Страница 2 из 4 Первая 1234 Последняя
Показано с 21 по 40 из 80.

Вышла новая версия антивирусной утилиты AVZ - 4.45

  1. #21
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Зайцев Олег,
    После последних обновлений Microsoft заметил такую ошибку Win 10 PRO x64 build 10586.104 при попытки выполнить 2-ой стандартный скрипт:
    Имя сбойного приложения: avz.exe, версия: 4.45.0.94, метка времени: 0x2a425e19
    Имя сбойного модуля: unknown, версия: 0.0.0.0, метка времени: 0x00000000
    Код исключения: 0xc0000005
    Смещение ошибки: 0x0fbba2da
    Идентификатор сбойного процесса: 0x1230
    Время запуска сбойного приложения: 0x01d166b39cfd23de
    Путь сбойного приложения: C:\avz4\avz.exe
    Путь сбойного модуля: unknown
    Идентификатор отчета: bbf774a3-828a-4a1a-85dd-1a0e487ab0e0
    Полное имя сбойного пакета:
    Код приложения, связанного со сбойным пакетом:
    В безопасном режиме AVZ завершается сам по себе без ошибки.
    Изображения Изображения
    Последний раз редактировалось SQ; 14.02.2016 в 04:04. Причина: добавлено
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1)
    Цитата Сообщение от SQ Посмотреть сообщение
    После последних обновлений Microsoft заметил такую ошибку Win 10
    похоже ошибка после обновления https://support.microsoft.com/ru-ru/kb/3135173
    Теперь даже стандартный скрипт№2 вылетает, так что собрать логи на windows 10 нельзя.

    Вот три дампа с ошибками:
    http://rghost.ru/7hd6Bk7Zb
    http://rghost.ru/8QyWtTnXj
    http://rghost.ru/7kFZpklfr

    2) Хотел загрузить дампы через форму на вашем сайте выдало ошибку из-за большого размера.
    413 Request Entity Too Large
    Может поправите там лимиты?

    3) Из справки по SpoolLog
    Дублирование протокола в указанный текстовый файл.
    на практике протокол работы AVZ не дублируется (подразумеваю протокол, который пишется в нижней части окна AVZ) в файл указанный в SpoolLog, правда в текстовую часть лога HTML записываются. Например при выполнение скрипта №2 на XP в этот отчёт записало только
    Выполняется стандартный скрипт: 2. Скрипт сбора информации для раздела "Помогите" virusinfo.info
    . А как понимаю должно было полностью продублировать протокол работы AVZ.

    4) Надеюсь, что если для исправления работы AVZ на 10-ке надо будет выпускать новую версию, то исправите и остальные баги/выполните пожелания написанные в этой теме.

  4. Это понравилось:


  5. #23
    Student (P) Репутация
    Регистрация
    09.02.2013
    Адрес
    Томск
    Сообщений
    280
    Вес репутации
    42
    Windows 10 Enterprise Insider Preview x64. Обновления последние.
    Пробная версия. Build 14257.rs1_release.160131-1800.
    Выполнились скрипты 2 и 3.
    Логи нужны?
    __________________________________________________ _
    Windows 10 Pro Insider Preview x32. Обновления последние.
    Пробная версия. Build 11099.rs1_release.160109-1156.
    Выполнился скрипт 2.
    На скрипте 3 перезагрузка.
    Дамп:
    http://rghost.ru/8PKZP7D8z
    Последний раз редактировалось Samuray87; 17.02.2016 в 08:58.

  6. #24
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,208
    Вес репутации
    154
    Если нужны еще дампы падения AVZ, могу добавить несколько.

  7. #25

  8. Это понравилось:


  9. #26
    Junior Member Репутация
    Регистрация
    07.03.2011
    Сообщений
    7
    Вес репутации
    48
    Дампы падения AVZ:
    https://dropmefiles.com/nPfsp/
    http://my-files.ru/Save/ffqqxu/Report.7z
    http://файлообменник.рф/1thvmt50af00/Report.7z.html
    Все падения происходят на Windows 10х64.
    +
    Хотелось бы в новом релизе увидеть и решение по этим проблемам.
    Последний раз редактировалось shestale; 28.02.2016 в 15:01.

  10. #27
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Вышла новая версия AVZ

    --- 29.02.2016 --- ver 4.46
    [+/-] Доработки и модификации для совместимости с Windows 10



    Интересно, а что-нибудь из остального перечисленного в этой теме исправлено? Если да, то что именно.

