COLOR][/FONT][/COLOR][COLOR=#000000][FONT=Courier New]
BC_Activate;
[COLOR=#000080][FONT=Courier New][I]// Перезагрузка[/I][/FONT][/COLOR][/FONT][/COLOR][COLOR=#000000][FONT=Courier New]
RebootWindows(true);
[B]end[/B]. [/FONT][/COLOR]
В данном случае драйверу ставится задача удалить файл, производится активация системы и перезагрузка. Аналогично с удалением драйверов:
[COLOR=#000000][FONT=Courier New][B]begin[/B]
[COLOR=#000080][FONT=Courier New][I]// Добавление в сценарий команды удаления драйвера PE386[/I][/FONT][/COLOR][/FONT][/COLOR]
[COLOR=#000000][FONT=Courier New] BC_DeleteSvc([COLOR=#000080][FONT=Courier New]'PE386'[/FONT][/COLOR][/FONT][/COLOR][COLOR=#000000][FONT=Courier New]);
[COLOR=#000080][FONT=Courier New][I]// Настройка протокола[/I][/FONT][/COLOR][/FONT][/COLOR][COLOR=#000000][FONT=Courier New]
BC_LogFile(GetAVZDirectory + [COLOR=#000080][FONT=Courier New]'boot_clr.log'[/FONT][/COLOR][/FONT][/COLOR][COLOR=#000000][FONT=Courier New]);
[COLOR=#000080][FONT=Courier New][I]// Активация драйвера[/I][/FONT][/COLOR][/FONT][/COLOR][COLOR=#000000][FONT=Courier New]
BC_Activate;
[COLOR=#000080][FONT=Courier New][I]// Перезагрузка[/I][/FONT][/COLOR][/FONT][/COLOR][COLOR=#000000][FONT=Courier New]
RebootWindows(true);
[B]end[/B]. [/FONT][/COLOR]
[COLOR=#000000][FONT=Courier New][FONT=Verdana][SIZE=2]В данном примере удаляется драйвер "PE386", и включается протоколирование.[/SIZE][/FONT][/FONT][/COLOR]
BootCleaner позволяет выполнять слудующие операции:
- удаление файлов
- удаление ключей реестра
- удаление драйверов и служб (поддерживается два режима - удаление из реестра, или реестр + файл)
- отключение драйверов и служб
В именах драйверов и служб поддерживаются Unicode символы и непечатаемые символы, в частности символ с кодом 0
------
В справке новые примеры. В частности, пример построения искателя файлов по именам с внешней базой и подключением AV сканера и базы безопасных файлов AVZ - см. раздел 15.40.11 справки [url]http://www.z-oleg.com/secur/avz_doc/[/url]. Там же пример 15.40.10 - типовой пример скрипта убиения зловредов с применением сочетания "AVZGuard + отложенного удаления + эвристической чистка системы + BootCleaner".

не первую версию скачиваю-проблема только с последними двумя-не запускается с ярлыка на рабочем столе-невозможно загрузить папку BASE. Из системной папки работает как надо.

Рад видеть, что поправились переводы скриптов. :)

Добавления к интерфейсу немногочисленны и переводились без моего участия, но я их одобряю. :)

Ok! Новая версия удачно удаляет процесс. А как удалить:

1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F9FD3000, размер=8192, имя = "\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys"

Как его удалить через AVZ?

[QUOTE=Well;89420]не первую версию скачиваю-проблема только с последними двумя-не запускается с ярлыка на рабочем столе-невозможно загрузить папку BASE. Из системной папки работает как надо.[/QUOTE]
А как создается ярлык ? Я уверен, что вместо ярлыка на рабочий стол вытаскивается сам AVZ.EXE

[QUOTE=Alex5;89430]Ok! Новая версия удачно удаляет процесс. А как удалить:

1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F9FD3000, размер=8192, имя = "\??\c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys"

Как его удалить через AVZ?[/QUOTE]
Удалить из памяти чужой загруженный драйвер, особенно если он маскируется и не желает выгружаться - задача достаточно опасная и чаще всего нереализуемая (из за того, что драйвер может создать потоки, перехватить функции и т.п. - его выгрузка приведет к BSOD). Поэтому задачей AVZPM является детект маскируемого драйвера для того, чтобы вычислить полный путь к нему и затем прибить. В случае с реальным зловредом-руткитом это можно сделать через BootCleaner скриптом:
[CODE]begin
// Добавление в сценарий команды удаления файла
BC_DeleteFile(c:\Downloads\Rootkit Unhooker\rk_demo_v12\RKdemo12.sys');
// Активация драйвера
BC_Activate;
// Перезагрузка
RebootWindows(true);
end. [/CODE]

А в случае с rk_demo_v12 и это не требуется - это деморуткит, для системы не опасный, в автозапуск он не прописывается ...

