Windows XP PRO SP3 – остановить изменения ключа ключа безопасности, установленного неизвестной программой

Я искал сайт и сеть для ответа на мою проблему без везения.

Не уверен, что это возможно, но неизвестная скрытая программа / скрипт / вредоносное ПО / руткит продолжает добавлять \ ?? \ к пути образа в реестре для программ безопасности / брандмауэра / антивируса, который у меня запущен на моем компьютере. Например:

  • Безопасно ли программное обеспечение NCH Software?
  • Могут ли приложения загружаться в Windows?
  • Целостность системных файлов Windows 7
  • Разрешить группе UNIX доступ только к одному файлу через SSH
  • Windows 7 мая 2017 Обновляет конкретные отличия?
  • Как отключить «Open File Security Warning», когда я хочу запустить загруженные исполняемые файлы?
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ ksapi \ ImagePath

    \ ?? \ C: \ WINDOWS \ system32 \ drivers \ ksapi.sys (модуль Kingsoft ksapi.)

    Это фактически отключает без ведома пользователя все, что делает антивирус Кингсофт ksapi.sys. Так, например, программа может показать, что активная активная защита включена, но на самом деле это не так, поскольку \ ?? \ изменяет путь к изображению, тем самым сводя на нет его выполнение и эффективность при рендеринге его полностью неэффективного и, самое главное, он обманывает один в ложном смысле Безопасности. Я продолжаю удалять \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \

    Эта программа-мошенник также делает то же самое с программами antirootkit, которые нейтрализуют их возможности обнаружения, а также иногда фактически удаляют их драйверы (sys-файлы).

    Кто-нибудь знает, есть ли сценарий (или программа), который может зацикливать реестр и отслеживать ключи пути к изображению, узнать, какая программа выполняет изменения, перехватить его, возможно, заблокировать ключи, чтобы они не могли быть изменены и если Они изменились, чтобы удалить \ ?? \ и обновить реестр без перезагрузки, чтобы ключи сразу стали активными.

    Было бы замечательно, если бы скрипт мог запускаться при выходе из системы и входить в систему и сообщать о его результатах и ​​результатах в журнал или текстовый файл.

    Я использую Tiny Watcher, который изначально и продолжает предупреждать меня об этих изменениях, но он сообщает только после того, как они были сделаны, и бесплатная версия Registrar Registry Manager для удаления \ ?? \ s

    Благодарим вас за любую помощь или указав на ресурсы, которые могут вам помочь.

  • Как обновить / сбросить / сбросить мои записи DNS в Windows?
  • Как Antimalware Doctor заражает компьютеры?
  • Как восстановить заводскую версию Windows 7 для подготовки к продаже ноутбука
  • Windows XP: возможно ли регистрировать время запуска и выключения в журнале системных событий?
  • Как определить текущий каталог в пакетном файле
  • Как полностью удалить Adobe Flash?
  • 2 Solutions collect form web for “Windows XP PRO SP3 – остановить изменения ключа ключа безопасности, установленного неизвестной программой”

    Я нашел это в кэшированном сообщении на wugnet.com

    БОЛЬШОЕ ПРЕДУПРЕЖДЕНИЕ Не переходите в исходный домен wugnet. Поиск Google, который я выполнил, и это привело меня к зараженной ссылке, ведущей через другой URL, к третьему, отображающему рекламу AdultFriendFinder

    -Quote-

    Это подкаталог пространства имен, созданный диспетчером объектов NT во время процесса загрузки. Именованные объекты в этом подкаталоге являются символическими ссылками на ресурсы Object Manager, доступные с помощью API Win32. Например, C: может быть символической ссылкой на \ Device \ HardiskVolume1, когда вызов Win32 выполняется для файла на C: подсистема Win32 преобразует его в \ ?? \ C: и диспетчер объектов находит символическую ссылку в \ ?? Подкаталог и находит объект устройства, в котором находится файл.

    Вы можете лучше понять, как организованы пространства имен объектов с помощью утилиты WinObj от SysInternals:
    http://technet.microsoft.com/en-us/sysinternals/bb896657.aspx

    Я предполагаю, что полный путь к диспетчеру объекта \ ?? Подкаталог используется в значениях реестра, потому что, когда эти записи реестра обрабатываются во время процесса загрузки, подсистема Win32 может еще не полностью инициализироваться и как таковая без \ ?? Часть пути, процесс загрузки не сможет разрешить пути, указанные в этих значениях реестра. Большинство из них \?? Пути находятся в ключе HKEY_LOCAL_MACHINE \ SYSTEM и без полного пути, который машина, вероятно, не загрузила бы, или, если бы это произошло, она загрузилась бы в сильно искаженном состоянии.

    -end quote-

    Если это так, ваше утверждение «Это фактически отключает …» сомнительно. Вы действительно заметили, что программное обеспечение, связанное с этими разделами реестра, работает неправильно?
    Если нет, вы должны изменить заголовок вопроса на что-то вроде таинственных двойных вопросительных знаков, предшествующих путям файлов в разделах реестра?


    Дополнительное примечание 1
    В любом случае Wugnet – странный сайт, эта страница, по-видимому, очищается от pcreview.co.uk

    Дополнительное примечание 2
    Эта проблема не следует путать с другой плавающей вокруг Интернета об отдельных вопросительных знаках, заменяющих двоеточие в путях . Я включаю это, хотя это не кажется связанным (но я могу ошибаться). Вот пользователь, который получил странные значения C? \ В его ключах реестра, которые, возможно, были ошибкой MS, и после исправления вручную проблема исчезла (длинный поток, несколько страниц). В сообщении упоминается импорт / экспорт ключей для быстрого их исправления (но это не требуется в вашем случае, потому что там нет ничего плохого). OP пишет: Новые «поврежденные» ключи реестра продолжают создаваться при установке новых приложений, но исправленные ключи реестра остаются неизменными.

    Спасибо за ваши ответы.

    MBu Я передам Process Monitor, но не знаю, как отслеживать изменения в пути изображения в реестре с ним.

    Ян, да, без сомнений, они являются наблюдаемыми и доказуемыми экземплярами, слишком многие тоже упоминают, где пути изображения предшествуют \ ?? \ влияют на правильное функционирование «программ безопасности», о которых идет речь. Они добавляются в пути изображения не только к элементам моего диска C :, но и к фактическим местоположениям программ. Большинство моих программ установлены в D: / Program Files.

    Не исключено, что это путь к образцам драйверов служб (sys-файлов), которые выполняют важные функции, связанные с безопасностью, которые нацелены и изменены.

    Это произошло сейчас, когда компьютер был включен в течение нескольких часов (поэтому система должна быть полностью инициализирована), что значение было изменено после того, как я удалил \ ?? \ в начале сеанса, чтобы:

    \ ?? \ C: \ WINDOWS \ system32 \ Drivers \ ksapi.sys

    Странно, что при поиске \ ?? \ в Google он говорит – ваш поиск – \ ?? \ – не соответствовал каким-либо документам. В любом случае я буду исследовать утилиту WinObj и посмотреть, есть ли какая-либо помощь.

    Что касается C? \ Entries, я тоже нашел их и вручную изменил их на C: \, но спасибо за сообщение, которое предлагает это, казалось бы, более эффективное решение – надежда на работу в XP.

    Приветствия и спасибо снова. Поиск продолжается.

    Давайте будем гением компьютера.