-
Сообщение от
NickM
1. Если не грузится рабочий стол (а это так?), то как запускать AVZ?
2. Вероятно, в Regedit отображаются одинаковые имена. На самом деле - они разные. Юникод в имени ключа, наверное.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
NickM
в реестре имелось два раздела winlgon
NickM, если конечно осталась возможность, можете выложить куст software? Я люблю подобные "аномалии"
-
-
Сообщение от
antanta
1. Если не грузится рабочий стол (а это так?), то как запускать AVZ?
2. Вероятно, в Regedit отображаются одинаковые имена. На самом деле - они разные. Юникод в имени ключа, наверное.
1. шаманством, win+u и пр.
2. а winlogon-юникод отработает при загрузке?
Сообщение от
polar_owl
NickM, если конечно осталась возможность, можете выложить куст
software? Я люблю подобные "аномалии"
был в отпуске, притащили эти компы на дом, возится долго было лень, загрузился с ERD проверил ключи в реестре, убрал лишнее, перезагрузился, загрузка прошла на ура, быстренько зачистил, и отдал, теперь самому интересно стало, ну ничего думается мне еще попадется, обязательно выложу,
Добавлено через 2 часа 12 минут
разработчику:
1. окна пунктов меню "Файл" по разному реагируют на нажатие ESC, одни закрываются др. игнорируют, так задумано?
2. ограниченные возможности работы с клавиатурой в: окне обновления невозможно выбрать/изменить поле "Настройки" + окне "Карантин" невозможно выбрать кнопки "Удалить", "Архивировать", "Автодобавление", "Добавить по списку", "Восстановить" + окне "Отложенное удаление файла" невозможно указать файл через кнопку диалога
3. в окне "Добавление в карантин по списку" присутствует возможность вводить текст с клавиатуры в поле "Протокол", ?
Последний раз редактировалось NickM; 03.07.2010 в 12:17.
Причина: Добавлено
-
Олег, на днях запускал проверку АВЗ втроенного в продукты Лаборатории Касперского и был приятно удивлён. Лог сканирования прикрепляю.
Из всего этого следует логичный вопрос: использует ли АВЗ, который встроен в продукти ЛК, другие репутационные базы либо другие технологии проверки "чистых" файлов?
-
Nerimash,
Kaspersky Anti-Virus 2011 11.0.0.232 (database released 04/07/2010; 19:45)
11-я ветка вроде как в бете ещё прибывает...
C:\PROGRA~2\KASPER~1\KASPER~1\x64\kloehk.dll
Тест проводился на х64? Она в AVZ не поддерживается.
-
-
Интересно, winlogon обрабатывает обе ветки реестра?
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon ]
"shell"="Explorer.exe, C:\\Program Files\\Common Files\\Microsoft Shared\\mssoft.exe"
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
...
...
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ReportBootOk"="1"
"Shell"="Explorer.exe, C:\\Program Files\\Common Files\\Microsoft Shared\\mssoft.exe"
"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="C:\\WINDOWS\\system32\\userinit.ex e,"
-
-
Сообщение от
gjf
Nerimash,
11-я ветка вроде как в бете ещё прибывает...
Тест проводился на х64? Она в AVZ не поддерживается.
Это английская версия, соотв. она уже месяц как релиз.
Сообщение от
gjf
Тест проводился на х64? Она в AVZ не поддерживается.
Не совсем понял суть сказанного выше. Что именно не поддерживается? standalone AVZ или AVZ вмонтированный в KIS2011 ? Если второе, то он у меня прекрасно отработал(для теста удалял несуществующие драйвера из реестра).
-
Сообщение от
NickM
2. Как такое возможно (запись в реестр второго раздела winlogon)?
Если внимательно присмотреться, то можно увидеть, что во второй ветке присутствует в конце имени раздела пробел
Добавлено через 22 минуты
Сообщение от
santy
Интересно, winlogon обрабатывает обе ветки реестра?
Попробовал на виртуалке
Код:
1.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe, Notepad.exe"
2.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon ]
"shell"="Explorer.exe, Notepad.exe"
Если только 1 - то открывается блокнот
Если 1 (без блокнота) и 2 - нормальная загрузка
Если удалить в 1 вообще параметр shell- нормальная загрузка
Если удалить и 1 и 2 - нормальная загрузка
Т.е. раздел ...\winlogon ] у меня не сыграл никакой роли, также как и убиение параметра shell в оригинальном winlogon
Последний раз редактировалось Vadim_SVN; 05.07.2010 в 15:50.
Причина: Добавлено
-
NickM, Предлагаю небольшой инструмент, который помогает анализировать подобные ситуации. В духе форума, в виде скрипта для AVZ . Извиняюсь, что не стал переписывать фсю прогу )
Тактика такая: 1) сохраняем требуемую ветку в виде файла куста в нашем случае :
Код:
REG SAVE "HKLM\Software\Microsoft NT\CurrentVersion" C:\NT.HIV
2) Натравливаем на этот файл такой вот скрипт:
Код:
var
HiveFile: string;
i: integer;
Delta: integer;
QTChild,OffsetToChild: integer;
OffsetToKey: integer;
P1,P2,P3: string;
NK: integer;
KeySize: integer;
KeyName: String;
begin
HiveFile:= 'C:\NT.HIV';
Delta:=4096;
if FileExists(HiveFile) then LoadFileToBuffer(HiveFile);
QTChild:=GetBufferDWord(Delta+32+24);
OffsetToChild:=Delta+GetBufferDWord(Delta+32+32);
for i:=0 to (QTChild-1) do
begin
OffsetToKey:=4096+GetBufferDWord(OffsetToChild+8+i*8);
KeySize:= GetBufferWord(OffsetToKey+76);
KeyName:=GetBufferStr(OffsetToKey+80,KeySize);
AddToLog(KeyName+' '+ IntToStr(OffsetToKey+80) + ' '+ IntToStr(KeySize));
SaveLog('C:\Keys.log');
end;
end.
В логе будет название ключа, смешение (где в файле хранится имя ключа), и размер имени. Потом открываем любимый хекс-редактор и смотрим, что там у нас на самом деле.
Если кто не знает, инфа на русском по структуре файлов реестра тут: http://paullee.ru/regstr4.html
-
-
Последний раз редактировалось anton_dr; 08.07.2010 в 19:28.
Причина: добавлена ссылка на тему
-