Windows XP PRO SP3- अज्ञात प्रोग्राम द्वारा सेट किए गए सुरक्षा सॉफ़्टवेयर रजिस्ट्री कुंजी (s) में परिवर्तन रोकें

मैंने बिना किसी भाग्य के अपनी समस्या के उत्तर के लिए साइट और वेब पर खोज की है।

सुनिश्चित नहीं है कि यह संभव है, लेकिन एक अज्ञात, छिपा हुआ कार्यक्रम / स्क्रिप्ट / मैलवेयर / रूटकिट सुरक्षा कार्यक्रमों / फ़ायरवॉल / एंटीवायरस के लिए रजिस्ट्री में छवि पथों में \ _ \ _ जोड़ता रहता है जो मेरे कंप्यूटर पर चल रहा है। उदाहरण के लिए:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ ksapi \ ImagePath

\ _ \ _ C: \ WINDOWS \ system32 \ ड्राइवर \ ksapi.sys (किंग्सॉफ्ट ksapi मॉड्यूल)।

यह प्रभाव किंग्सॉफ्ट के एंटीवायरस ksapi.sys के उपयोगकर्ता के ज्ञान के बिना अक्षम करता है। उदाहरण के लिए, एक कार्यक्रम दिखा सकता है कि इसकी वास्तविक सक्रिय सुरक्षा सक्षम है, लेकिन वास्तव में यह नहीं है क्योंकि छवि पथ को बदल देता है, जिससे यह निष्पादन और प्रभावशीलता को प्रभावित करता है, जबकि यह पूरी तरह से अप्रभावी है और सबसे महत्वपूर्ण रूप से यह एक गलत अर्थ में मूर्ख बनाता है। सुरक्षा का। मैं रजिस्ट्री को प्रभावी बनाने के लिए रिबूट की जरूरत है, क्योंकि वे रजिस्ट्री में प्रभावी होने के लिए रिबूट की जरूरत है, लेकिन वे वापस आते रहते हैं।

यह बदमाश कार्यक्रम एंटीरॉटकिट कार्यक्रमों के लिए भी करता है जो उनकी पहचान क्षमता को बेअसर करता है और कभी-कभी वास्तव में उनके ड्राइवरों को भी नष्ट कर देता है।

किसी को पता चलेगा कि क्या कोई स्क्रिप्ट (या प्रोग्राम) है जो रजिस्ट्री को लूप कर सकती है और इमेज पाथ कीज़ को ट्रैक कर सकती है, पता करें कि कौन सा प्रोग्राम बदलाव कर रहा है, इसे इंटरसेप्ट करें, शायद कीज़ को लॉक करें ताकि उन्हें बदला नहीं जा सके और या अगर वे \ _ \ _ को हटाने के लिए बदल गए हैं और रजिस्ट्री को रिबूट किए बिना रीफ़्रेश करते हैं ताकि चाबियाँ तुरंत सक्रिय हो जाएं।

यह बहुत अच्छा होगा यदि कोई स्क्रिप्ट लॉग ऑफ और लॉग ऑन पर चलाई जा सकती है और लॉग या टेक्स्ट फ़ाइल पर अपने निष्कर्षों और परिणामों की रिपोर्ट कर सकती है।

मैं टिनी वॉचर का उपयोग कर रहा हूं, जो मूल रूप से और मुझे इन परिवर्तनों के लिए सचेत करता है, लेकिन यह केवल उन्हें रिपोर्ट किए जाने के बाद और रजिस्ट्रार रजिस्ट्री प्रबंधक के मुफ्त संस्करण को हटाने के लिए \ _ \ _ को मिटाता है?

किसी सहायता के लिए या संसाधनों की ओर संकेत करने के लिए आपको अग्रिम धन्यवाद देना।

मैंने इसमें पाया wugnet.com पर एक कैश्ड पोस्ट

बड़ी चेतावनी मूल wugnet डोमेन पर न जाएं। मेरे द्वारा की गई Google खोज और जिसके कारण मुझे एक दूषित लिंक मिला जो किसी URL के माध्यम से किसी तीसरे वयस्क के लिए एक विज्ञापन प्रदर्शित कर रहा है, वह है

-Quote-

यह एक नेमस्पेस उपनिर्देशिका है जो NT ऑब्जेक्ट मैनेजर द्वारा बनाया गया है बूट प्रक्रिया। इस उपनिर्देशिका में नामित वस्तुएँ प्रतीकात्मक हैं Win32 एपीआई द्वारा सुलभ वस्तु प्रबंधक संसाधनों के लिए लिंक। के लिये उदाहरण, C: जब एक डिवाइस \ प्रतीकात्मक लिंक \ Device \ HardiskVolume1 हो सकता है Win32 कॉल C पर किसी फ़ाइल के लिए किया जाता है: Win32 सबसिस्टम इसे कनवर्ट करता है \ ?? \ C: और ऑब्जेक्ट मैनेजर प्रतीकात्मक लिंक को \ _ में बताता है? उपनिर्देशिका और डिवाइस ऑब्जेक्ट को ढूंढता है जहां फ़ाइल स्थित है।

आप एक बेहतर विचार प्राप्त कर सकते हैं कि ऑब्जेक्ट नेमस्पेस कैसे व्यवस्थित हैं SysInternals 'WinObj उपयोगिता के साथ:
http://technet.microsoft.com/en-us/sysinternals/bb896657.aspx

