Windows XP PRO SP3 - interrompe as alterações na (s) chave (s) de registro do software de segurança definidas por programa desconhecido

0

Eu procurei no site e na Web por uma resposta ao meu problema sem qualquer sorte.

Não tenho certeza se isso é possível, mas um programa / script / malware / rootkit desconhecido e oculto continua adicionando \ ?? \ aos caminhos de imagem no registro para programas de segurança / firewall / antivírus em execução no meu computador. Por exemplo:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Serviços \ ksapi \ ImagePath

\ ?? \ C: \ WINDOWS \ system32 \ drivers \ ksapi.sys (módulo ksapi do Kingsoft.)

Isso, na verdade, desativa sem o conhecimento do usuário, qualquer que seja o ksapi.sys do Antivirus da Kingsoft. Assim, por exemplo, um programa pode mostrar que sua proteção ativa real está ativada, mas na verdade não é, pois o caminho da imagem altera sua execução e eficácia, tornando-a totalmente ineficaz e, mais importante, engana alguém em um falso sentido. de segurança. Eu continuo excluindo o \ ?? \ s particularmente chato irritante desde que ele precisa de uma reinicialização para que as alterações entrem em vigor no registro, mas eles continuam voltando.

Este programa nocivo também faz o mesmo com os programas antirootkit, que neutralizam sua capacidade de detecção e também apagam seus drivers (arquivos sys).

Alguém saberia se há um script (ou programa) que possa fazer um loop no registro e acompanhar as chaves do caminho da imagem, descobrir qual programa está fazendo as alterações, interceptá-las, talvez bloquear as chaves para que não sejam alteradas e ou se eles foram alterados para excluir o \ ?? e atualizar o registro sem precisar reinicializar para que as chaves se tornem ativas imediatamente.

Seria ótimo se um script pudesse ser executado no logoff e logon e relatar suas descobertas e resultados para um arquivo de log ou de texto.

Estou usando o Tiny Watcher, que originalmente e continua a me alertar para essas mudanças, mas ele só as reporta depois de terem sido feitas e a versão gratuita do Registrador de Registros para excluir o \ ?? \ s

Agradecendo antecipadamente por qualquer assistência ou apontando recursos que possam ser de ajuda.

    
por user290198 15.01.2014 / 14:11

2 respostas

2

Encontrei isso em uma postagem em cache em wugnet.com

BIG WARNING Não vá para o domínio wugnet original. A pesquisa do Google que realizei e que me levou até lá é um link contaminado que leva a outro URL para um terceiro exibindo um anúncio de AdultFriendFinder

-Quote -

É um subdiretório namespace criado pelo Gerenciador de Objetos NT durante o processo de inicialização. Os objetos nomeados neste subdiretório são simbólicos links para recursos do Gerenciador de objetos acessíveis pela API do Win32. Para exemplo, C: pode ser um link simbólico para \ Device \ HardiskVolume1, quando um Chamada Win32 é feita para um arquivo em C: o subsistema Win32 converte para \ ?? \ C: e o Gerenciador de objetos localiza o link simbólico no \ ?? subdiretório e encontra o objeto do dispositivo onde o arquivo está localizado.

Você pode ter uma ideia melhor de como os namespaces do objeto estão organizados com o utilitário WinObj da SysInternals: link

Meu palpite é que o caminho completo para o Gerenciador de Objetos \ ?? subdiretório é usado nos valores do registro porque quando essas entradas do registro são processado durante o processo de inicialização o subsistema Win32 pode ainda não estar totalmente inicializado e, como tal, sem o \ ?? parte do caminho do processo de inicialização não seria capaz de resolver os caminhos referenciados naqueles valores de registro. A maioria destes \?? caminhos estão no Chave HKEY_LOCAL_MACHINE \ SYSTEM e sem o caminho completo da máquina provavelmente não inicializaria, ou se o fizesse seria inicializado severamente estado aleijado.

-end quote -

Se isso for verdade, sua declaração "Isso desativa com efeito ..." é duvidosa. Você realmente observou que o software relacionado a essas chaves de registro não funciona corretamente?
Se não, você deve alterar o título da pergunta para algo como misteriosos pontos de interrogação duplos antes dos caminhos de arquivo chaves de registro?

Observação adicional 1
Wugnet é um site estranho de qualquer maneira, essa página parece ser removida de pcreview.co.uk

Observação adicional 2
Esse problema não deve ser confundido com outro que esteja circulando na Web sobre pontos de interrogação únicos substituindo dois pontos em caminhos . Estou incluindo isso, embora não pareça relacionado (mas posso estar errado). Aqui está um usuário que obteve valores C? \ Estranhos em suas chaves de registro que podem ter sido um bug do MS, e após corrigi-los manualmente, o problema desapareceu (thread longo, várias páginas). A postagem menciona a importação / exportação das chaves para corrigi-las rapidamente (mas isso não seria necessário no seu caso, porque não há nada errado lá). O OP escreve lá: Novas chaves de registro "corrompidas" continuam a ser criadas quando novos aplicativos são instalados, mas as chaves de registro corrigidas parecem permanecer inalteradas.

    
por 16.01.2014 / 20:51
0

Obrigado pelas suas respostas.

MBu Vou dar um passo ao Process monitor, mas não sei como rastrear alterações nos caminhos da imagem no registro com ele.

Jan sim, sem dubiedade, eles são exemplos observáveis e prováveis, muitos também mencionam onde os caminhos da imagem precedidos pelo \ ?? \ afetam o funcionamento adequado dos "programas de segurança" em questão. Eles são adicionados aos caminhos da imagem não apenas aos itens da minha unidade C: mas aos locais reais do programa do driver. A maioria dos meus programas estão instalados em D: / Program Files.

Não pode ser mera coincidência que sejam os caminhos de imagem dos drivers de serviços (arquivos sys) que realizam importantes funções relacionadas à segurança que são direcionadas e alteradas.

Aconteceu agora quando o computador esteve ligado por algumas horas (então o sistema deve estar totalmente inicializado), que o valor foi alterado depois de eu ter apagado o \ ?? \ no início da sessão, para:

\ ?? \ C: \ WINDOWS \ system32 \ drivers \ ksapi.sys

É estranho que, ao pesquisar por \ ?? \ no Google, a sua pesquisa - \ ?? \ - não corresponda a nenhum documento. De qualquer forma, vou investigar o utilitário WinObj e ver se oferece alguma ajuda.

Quanto às entradas C? \, eu as encontrei também e as alterei manualmente para C: \, mas obrigado pelo post que oferece pareceria uma solução mais eficaz - espero que funcione no XP.

Felicidades e obrigado novamente. A pesquisa continua.

    
por 17.01.2014 / 16:14