Как-то мудрено со скриптами получается. Можно, например, загрузиться со системного CD-диска, и удалить все ненужные файлы. Другой вопрос: "а если такого диска нет??..." :) Но в этом случае можно ответить вопросом на вопрос: "А если нет AVZ??"...

Было бы лучше удалять драйверы в диалоге с AVZ. Конечно, возможно, у многих другое мнение, но исключительное использование скриптов для убивания реальных зловред-руткитов резко сужает рамки возможных пользователей.

В общем, чайникам тоже нужна защита! Я могу объяснить своей сестре, что "ввойди в такое-то меню, выбери то-то...", но "напиши скрипт...." - это круто, конечно.

[QUOTE=Alex5;89440]Было бы лучше удалять драйверы в диалоге с AVZ. Конечно, возможно, у многих другое мнение, но исключительное использование скриптов для убивания реальных зловред-руткитов резко сужает рамки возможных пользователей.[/QUOTE]
Может быть, но наличие подобного инструмента в неумелых руках может больше навредить, чем помочь, потому как на удаление с помошью Boot драйвера ограничения не распрастраняются, здесь не спасёт даже "защита системных файлов".

Олег а Help к английской версии пополнять есть возможность ?
А то содержимое английского HLP файла так и "застряло" где-то посредине между 4.19 и 4.20...

[QUOTE=RiC;89463]Олег а Help к английской версии пополнять есть возможность ?
А то содержимое английского HLP файла так и "застряло" где-то посредине между 4.19 и 4.20...[/QUOTE]
Я пока думаю, как быть с английским хелпом. Держать пареллельно два варианта (rus + eng) достаточно накладно, так как придется поддерживать их синхронность. Пока план таков - я доделываю среду полувизуальной разработки скриптов, там будет урезанная справка по командам (и она будет обновляться так-же, как базы AVZ), эту справку несложно будет локализовать.

[quote=Alex5;89440]Как-то мудрено со скриптами получается.
....
В общем, чайникам тоже нужна защита! Я могу объяснить своей сестре, что "ввойди в такое-то меню, выбери то-то...", но "напиши скрипт...." - это круто, конечно.[/quote]
Был такой прототип - с управлением из меню. Но он был изничтожен по тем соображениям, которые высказал RiC - слишком уж опасный инструмент получился. Предполагается, что человек или умеет писать скрипты и точно знает что удалять и как, или скрипт для него подготовит "хелпер".

Ну, вам, господа, видней. Как говорил Форд, мы можем для Вас сделать авто любого цвета при условии, что этот цвет черный... (примерно так)

Олег,
смотри, что мне AVZ пишет:
[quote]Функция NtClose (19) перехвачена (805675D9->F6BACD00), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateProcess (2F) перехвачена (805B3543->F6BACA20), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (805885D3->F6BACB90), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateSection (32) перехвачена (80564B1B->F6BACE40), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtCreateThread (35) перехвачена (8057F262->F6BAD630), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtOpenProcess (7A) перехвачена (8057459E->F6BAC7B0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtQueryInformationFile (97) перехвачена (80572D12->F6BAD2F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtQuerySystemInformation (AD) перехвачена (8057CC27->F6BAD430), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtResumeThread (CE) перехвачена (8057F8D5->F6BAD5E0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtSetInformationProcess (E4) перехвачена (8056C608->F6BAF1F0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtSuspendThread (FE) перехвачена (805DC61B->F6BAD590), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция NtTerminateProcess (101) перехвачена (8058AE1E->F6BAD1C0), перехватчик C:\WINDOWS\System32\drivers\klif.sys[/quote]
Это что же получается? Что AVZ до сих пор не знает драйвера Касперского? Или это нормально и так и должно быть?
Если нужны копии драйверов, то вышлю по первому требованию.

Хотелось бы внести ясность.

По моему , так должно быть , ведь каспер то перехватывает :)

Однако ,можно было бы добавить выделение цветом "подписанных" драйверов , то есть полезных , которые у AVZ в базе безопасных .

Посмотрим, что скажет Олег.

У меня почему-то не сохраняются логи после выполнения скрипта сбора информации..

[QUOTE=Палыч;89485]Посмотрим, что скажет Олег.[/QUOTE]
А что тут можно сказать - только klif.sys значится в базе безопасных 43 раза, диапазон версий от 6.12 до 6.12.10.247. Он весьма часто изменяется, поэтому достаточно прислать его мне для включения в базу чистых объектов.

[QUOTE=NickGolovko;89512]У меня почему-то не сохраняются логи после выполнения скрипта сбора информации..[/QUOTE]
Должны сохраняться ... версия английская или русская ? Запуск c локального диска, CD, сетевой папки ?

[QUOTE=Зайцев Олег;89515] Он весьма часто изменяется, поэтому достаточно прислать его мне для включения в базу чистых объектов.[/QUOTE]
Версия klif.sys -- 6.12.10.147
[QUOTE]Результат загрузки
Файл сохранён как klif_459675089c300.sys
Размер файла 129808
MD5 a25f600e14b33a4d56081c7bba32200e[/QUOTE]

[QUOTE=Палыч;89479]Это что же получается? Что AVZ до сих пор не знает драйвера Касперского? Или это нормально и так и должно быть?
[/QUOTE]
Это нормально, и так должно быть, и так будет независимо от того, будет ли указанный драйвер в "базе безопасных" AVZ или нет.

Выделение цветом безопасных модулей в основном отчете AVZ (в главном окне) - это задача, которая стоит уже достаточно давно, и, чтобы не смущать обычных пользователей, было бы неплохо поскорее это сделать. Пока же достаточно бросить беглый взгляд на список драйверов в "Модулях пространства ядра", чтобы понять, безопасный он или нет.

[QUOTE=Зайцев Олег;89515]А что тут можно сказать - только klif.sys значится в базе безопасных 43 раза, диапазон версий от 6.12 до 6.12.10.247. Он весьма часто изменяется, поэтому достаточно прислать его мне для включения в базу чистых объектов.[/QUOTE]
Наверняка большинство этих [I]klif[/I]-ов - от различных бета-версий продукта, т.е. по сути бесполезный хлам. Был бы реальный смысл оставить только то, что являлось компонентом [U]официальных релизов[/U] [I]KAV6/KIS6[/I], благо их было не так уж много, думаю не более 5-ти или 6-ти, включая MP1.

[QUOTE=aintrust;89558]Наверняка большинство этих [I]klif[/I]-ов - от различных бета-версий продукта, т.е. по сути бесполезный хлам. Был бы реальный смысл оставить только то, что являлось компонентом [U]официальных релизов[/U] [I]KAV6/KIS6[/I], благо их было не так уж много, думаю не более 5-ти или 6-ти, включая MP1.[/QUOTE]
Так я практически только из официальных и беру - то, что найдено на реальных ПК, на оф. версиях. Тем не менее разновидностей много ... но 43 штуки - это за три года ведения базы. Распространенных - штук 5/7.

Нужно добавить в лог ссылки для
1. Установка бут драйвета
2. Удаление файла через бут драйвер.
Нужно отмечать в логе файлы не найденные на диске. При чем всегда сначала пробовать считать файл через прямое чтение.
Очень нужно согранять лог с результатами выполнения скрипта.

Да, еще не плохо бы помещать копии всех файлоф удаляемых бут драйвером в карантин, для последующего исследования.

[url]http://virusinfo.info/showthread.php?t=7332[/url]
Лог BootCleaner пустой. Стрим не удаляется никаким образом...

ХМ.. почему-то опять нелечиться ошибки протоколов(tcp, lsp) [url]http://forum.kaspersky.com/index.php?showtopic=26230&view=findpost&p=252541[/url]
или я что-то недоганяю?