    - - - - -Добавлено - - - - -

    и на сайте http://z-oleg.com/index.php
    в правом верхнему углу до сих пор указана версия 4.43


    - - - - -Добавлено - - - - -

    Скорее всего и другие заметят в логе
    >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
    CRC новой версии AVZ не успело попасть в базы и с обновлением баз это будет исправлено.

  11. #28
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.08.2013
    Адрес
    Ukraine
    Сообщений
    109
    Вес репутации
    67
    Зайцев Олег, спасибо за обновление v4.46!

    1) Но опять "падает" уже в другом месте.
    Проблема наблюдается на x64 Win 10 Pro Build 10.586, которая была установлена с дистрибутива 10.240, и на нее накатаны все обновления
    Список обновлений в аттаче. Дамп падения: http://dragokas.com/temp/avz.exe_160229_161625.zip
    (если установить с дистрибутива сразу 10.586 и все обновления, то проблема не наблюдается).

    2) А Вы не хотите собирать AVZ с отладочными символами?
    И заодно продублировать контрольные точки в коде функцией OutputDebugString.
    Я так сделал у себя в программе. Теперь, в отладчике сразу видно всю последовательность переходов между функциями внутренней реализации, и где "упало", и любая вспомогательная инфа, которую пожелаешь добавить к отладке.
    Вложения Вложения
    HiJackThis developer team, CMD/VBS expert

  12. #29
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Зайцев Олег, в этой теме http://virusinfo.info/showthread.php...=1#post1362437
    AVZ на 10-ке падает при выполнение скрипта. Похоже из-за загрузки драйвера.
    Версия Windows: 10.0.10586, "Windows 10 Home", дата инсталляции 28.02.2016 1727 ; AVZ работает с правами администратора (+)
    Система x32, кстати напомню просьбу указывать разрядность в HTML логе рядом с версией ОС вместо даты инсталяции. Была бы намного удобней и полезней. Дата инсталяции нужна очень редко, если что можно и в XML посмотреть, а разрядность надо учитывать практически при написание каждого скрипта.

    Дебаг лог тут http://virusinfo.info/attachment.php...8&d=1457010232
    Обрывается на
    Драйвер успешно загружен
    дальше идут символы 0x00

  13. #30
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Зайцев Олег,
    1) Опять "отвалилось автоматическое обновление баз", точней в архиве с кумулятивным обновлением базы http://z-oleg.com/secur/avz_up/avzbase.zip
    отсутствует большая часть файлов, в том числе файлы локализации. Да и сам архив весит меньше 100Kb хотя должен весить несколько Mb.

    2) На Версия Windows: 10.0.10586, "Windows 10 Pro" x32 при выполнение такого скрипта
    Код:
    begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
       RebootWindows(false);
    end.
    Вылетает BSOD. Тут дамп падения, тут дебаг лог работы скрипта. Может это связано с тем, что вы пытаетесь грузить неподписанный драйвер в ядро? На windows 10 насколько знаю ужесточили требования к драйверам.

    3)
    Цитата Сообщение от regist Посмотреть сообщение
    AVZ не видит никакой анамалии в нестадартномном значение ключа и не выводит в лог.
    Новая версия AVZ также не видит вирусного VBS скрипта прописанного в Userinit

    - - - - -Добавлено - - - - -

    4)
    Цитата Сообщение от regist Посмотреть сообщение
    12) При удаление заданий через AVZ в реестре информация о них не чистится (поэтому на данный момент лучше чистить другими утилитами, либо потом их удалять).
    тут в архиве экспорт веток реестра с вирусными заданиями, которые нужны чистить при удаление заданий. Неплохо было бы если при удаление задания ExecuteSysClean чистила в этих двух ключах.
    А также в разделе лечения мне встретилось несколько пользователей с 10-кой, который жаловались на запуск dota2game.org после перезагрузки компьютера. После удаление задания через AVZ (по сути просто удаления XML файлы из папки заданий) со слов пользователя проблема не ушла, хотя из лога AVZ задание пропало. А после того как почистил следы за заданием и в реестре проблема была решана.
    Поясню, что запуск этого сайта происходит через запланированное задание через 15 минут после включения системы. Точней в планировщике был прописан сайт хttp://gamezonenews.net а уже он перенаправлял на dota2game.org

    5) http://virusinfo.info/virusdetector/...ED74EBAE6351E3
    Просьба выкинуть "Tencent" из базы чистых (например по цифровой подписи, хотя у него не всегда файлы подписаны). Причина, то что в половине тем в разделе Помогите просят помочь избаваться от без спросу установившегося этого "китайского вируса".

    ______________
    Просил юзера пополнить базу безопасных, он прислал такую ссылку http://virusinfo.info/virusdetector/...A31368979665E0
    Общее количество файлов: 0
    как это возможно?