मेरा अनुमान है कि वस्तु प्रबंधक के लिए पूर्ण पथ है? उपनिर्देशिका रजिस्ट्री मान में उपयोग किया जाता है क्योंकि जब उन रजिस्ट्री प्रविष्टियों हैं Win32 सबसिस्टम बूट प्रक्रिया के दौरान संसाधित नहीं हो सकता है पूरी तरह से इनिशियलाइज़्ड और जैसे कि बिना \ _? पथ का हिस्सा बूट प्रक्रिया उन में संदर्भित पथ को हल करने में सक्षम नहीं होगी रजिस्ट्री मान। इनमे से ज्यादातर \?? रास्ते में हैं HKEY_LOCAL_MACHINE \ SYSTEM कुंजी और पूर्ण पथ के बिना मशीन शायद बूट नहीं होगा, या अगर यह किया तो यह गंभीर रूप से बूट होगा अपंग अवस्था।

-एंड कोट करें-

यदि यह सही है, तो आपका कथन "यह प्रभाव अक्षम करता है ..." संदिग्ध है। क्या आपने वास्तव में निरीक्षण उन रजिस्ट्री कुंजी से संबंधित सॉफ्टवेयर सही ढंग से काम नहीं करता है?
यदि नहीं, तो आपको अपना प्रश्न शीर्षक कुछ इस तरह बदलना चाहिए रजिस्ट्री कुंजियों में फ़ाइल पथ से पहले रहस्यमय डबल प्रश्न चिह्न?

अतिरिक्त टिप्पणी 1
Wugnet वैसे भी एक अजीब साइट है, जो पेज से स्क्रैप किया गया प्रतीत होता है pcreview.co.uk

अतिरिक्त टिप्पणी २
यह समस्या वेब के बारे में एक और फ़्लोटिंग के साथ भ्रमित होने की नहीं है रास्तों में कॉलनों की जगह एकल प्रश्न चिह्न । मैं इसमें शामिल हूं, हालांकि यह संबंधित नहीं लगता है (लेकिन मैं गलत हो सकता हूं)। यहां एक उपयोगकर्ता है जिसे अपनी रजिस्ट्री कुंजियों में अजीब सी? \ मान मिला है जो एक MS बग हो सकता है, और मैन्युअल रूप से उन्हें ठीक करने के बाद मुद्दा चला गया था (लंबा धागा, कई पृष्ठ)। पोस्ट में उन्हें जल्दी ठीक करने के लिए कुंजियों को आयात / निर्यात करने का उल्लेख किया गया है (लेकिन यह आपके मामले में आवश्यक नहीं होगा, क्योंकि वहां कुछ भी गलत नहीं है)। ओपी वहां लिखते हैं: नई "भ्रष्ट" रजिस्ट्री कुंजियाँ तब बनी रहती हैं जब नए एप्लिकेशन इंस्टॉल किए जाते हैं, लेकिन सही रजिस्ट्री कुंजियाँ अपरिवर्तित रहती हैं।

आपके उत्तर के लिए धन्यवाद।

MBu मैं प्रोसेस मॉनीटर को जाने दूंगा लेकिन यह नहीं जानूंगा कि इसके साथ रजिस्ट्री में छवि पथ में परिवर्तन कैसे ट्रैक करें।

जान हाँ, कोई संदेह नहीं है, वे अवलोकनीय और सिद्ध उदाहरण हैं, बहुत से भी उल्लेख करते हैं कि छवि पथ पहले से कहाँ थे? \ _ \ _ प्रश्न में "सुरक्षा कार्यक्रमों" के समुचित कार्य को प्रभावित करते हैं। वे न केवल मेरी सी: ड्राइव पर बल्कि वास्तविक ड्राइवर प्रोग्राम स्थानों पर छवि पथों में जोड़े जाते हैं। मेरे ज्यादातर प्रोग्राम D: / Program Files में इंस्टॉल हैं।

यह महज संयोग नहीं हो सकता है कि यह सेवाओं के ड्राइवरों (एसआईएस फाइलों) की छवि पथ है जो सुरक्षा से संबंधित महत्वपूर्ण कार्य करते हैं जो लक्षित और परिवर्तित होते हैं।

यह अभी हुआ है जब कंप्यूटर को कुछ घंटों के लिए चालू किया गया है (इसलिए सिस्टम को पूरी तरह से प्रारंभ किया जाना चाहिए), कि सत्र की शुरुआत में मैंने \ _ \ _ को हटाने के बाद मूल्य बदल दिया था:

\ ?? \ C: \ WINDOWS \ system32 \ drivers \ ksapi.sys

अजीब बात है कि जब Google में \ _ \ _ की खोज होती है, तो वह कहता है - आपकी खोज - \ ?? \ - किसी भी दस्तावेज़ से मेल नहीं खाती। वैसे भी मैं WinObj उपयोगिता की जांच कर सकता हूं और देखता हूं कि क्या कोई मदद करता है।

सी के रूप में? \ प्रविष्टियाँ मैंने उन लोगों को भी पाया है और मैन्युअल रूप से उन्हें सी: \ _ में बदल दिया है, लेकिन पोस्ट के लिए धन्यवाद जो ऑफर करता है वह एक अधिक प्रभावशाली समाधान प्रतीत होगा - एक्सपी में काम करने की उम्मीद है।

चीयर्स एंड थैंक्स अगेन। तलाश जारी है।