[QUOTE=Geser;89578][url]http://virusinfo.info/showthread.php?t=7332[/url]
Лог BootCleaner пустой. Стрим не удаляется никаким образом...[/QUOTE]

Не удаляется потому что скрипт написан не правильно...;)

2 Олег: обе версии, и русская, и английская. На примере русской - архив распакован в %Program Files%\AVZ. После скрипта папка LOG появляется, но в ней пусто. :?

[QUOTE=Geser;89578][url]http://virusinfo.info/showthread.php?t=7332[/url]
Лог BootCleaner пустой. Стрим не удаляется никаким образом...[/QUOTE]
В скрипте ошибка ... - нужно сначала настроить BC, а потом активировать. В скрипте - наоборот - т.е. он активируется без настроек, поэтому и логи пустые. Т.е. для той темы правильно:
[CODE]
begin
BC_DeleteFile('c:\windows\system32\svchost.exe:exe.exe');
BC_DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

[QUOTE=NickGolovko;89602]2 Олег: обе версии, и русская, и английская. На примере русской - архив распакован в %Program Files%\AVZ. После скрипта папка LOG появляется, но в ней пусто. :?[/QUOTE]
Странно - я запустил у себя AVZ из PF - отработало все нормально. Я предлагаю три опыта:
1. Выполнить скрипт и посмотреть, что вернет GetAVZDirectory
[code]
begin
AddToLog(GetAVZDirectory);
end.
[/code]
2. Скопировать папку AVZ4 в корень диска и повторить запуск скрипта сбора информации, и посмотреть, сохранить он лог или нет
3. Запустить AVZ из PF, а параллельно FileMon - и посмотреть, фильтр по имени файла "virusinfo" - пытается сохраняет ли он создать файл

[QUOTE=Ego1st;89588]ХМ.. почему-то опять нелечиться ошибки протоколов(tcp, lsp) [url]http://forum.kaspersky.com/index.php?showtopic=26230&view=findpost&p=252541[/url]
или я что-то недоганяю?[/QUOTE]
Похоже, у человека rsvp32_2.dll восстанавливается. Поэтому AVZ и не видит ошибков в LSP ... AVZ увидит ошибку, если удалить файл и после перезагрузки его не будет. Тормоза после очередного удаления говорят именно о успешном удалении ... но AVZ поможет, если нужно почистить запись от левого LSP провайдера, но не поможет, если левый провайдер заменил собой нормального

rsvp32_2.dll во вторых логах его уже нету.. непонятно отсутствие интернета тогда..

Только что имел похожую проблему с rsvp32_2.dll
(тот, вирус, что из аськи кидал ссылку на зараженный сайт [url]www.counter-pr.info)[/url].
Для чистки использовал AVZ.
Менеджер Winsock на второй вкладке увидел нестандартные строки (около 5), подкрасил красным, и на вкладке "Поиск ошибок" все удалилось нормально.
Однако, строчка MSADF Tcpip TCP/IP при новом сканировании отсутствует. (на рабочем компе рядом- она есть)
Меня выручила программа [url]ftp://ftp.widomaker.com/pub/winsock/utils/[/url][B]WinsockxpFix[/B].[B]exe[/B]
Она восстановила необходимую строчку. Сеть пришлось настроить заново.
Интернет появился. Happy END.
_________________
Возможно, раз такое случается, подобную опцию восстановления настроек в AVZ можно подправить?

Зачем AVZ убивает перехваты касперского (и ругается на них)?
Вот, вы были не довольны, когда некоторые антивирусы детектировали эвр. анализатором AVZ как возможного зловреда. Но, то что AVZ вмешивается в работу касперского, думаю, тоже создателей AVP немного заставляет быть не довольными.

И даже после того, как файлы касперского были занесены в базу AVZ как безопасные, AVZ упорно продолжает пугать юзеров работой касперского.
Кто-то вполне сможет найти в этом злонамерение.

Так её попросили найти и снять все перехваты - она это и делает, о чём отчитывается. Всё по-честному.

