1. Если не грузится рабочий стол (а это так?), то как запускать AVZ?Сообщение от NickM
2. Вероятно, в Regedit отображаются одинаковые имена. На самом деле - они разные. Юникод в имени ключа, наверное.
1. Если не грузится рабочий стол (а это так?), то как запускать AVZ?
2. Вероятно, в Regedit отображаются одинаковые имена. На самом деле - они разные. Юникод в имени ключа, наверное.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
NickM, если конечно осталась возможность, можете выложить куст software? Я люблю подобные "аномалии"
1. шаманством, win+u и пр.
2. а winlogon-юникод отработает при загрузке?
был в отпуске, притащили эти компы на дом, возится долго было лень, загрузился с ERD проверил ключи в реестре, убрал лишнее, перезагрузился, загрузка прошла на ура, быстренько зачистил, и отдал, теперь самому интересно стало, ну ничего думается мне еще попадется, обязательно выложу,NickM, если конечно осталась возможность, можете выложить куст software? Я люблю подобные "аномалии"
Добавлено через 2 часа 12 минут
разработчику:
1. окна пунктов меню "Файл" по разному реагируют на нажатие ESC, одни закрываются др. игнорируют, так задумано?
2. ограниченные возможности работы с клавиатурой в: окне обновления невозможно выбрать/изменить поле "Настройки" + окне "Карантин" невозможно выбрать кнопки "Удалить", "Архивировать", "Автодобавление", "Добавить по списку", "Восстановить" + окне "Отложенное удаление файла" невозможно указать файл через кнопку диалога
3. в окне "Добавление в карантин по списку" присутствует возможность вводить текст с клавиатуры в поле "Протокол", ?
Последний раз редактировалось NickM; 03.07.2010 в 12:17. Причина: Добавлено
Олег, на днях запускал проверку АВЗ втроенного в продукты Лаборатории Касперского и был приятно удивлён. Лог сканирования прикрепляю.
Из всего этого следует логичный вопрос: использует ли АВЗ, который встроен в продукти ЛК, другие репутационные базы либо другие технологии проверки "чистых" файлов?
Nerimash,
11-я ветка вроде как в бете ещё прибывает...Kaspersky Anti-Virus 2011 11.0.0.232 (database released 04/07/2010; 19:45)
Тест проводился на х64? Она в AVZ не поддерживается.C:\PROGRA~2\KASPER~1\KASPER~1\x64\kloehk.dll
Интересно, winlogon обрабатывает обе ветки реестра?
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon ]
"shell"="Explorer.exe, C:\\Program Files\\Common Files\\Microsoft Shared\\mssoft.exe"Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
...
...
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ReportBootOk"="1"
"Shell"="Explorer.exe, C:\\Program Files\\Common Files\\Microsoft Shared\\mssoft.exe"
"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="C:\\WINDOWS\\system32\\userinit.ex e,"
Это английская версия, соотв. она уже месяц как релиз.
Не совсем понял суть сказанного выше. Что именно не поддерживается? standalone AVZ или AVZ вмонтированный в KIS2011 ? Если второе, то он у меня прекрасно отработал(для теста удалял несуществующие драйвера из реестра).
Если внимательно присмотреться, то можно увидеть, что во второй ветке присутствует в конце имени раздела пробел
Добавлено через 22 минуты
Попробовал на виртуалке
Если только 1 - то открывается блокнотКод:1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe, Notepad.exe" 2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon ] "shell"="Explorer.exe, Notepad.exe"
Если 1 (без блокнота) и 2 - нормальная загрузка
Если удалить в 1 вообще параметр shell- нормальная загрузка
Если удалить и 1 и 2 - нормальная загрузка
Т.е. раздел ...\winlogon ] у меня не сыграл никакой роли, также как и убиение параметра shell в оригинальном winlogon
Последний раз редактировалось Vadim_SVN; 05.07.2010 в 15:50. Причина: Добавлено
NickM, Предлагаю небольшой инструмент, который помогает анализировать подобные ситуации. В духе форума, в виде скрипта для AVZ. Извиняюсь, что не стал переписывать фсю прогу
Тактика такая: 1) сохраняем требуемую ветку в виде файла куста в нашем случае :2) Натравливаем на этот файл такой вот скрипт:Код:REG SAVE "HKLM\Software\Microsoft NT\CurrentVersion" C:\NT.HIVВ логе будет название ключа, смешение (где в файле хранится имя ключа), и размер имени. Потом открываем любимый хекс-редактор и смотрим, что там у нас на самом деле.Код:var HiveFile: string; i: integer; Delta: integer; QTChild,OffsetToChild: integer; OffsetToKey: integer; P1,P2,P3: string; NK: integer; KeySize: integer; KeyName: String; begin HiveFile:= 'C:\NT.HIV'; Delta:=4096; if FileExists(HiveFile) then LoadFileToBuffer(HiveFile); QTChild:=GetBufferDWord(Delta+32+24); OffsetToChild:=Delta+GetBufferDWord(Delta+32+32); for i:=0 to (QTChild-1) do begin OffsetToKey:=4096+GetBufferDWord(OffsetToChild+8+i*8); KeySize:= GetBufferWord(OffsetToKey+76); KeyName:=GetBufferStr(OffsetToKey+80,KeySize); AddToLog(KeyName+' '+ IntToStr(OffsetToKey+80) + ' '+ IntToStr(KeySize)); SaveLog('C:\Keys.log'); end; end.
Если кто не знает, инфа на русском по структуре файлов реестра тут: http://paullee.ru/regstr4.html
Закрыто ввиду выхода релиза 4.34
http://virusinfo.info/showthread.php?t=82704
Последний раз редактировалось anton_dr; 08.07.2010 в 19:28. Причина: добавлена ссылка на тему
Ваши права в разделе