  14. #31
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от regist Посмотреть сообщение
    Зайцев Олег,
    1) Опять "отвалилось автоматическое обновление баз", точней в архиве с кумулятивным обновлением базы http://z-oleg.com/secur/avz_up/avzbase.zip
    отсутствует большая часть файлов, в том числе файлы локализации. Да и сам архив весит меньше 100Kb хотя должен весить несколько Mb.

    2) На Версия Windows: 10.0.10586, "Windows 10 Pro" x32 при выполнение такого скрипта
    Код:
    begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
       RebootWindows(false);
    end.
    Вылетает BSOD. Тут дамп падения, тут дебаг лог работы скрипта. Может это связано с тем, что вы пытаетесь грузить неподписанный драйвер в ядро? На windows 10 насколько знаю ужесточили требования к драйверам.

    3)
    Новая версия AVZ также не видит вирусного VBS скрипта прописанного в Userinit

    - - - - -Добавлено - - - - -

    4)
    тут в архиве экспорт веток реестра с вирусными заданиями, которые нужны чистить при удаление заданий. Неплохо было бы если при удаление задания ExecuteSysClean чистила в этих двух ключах.
    А также в разделе лечения мне встретилось несколько пользователей с 10-кой, который жаловались на запуск dota2game.org после перезагрузки компьютера. После удаление задания через AVZ (по сути просто удаления XML файлы из папки заданий) со слов пользователя проблема не ушла, хотя из лога AVZ задание пропало. А после того как почистил следы за заданием и в реестре проблема была решана.
    Поясню, что запуск этого сайта происходит через запланированное задание через 15 минут после включения системы. Точней в планировщике был прописан сайт хttp://gamezonenews.net а уже он перенаправлял на dota2game.org

    5) http://virusinfo.info/virusdetector/...ED74EBAE6351E3
    Просьба выкинуть "Tencent" из базы чистых (например по цифровой подписи, хотя у него не всегда файлы подписаны). Причина, то что в половине тем в разделе Помогите просят помочь избаваться от без спросу установившегося этого "китайского вируса".

    ______________
    Просил юзера пополнить базу безопасных, он прислал такую ссылку http://virusinfo.info/virusdetector/...A31368979665E0

    как это возможно?
    1. Починил
    2. В логе видно, что антируткит отработал, но видно несколько моментов, которые следует подрегулировать через базы
    3. Да, там есть злобный глюк, проявляющийся именно та таком примере ключа. Он исправлен, но в 4.46 фикс не попал.
    4. Такая чистка реестра появится в ближайшей версии
    5. Выкинуть то его можно, но по сути своей это не вирус, рано или поздно опять пролезет

  15. Это понравилось:


  16. #32
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте, Олег. Еще можно как нибудь обновить английскую версию справки AVZ, а то некоторые хелперы с форума geekstogo просят обновить английскую справку по AVZ.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #33
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Еще можно как нибудь обновить английскую версию справки AVZ
    Да и русскую обновить надо. Например:
    http://virusinfo.info/showthread.php...=1#post1355750
    Опечатки/ошибки:
    http://virusinfo.info/showthread.php...=1#post1320806
    http://virusinfo.info/showthread.php...=1#post1119840

    - - - - -Добавлено - - - - -

    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Он исправлен, но в 4.46 фикс не попал.
    Зайцев Олег, а можно узнать кроме работы фикса работы на win 10, чтобы было исправлено/добавлено в версии 4.46 ?
    Например сейчас проверил бага при выставление языка для не юникодных программ украинского исправлена (правда AVZ по прежнему по дефолту запускается на англ., а для большинства пользователей таких систем думаю русский привычней).
    А
    Цитата Сообщение от regist Посмотреть сообщение
    В MessageDLG название кнопки mbIgnore не помещается в русской локализации
    по прежнему надпись не помешается.

    - - - - -Добавлено - - - - -

    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Выкинуть то его можно, но по сути своей это не вирус, рано или поздно опять пролезет
    Как понимаю в кибере вы можете и вручную указать степень доверия файла при этом этом, ваше мнение (степень доверия) приоритетней мнения кибера. То есть вы скажете, что этой подписи не надо доверять, то он и не будет. Или он потом может самостоятельно изменить мнения в обход вашего указания?

  18. #34
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Уже в нескольких темах попадаются одинаково "битые" Html логи.

    Вот пара примеров:
    http://virusinfo.info/attachment.php...7&d=1457204667
    http://virusinfo.info/attachment.php...7&d=1457303677
    На всякий случай перезалил их на обменник (если вдруг юзер удалит из вложений).
    Раз и два.
    Может сможете через обновление баз это исправить?

  19. #35
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Такие попадались и на версии 4.45
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #36
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от regist Посмотреть сообщение
    Уже в нескольких темах попадаются одинаково "битые" Html логи.

    Вот пара примеров:
    http://virusinfo.info/attachment.php...7&d=1457204667
    http://virusinfo.info/attachment.php...7&d=1457303677
    На всякий случай перезалил их на обменник (если вдруг юзер удалит из вложений).
    Раз и два.
    Может сможете через обновление баз это исправить?
    Через обновление - нет, невозможно. Причина состоит в параметрах командной строки типа AutomaticTabDiscarding<AutomaticTabDiscarding --disable-features=UpdateRendererPriorityOnStartup<UpdateRendererPriorityOnStartup - они сбивают форматирование. Добавил экранирование таких спец. символов, что решит проблему

  21. #37
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Зайцев Олег, AVZ теперь стал выводить в лог задания с powershell, но из-за очень длинной строки аргументов лог смотреть очень неудобно. В частности трудно посмотреть название задания или кликнуть чтобы его удалить. Вот пример лога.
    Может в случае таких длинных строк сделать прокрутку? Например вот так.

  22. #38
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Олег, кажется, об этом ранее уже писал. В логе в разделе Подозрительные объекты есть запись:
    PHP код:
    C:\Program Files (x86)\Justinmind\Justinmind Prototyper 7.1.0\plugins\org.eclipse.gef_3.8.0.201206112118.jar Вредоносный объект    Trojan.BAT.DelAutoexec.
    И ниже:
    3. Сканирование дисков
    C:\Program Files (x86)\Justinmind\Justinmind Prototyper 7.1.0\plugins\org.eclipse.gef_3.8.0.201206112118.j ar/{ZIP}/org/eclipse/gef/editpolicies/package.html >>>>> Trojan.BAT.DelAutoexec.e
    Наверняка фолс, но проверить без карантина невозможно - в .xml не только MD5 нет, обьект этот вообще не упомянут.
    Лог во вложении:
    virusinfo_syscure.zip

    И, как я понимаю, сигнатурные проверки Non-PE файлов продолжаются?
    WBR,
    Vadim

  23. #39
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от regist Посмотреть сообщение
    Да и русскую обновить надо.
    Кроме перечисленного в том посте, в справке ещё надо обновить пункт №3 из этого поста
    Цитата Сообщение от regist Посмотреть сообщение
    AVZ, кажись уже несколько лет не удаляет папки при применение команды DeleteFileMask даже если они пустые. И вы давно тут в какой-то теме по обсуждению предыдущей версии ответили, что это не баг, а сделано осознанно. А тем не менее в справке до сих пор находится неверная информация
    _______________________
    Цитата Сообщение от regist Посмотреть сообщение
    Интересно, а что-нибудь из остального перечисленного в этой теме исправлено? Если да, то что именно.
    Простестировал сам, результат ниже.

    http://virusinfo.info/showthread.php...=1#post1320806
    Актуальны почти всё пункты, но по некоторым поправки:
    1) Восстановление системы на windows 7 теперь показывает правильно. Windows 8.1 - 10 показывает неправильно.
    2) Так до сих пор и не удаляет.
    3) Ошибка с PKZIP если файл не является архивом осталась. + Когда файл не найден вместо указанного в справке кода возврата 1 вернуло 4294967295.
    4, 5) - актуально.
    6) Исправлено.
    7, 8, 9, 10, 11) - актуально.
    12) - пока актуально, но тут написали, что исправите в следующей версии (4-й пункт). И на всякий случай дополню, что для XP ключи в реестре будут другие.
    13) Актуально.

    _______________________
    Это можно реализовать? http://virusinfo.info/showthread.php...=1#post1339091

    _______________________
    http://virusinfo.info/showthread.php...=1#post1340189
    1) - осталась по старому (но это не баг).
    2) - исправлено.
    3) Пока не попадались такие логи.
    4)
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    вот за манипуляции с групповыми политиками и вызовы gpupdate - очень даже, добавил такую эвристику в базы.
    до сих пор с актуальными базами не подсвечивает.
    5) Актуально. Как минимум на XP AVZ по прежнему вставляет в XML лог пустой параметр SHPath="".