[quote=Alex5;89672]Зачем AVZ убивает перехваты касперского (и ругается на них)?
...
И даже после того, как файлы касперского были занесены в базу AVZ как безопасные, AVZ упорно продолжает пугать юзеров работой касперского.
Кто-то вполне сможет найти в этом злонамерение.[/quote]

С Outpost -аналогичная проблема.
Но, как я понял, файл заносится в "безопасные" не по названию, а по названию и сигнатуре. И подверсий у Касперского и Outpost-а довольно много. Надо присылать файлы- добавят.
_________________
У меня другой вопрос, может стоит для подобных случаев создать
"Игнор-лист",
куда пользователь заносил бы доверенные приложения самостоятельно. Тогда бы подобные вопросы не возникали.
Туда можно занести кроме Каспера и Outpost драйвера Daemon Tools, оболочку RunPad Shell и прочие.
Вот тогда можно было бы чистить почти "не глядя".

2 Олег: снял хуки - создалось. Опять, похоже, надо переустанавливать Tiny - конфиг глючит. Perdoname за беспокойство. :)

[QUOTE=Alex5;89672]Зачем AVZ убивает перехваты касперского (и ругается на них)?
Вот, вы были не довольны, когда некоторые антивирусы детектировали эвр. анализатором AVZ как возможного зловреда. Но, то что AVZ вмешивается в работу касперского, думаю, тоже создателей AVP немного заставляет быть не довольными.

И даже после того, как файлы касперского были занесены в базу AVZ как безопасные, AVZ упорно продолжает пугать юзеров работой касперского.
Кто-то вполне сможет найти в этом злонамерение.[/QUOTE]
[B]Alex5[/B], перечитайте мой предыдущий пост в этой теме (за [B]30.12.2006 19:06[/B]) - вам, надеюсь, станет ясно, зачем и почему AVZ так делает! И, пожалуйста, будьте внимательнее к тому, что тут пишется - люди ведь не зря сотрясают воздух! ;)

PS. На самом деле AVZ не "ругается" на перехваты, а лишь констатирует факт перехвата, и это [U]абсолютно правильно[/U]! Однако, чтобы не смущать пользователей, нужно показывать перехваты "безопасных" модулей зеленым цветом (это потребует некоторой переделки главного окна AVZ, точнее - использования другого контрола для отображения окна отчета) или же как-то дополнительно говорить об этом в отчете в главном окне AVZ. Этот функционал надо реализовать как можно скорее, т.к., я смотрю, количество вопросов подобного плана последнее время растет, причем даже от людей, которые знают AVZ уже довольно давно...

[QUOTE=NewUser;89685]С Outpost -аналогичная проблема.
Но, как я понял, файл заносится в "безопасные" не по названию, а по названию и сигнатуре.[/QUOTE]
Неправильно. Но это и не важно - вам, как пользователю, как разница? ;)

[QUOTE=NewUser;89685]И подверсий у Касперского и Outpost-а довольно много. Надо присылать файлы- добавят.[/QUOTE]
А вот это абсолютно верно!

[QUOTE=NewUser;89685]_________________
У меня другой вопрос, может стоит для подобных случаев создать
"Игнор-лист",
куда пользователь заносил бы доверенные приложения самостоятельно. Тогда бы подобные вопросы не возникали.
Туда можно занести кроме Каспера и Outpost драйвера Daemon Tools, оболочку RunPad Shell и прочие.
Вот тогда можно было бы чистить почти "не глядя".[/QUOTE]
В этом случае помимо игнор-листа надо будет еще реализовать функционал, не позволяющий "трогать" (к примеру, не давать снимать их перехваты) модули из безопасного списка + модули из игнор-листа. Может быть это и правильно, не знаю... хотя мне, к примеру, это не нужно - ведь понять, безопасный это модуль или нет, можно по списку процессов, dll и модулей ядра.

[QUOTE]failed (0xNNNNNNN)- в ходе выполнения операции возникли ошибки, в скобках указывается код ошибки[/QUOTE]

Не мешало бы описать что значит каждый номер ошибки.

[QUOTE=Muffler;89729]Не мешало бы описать что значит каждый номер ошибки.[/QUOTE]
Код, который выводится в журнале BootCleaner-а - это код NTSTATUS после выполнения команды скрипта. Скачайте набор утилит [URL="http://www.wasm.ru/tools/21/KmdKit.zip"]KmdKit[/URL], распакуйте его. Там внутри найдете утилиту [I]StatusToError[/I] - это то, что вам нужно, чтобы определить, что означает этот код.