В настоящее время я разбираюсь с этим, но, похоже, что-то переписывает следующий ключ реестра REG_SZ в ключ REG_BINARY, и это приводит к тому, что NSLOOKUP задыхается в результате
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\ Параметры Параметр реестра SearchList
Удалите REG_BINARY или измените обратно на REG_SZ, и проблема исчезнет
Мы рассматриваем это как проблему с F5 VPN (12-кратное обновление), но, как я уже сказал, это все еще расследуется
Неверное имя приложения: nslookup.exe, версия: 10.0.15063.0, отметка времени: 0xe86915da.
Неверное имя модуля: nslookup.exe, версия: 10.0.15063.0, отметка времени: 0xe86915da
Код исключения: 0xc0000005
Смещение ошибки: 0x0000000000009abc
Идентификатор ошибочного процесса: 0x4170
Время запуска ошибочного приложения: 0x01d3d5a05a312c37
Неверный путь к приложению: C:\Windows\system32\nslookup.exe
Неверный путь к модулю: C:\Windows\system32\nslookup.exe
Идентификатор отчета: f0e23fc2-dfb6-4152-b566-b1b7b05bca29
================================================== ==
Сегодня у меня есть два дополнительных ПК, и я думаю, что я нашел причину (и это не F5 DNS RELAY SERVICE - хотя перезапуск службы на зараженном ПК тоже напишет плохой ключ).
Недостаток пирога в том, что вы должны войти в систему как «Администратор» (-A или пользователь с правами администратора), чтобы все работало, как показано ниже, вы не администратор, и все это не так. перерыв, но ниже, как админ надежное воспроизведение, я сделал это на двух компьютерах.
- Я получил недавно построенный ПК с Windows 10
- Войти как мой -А (админ)
- Обратите внимание, что на компьютере не будет [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] SearchList SearchList_F5_BACKUP_VALUE
- Это будет иметь этот VPN: 7103.2015.811.317 (11.5.3)
- Запустите VPN и примите любые запросы UAC
- Введите свои учетные данные VPN
- Когда VPN полностью запустится, он запишет эти ключи (как REG_SZ) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "SearchList_F5_BACKUP_VALUE" = "" "SearchList" = "ad.allstate.com, allstate.com"
- Выйдите из VPN (отключите, затем выйдите из системного трея), и он очистит значение SearchList (оставляя его без значения REG_SZ), а затем удалите запись SearchList_F5_BACKUP_VALUE [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "SearchList" = "" "SearchList_F5_BACKUP_VALUE" = "" (удалено полностью)
- Установите 12.1.3 VPN
- Установка 12.1.3 изменит значение SearchList с REG_SZ на REG_BINARY (BAD) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "SearchList" = hex:
- Значение REG_BINARY вызывает сбой nslookup
Запись (и блокировка значения) начальных ключей (что происходит только в том случае, если вы вошли в систему как администратор, и да, любые запросы UAC при запуске VPN) - это процесс, включенный в продукт VPN 11.5.3 - C:\Windows\ Загруженные программные файлы \ F5ElHelper.exe - версия 7103, 2015, 0811, 0317
Изменение формата ключа SearchList (что происходит, если ключ SearchList существовал из-за предыдущего) выполняется во время установки VPN 12.1.3 с помощью продукта VPN 12.1.3 - C:\Windows\SysWOW64\F5FltSrv.exe - версия 7133 2018, 0112, 2028