    _______________________
    http://virusinfo.info/showthread.php...=1#post1345093 - исправлено.
    _______________________

    http://virusinfo.info/showthread.php...=1#post1357697

    1) В текущей версии актуально, но в следующей должно быть исправлено
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Да, там есть злобный глюк, проявляющийся именно та таком примере ключа. Он исправлен, но в 4.46 фикс не попал.
    2) Такие логи пока не попадались.
    3) Актуально.

  24. #40
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.08.2013
    Адрес
    Ukraine
    Сообщений
    109
    Вес репутации
    67
    Зайцев Олег,
    1) Хочу еще раз попросить на счет "Сервис -> Поиск в реестре -> Открыть в Regedit" ускорить открытие ветки вместо клавиатурных имитаций, т.к. периодически пользуемся и не только я.
    Regedit записывает последнюю открытую ветку в этом параметре:
    Код:
    Windows Registry Editor Version 5.00
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
    "LastKey"="Компьютер\\HKEY_CURRENT_USER\\Software"
    Если открыть Regedit еще раз, ветка, прописанная в Lastkey, откроется сразу же. Нет необходимости имитировать переход с клавиатуры (он не всегда корректно отрабатывает, и приходится делать это еще раз).

    Алгоритм такой:
    1. Считываем параметр Lastkey. Забираем слово до первого \
    Там может быть либо Computer\ либо Компьютер\ (зависит от локализации, но на нее лучше не ориентироваться)
    2. Записываем в параметр Lastkey нужный ключ для прыжка (только ключ, без параметра!), добавив префикс из п.1.
    3. Запускаем Regedit, имитируем с клавиатуры переход к нужному параметру в уже открытом подразделе.

    -----------------------------------
    2) "Поиск в реестре" на Windows 7 x64 зацикливается и бывает почти нереально дождаться когда завершается скан (на разных системах Win 7 по-разному).
    Приложил пример лога.
    Если я правильно воспроизвел ситуацию и у Вас такой же код, то проблема возникает из-за того, что функция RegQueryInfoKey возвращает неверное кол-во подразделов (больше, чем реальное), когда читает HKCR\Wow6432Node. Из-за этого RegEnumKeyEx заполняет только часть массива, и в нём остается много пустых имен ключей, что в итоге ссылается на этот же HKCR\Wow6432Node и сканирует его еще много раз.
    Решением будет - добавить флаг KEY_WOW64_64KEY при получении хендла в RegOpenKeyEx. Это позволит узнать реальное кол-во ключей.
    Пока не готов объяснить, почему это влияет именно на данный ключ, но в любом случае отключение редиректора при поиске по реестру не помешает и в моем случае помогает.

    - - - - -Добавлено - - - - -

    3) На счет "Ошибка получения информации о файле" в логе.

    Screenshot_1.png

    У меня такие мысли почему это происходит:
    1) C:\Windows\System32\WUDFHost.exe - потому что проверяется без отключенного редиректора, а файла в SysWOW64 нет.
    2) C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://virus.com/ - потому что проверяется не iexplore.exe, а вся строка,
    ведь по аналогичному пути на примере хрома атрибуты нормально видит.
    Думаю, несложно подправить.

    4) Ярлык IE по логу выше ведет на неверную папку. Должна быть - "C:\Program Files". В ярлык в доп. секцию "вшита" переменная %ProgramFiles%, которая раскрывается под Wow64 и файловый редиректор на этот путь не влияет. Есть предложение проверять, если файла по пути "C:\Program Files (x86)" нет, то смотреть в соседнюю - "C:\Program Files". Если он там есть, то в лог выводить не "переадресованную" папку, а Program Files. Знаю, что Вы какую-то работу делали в этом направлении. Но я пробовал переименовать iexplore.exe внутри "C:\Program Files (x86)", но лог не изменился.
    Вложения Вложения
    HiJackThis developer team, CMD/VBS expert

Страница 2 из 4 Первая 1234 Последняя

Похожие темы

  1. Вышла новая версия антивирусной утилиты AVZ - 4.43
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 223
    Последнее сообщение: 04.09.2015, 14:06
  2. Вышла новая версия антивирусной утилиты AVZ - 4.41
    От Зайцев Олег в разделе Публичное бета-тестирование
    Ответов: 81
    Последнее сообщение: 23.02.2014, 15:01
  3. Вышла новая версия MHDD
    От ALEX(XX) в разделе Софт - общий
    Ответов: 4
    Последнее сообщение: 12.07.2006, 09:17
  4. Вышла новая версия NOD 32.
    От kvit в разделе Антивирусы
    Ответов: 5
    Последнее сообщение: 23.06.2005, 13:35
  5. Вышла новая версия FireFox
    От ALEX(XX) в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 14.05.2005, 13:11

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01057 seconds with 19 queries