Я искал ответ на мою проблему на сайте и в Интернете без какой-либо удачи.

Не уверен, что это возможно, но неизвестная скрытая программа / скрипт / вредоносная программа / руткит продолжает добавлять \??\ к путям к изображениям в реестре для программ безопасности / брандмауэра / антивируса, которые я запускаю на моем компьютере. Например:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ksapi\ImagePath

\??\C:\WINDOWS\system32\drivers\ksapi.sys (модуль Kingsoft ksapi.)

Это фактически отключает без ведома пользователя то, что делает Kingsoft's Antivirus ksapi.sys. Так, например, программа может показать, что ее реальная активная защита включена, но на самом деле это не так, как \??\ изменяет путь к изображению, тем самым сводя на нет его выполнение и эффективность, делая его совершенно неэффективным и, что наиболее важно, вводит в заблуждение ложным чувством безопасности. Я продолжаю удалять \??Особенно раздражает, потому что требуется перезагрузка, чтобы изменения вступили в силу в реестре, но они продолжают возвращаться.

Эта мошенническая программа также делает то же самое с программами антируткитов, которые нейтрализуют их возможности обнаружения, а также иногда фактически удаляют их драйверы (файлы sys).

Кто-нибудь знает, есть ли сценарий (или программа), который может зациклить реестр и отслеживать ключи пути к изображению, узнать, какая программа вносит изменения, перехватить его, возможно, заблокировать ключи, чтобы их нельзя было изменить, и, если они изменились, чтобы удалить \??\ и обновите реестр без перезагрузки, чтобы ключи сразу стали активными.

Было бы здорово, если бы скрипт мог запускаться при выходе из системы и входить в систему и сообщать о своих выводах и результатах в журнал или текстовый файл.

Я использую Tiny Watcher, который изначально и продолжает предупреждать меня об этих изменениях, но он сообщает о них только после того, как они были внесены, и бесплатную версию Registrar Registry Manager, чтобы удалить \??\s

Заранее благодарю за любую помощь или за указание на ресурсы, которые могут быть вам полезны.

2 ответа2

2

Я нашел это в кэшированном посте на wugnet.com

БОЛЬШОЕ ПРЕДУПРЕЖДЕНИЕ Не переходите на оригинальный домен wugnet. Поиск Google, который я выполнил и который привел меня, содержит зараженную ссылку, ведущую через другой URL к третьему, показывающему рекламу AdultFriendFinder

-Quote-

Это подкаталог пространства имен, созданный диспетчером объектов NT в процессе загрузки. Именованные объекты в этом подкаталоге являются символическими ссылками на ресурсы Object Manager, доступные через Win32 API. Например, C: может быть символической ссылкой на \Device \HardiskVolume1, когда для файла на C выполняется вызов Win32: подсистема Win32 преобразует его в \??\C: и Диспетчер объектов находит символическую ссылку в \?? подкаталог и находит объект устройства, где находится файл.

Вы можете получить лучшее представление о том, как организованы пространства имен Object, с помощью утилиты SysInternals WinObj:
http://technet.microsoft.com/en-us/sysinternals/bb896657.aspx

Я предполагаю, что полный путь к диспетчеру объектов \?? подкаталог используется в значениях реестра, потому что, когда эти записи реестра обрабатываются во время процесса загрузки, подсистема Win32 может еще не быть полностью инициализирована и как таковая без \?? часть пути, в которой процесс загрузки не сможет разрешить пути, указанные в этих значениях реестра. Большинство из них \?? пути находятся в ключе HKEY_LOCAL_MACHINE \SYSTEM, и без полного пути машина, вероятно, не загрузится или, если это произойдет, загрузится в сильно поврежденном состоянии.

конец цитаты

Если это правда, ваше утверждение «Это отключает ...» сомнительно. Вы действительно заметили, что программное обеспечение, связанное с этими разделами реестра, работает неправильно?
Если нет, вам следует изменить название вопроса на что-то вроде Таинственного двойного знака вопроса, предшествующего пути к файлам в разделах реестра?


Дополнительное замечание 1
В любом случае, Wugnet - странный сайт, эта страница, похоже, соскоблена с pcreview.co.uk

Дополнительное замечание 2
Эту проблему не следует путать с другим распространением по сети о том, что одиночные знаки вопроса заменяют двоеточия в путях. Я включаю это, хотя это не кажется связанным (но я могу ошибаться). Вот пользователь, который получил странный C?\ values в его ключах реестра, которые могли быть ошибкой MS, и после ручного исправления их проблема исчезла (длинный поток, несколько страниц). В посте упоминается об импорте / экспорте ключей, чтобы быстро их исправить (но в вашем случае это не потребуется, потому что в этом нет ничего плохого). OP пишет там: новые "поврежденные" ключи реестра продолжают создаваться при установке новых приложений, но исправленные ключи реестра, похоже, остаются без изменений.

0

Спасибо за ваши ответы.

MBu Я попробую Process Monitor, но не знаю, как отслеживать изменения путей к изображениям в реестре.

Ян, да, нет сомнений, они наблюдаемые и доказуемые случаи, слишком многие слишком упоминают, где пути изображения предшествовали \??\ влияет на правильное функционирование "программ безопасности", о которых идет речь. Они добавляются в пути к изображениям не только к элементам на моем диске C:, но и к фактическим местам расположения драйверов. Большинство моих программ установлены в D:/Program Files.

Это не может быть простым совпадением, что это пути к изображениям драйверов служб (файлов sys), которые выполняют важные функции, связанные с безопасностью, которые нацелены и изменены.

Просто сейчас, когда компьютер был включен несколько часов (поэтому система должна быть полностью инициализирована), значение изменилось после того, как я удалил \??в начале сессии:

\??\C:\WINDOWS\system32\ Drivers \ ksapi.sys

Странно, что при поиске \??в гугле написано - Ваш поиск - \??\ - не совпадает ни с одним документом. В любом случае, я исследую утилиту WinObj и посмотрю, предлагает ли она какую-либо помощь

Что касается C?Записи, я тоже нашел их и вручную изменил их на C:\, но спасибо за пост, который предлагает это, казалось бы, более эффективное решение - надеюсь, в работах в XP.

Приветствия и еще раз спасибо. Поиски продолжаются.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .