Здравствуйте, форумчане!
Работаю на компьютере с установленной на нем системой Windows 7.
Сегодня возникло подозрение на заражение системы руткитом (возможно, что ложное, а возможно, и нет) и решил немножко ее проверить антивирусами.
Попробовал запустить 2 антивирусные программы: Rootkit Revealer из набора Sysinternals от М. Руссиновича и AVZ (антивирус Зайцева). Обе программы запустить толком не удалось. Rootkit Revealer при запуске вылетел с ошибкой, а AVZ, как удалось выяснить из ее лога, не смогла загрузить в ядро драйверы, которые как раз и выявляют руткиты и перехватчики — попытка загрузки драйверов закончилась ошибкой и самую интересную для меня часть проверки AVZ выполнить не смогла. Вот фрагмент лога:
Код
1.2 Поиск перехватчиков API, работающих в KernelMode Ошибка загрузки драйвера - проверка прервана [C000036B] 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Ошибка загрузки драйвера - проверка прервана [C000036B]
При попытке включить режим AVZ Guard также выдается ошибка:
Код
Ошибка AVZ Guard: C000036B
Т. е., как я понял, AVZ не может загрузить ни одного драйвера в ядро.
С чем связано такое поведение обеих программ? Вообще-то Rootkit Revealer — программа довольно старая, я посмотрел, она в последний раз обновлялась в 2006 году. Я подумал, может быть причина именно в этом, просто она не совместима с Windows 7, т. к. не обновлялась для работы с этой системой? Или же программа несмотря на возраст вполне работоспособна в семерке и проблема в чем-то другом?
Тот же вопрос по поводу AVZ. Это какая-то несовместимость этой утилиты с Windows 7, или же проблема в настройках Windows, допустим, система настроена так, что AVZ не хватает прав доступа для запуска нужных драйверов?
Или, у меня уже и такая мысль возникла, невозможность нормально запустить обе утилиты, может, это признак заражения ядра руткитом: руткит распознает обе программы при их попытке внедрить драйверы в ядро и не позволяет им это сделать?
Помогите, пожалуйста, разобраться с проблемой.
Содержание
- 1 Не удалось загрузить драйвер этого устройства. Возможно, драйвер поврежден или отсутствует. (Код 39)
- 2 Не удалось инициализировать драйвер этого устройства Код 37 что делать
- 2.1 Причины появления
- 2.2 Исправление ошибки (Код 37)
- 3 Не удалось загрузить драйвер этого устройства. Возможно, драйвер поврежден или отсутствует (Код 39)
- 3.1 Установка драйвера устройства
- 3.2 Исправление ошибки 39 с помощью редактора реестра
- 3.3 Дополнительная информация
Не удалось загрузить драйвер этого устройства. Возможно, драйвер поврежден или отсутствует. (Код 39)
Сейчас хочу поставить точку в решении проблемы когда у Вас на компьютере или ноутбуке не работают ни одни usb устройства, Cd-rom, мышки и клавиатуры (usb), а в диспетчере устройств они помечены желтым восклицательным знаком и ошибкой «Не удалось загрузить драйвер этого устройства.
Возможно, драйвер поврежден или отсутствует. (Код 39)» .
C этой проблемой пришлось повозить добрых 4 часа потрепал много нервов, убил раза 3 систему и приходилось пользоваться же своими инструкциями по восстановлению загрузчика в windows , но Вам не стоит бояться, потому как сюда я опишу уже четкую инструкцию что нужно делать!
Самое первое что я все таки советую сделать, это сделать бекап!
Я делаю всегда мини бекап т.е. — создаю контрольную точку системы , что бы если что, можно было откатить систему до момента экспериментов
Источник: https://www.nibbl.ru/windows/draiver-povrezhden-ili-otsutstvuet-kod-39.html
Не удалось инициализировать драйвер этого устройства Код 37 что делать
Сегодня мы поговорим о проблеме с распознаванием подключаемых устройств на ПК — ошибкой «Не удалось инициализировать драйвер этого устройства (код 37)». Вы узнаете отчего она возникает, а также какими способами можно её решить.
Проблема «Код 37» может возникать при подключении к PC различных модулей, консолей (Xbox One), контроллеров, токенов, МФУ, USB-накопителей, веб-камер и микрофонов, телефонов (iPhone, Андроид) и т.д.
Это весьма распространенная ошибка, встречающиеся в версиях операционных систем от Windows 7. Как ни странно, она может ввести в заблуждение неопытного пользователя, заставив его сразу же бежать в сервисный центр и думать что проблема конкретно с девайсом.
Ниже мы расскажем отчего возникает ошибка и что делать для её решения.
Ошибка (Код 37) при инициализации USB устройств
Причины появления
- Некорректная установка драйвера устройства на компьютере. Драйвера могут устареть или повредиться — это очень распространенная проблема.
- Повреждения реестровой структуры Виндовс, вызванные установкой программных средств влияющих на работу системы, например обновлений.
- Вредоносные утилиты либо вирусы, повредившие системные файлы операционной системы или драйвера.
- Конфликт установленных драйверов после инициализации оборудования. От себя хочу добавить, что у меня была такая проблема на ноутбуке – решил обновить до Виндовс 10 и произошел конфликт между родными драйверами и ПО от Майкрософт. Решил данную проблему так – ставил только ПО от Майкрософт, так как они более оптимизированы для работы в системе.
- Проблемы, возникшее из-за реальных неисправностей подключаемого оборудования.
Ошибки такого рода могут быть связаны с различными факторами, нужно устранить их всех. Ну что же, теперь перейдем к самому главному – устранению ошибки 37.
Исправление ошибки (Код 37)
Дальше мы даем общие советы по решению проблемы «Не удалось инициализировать драйвер этого устройства (Код 37)».
- Следует сразу упомянуть про стандартную перезагрузкуПК и переподключение устройства, так как может оказаться что это единичный сбой;
- Первая причина — конфликт драйверов. При многих подключениях они устанавливаются автоматически (например, при подключении мобильных девайсов, флешек). Выполните обновление конфигурации драйвера на примере этого видео (подключения Андроида или iOS через USB-кабель). Интерфейс английский, но, я думаю, вас это не собьет с толку.
- Проверьте что бы на компьютере вообще присутствовали драйвера подключаемого устройства, если их нет, то установите дрова для необходимого устройства. Например, для МФУ устройств в комплекте идет диск со всем необходимым софтом и драйверами.
- Проверьте что бы разрядность необходимых драйверов совпадала с разрядностью системы.
- Примените установку (или откат до) рекомендованных обновлений Windows 7 — 2685813 и 2685811. Скачать их можно на официальном сайте Microsoft. Многие отмечают, что данный сбой в них не наблюдается.
- Сканирование ПК на вирусы или другое «плохое» ПО. Скачиваем любой проверенный антивирус и запускаем сканирование. В добавок проведите сканирование adware-сканером AdwCleaner.
- Очистка системы от мусорных файлов — можно воспользоваться любой программой для чистки системы (CCleaner, например).
- Проверяем оперативную и постоянную память стандартными утилитами Windows 7/8/10. Заходим в меню Мой ПК, правой кнопкой мыши на любой диск, затем Свойства и выполняем дефрагментацию и проверку на ошибки (в командной строке введите sfc/scannow).
Отдельно стоит сказать про восстановление реестровых записей. Если вы решили редактировать записи реестра вручную, то будьте осторожными – можете удалить что-то не то, а это в свою очередь может повлиять на общую работоспособность всей системы. Поэтому рекомендуется применить программы типа WinThruster (приложение платное, однако в сети есть данные по обходу).
Стоит понимать, что если все сделать правильно, к последнему методу Данные методы позволят убрать проблему с ошибкой при инициализации драйвера устройства (Код 37).
- Алексей
- Распечатать
Источник: https://dadaviz.ru/ne-udalos-inicializirovat-drayver-etogo-ustroystva-kod-37-chto-delat/
Не удалось загрузить драйвер этого устройства. Возможно, драйвер поврежден или отсутствует (Код 39)
14.03.2017 windows | для начинающих
Одна из ошибок в диспетчере устройств Windows 10, 8 и Windows 7, с которой может столкнуться пользователь — желтый восклицательный знак около устройства (USB, видеокарта, сетевая карта, DVD-RW привод и др.) — сообщение об ошибке с кодом 39 и текстом: Windows не удалось загрузить драйвер этого устройства, возможно, драйвер поврежден или отсутствует.
В этой инструкции — пошагово о возможных способах исправить ошибку 39 и установить драйвер устройства на компьютере или ноутбуке.
Установка драйвера устройства
Предполагаю, что установка драйверов различными способами уже опробована, но, если нет, то начать лучше с этого шага, особенно если всё, что вы делали для установки драйверов — использовали диспетчер устройств (то, что диспетчер устройств Windows сообщает о том, что драйвер не нуждается в обновлении не говорит о том, что это действительно так).
Прежде всего попробуйте загрузить оригинальные драйверы чипсета и проблемных устройств с сайта производителя ноутбука или сайта производителя материнской платы (если у вас ПК) именно для вашей модели.
Особое внимание обратите на драйверы:
- Чипсета и другие системные драйверы
- При наличии — драйверы для USB
- Если проблема с сетевой картой или интегрированным видео — загрузите оригинальные драйвера для них (опять же с сайта производителя устройства, а не, скажем, с Realtek или Intel).
В случае, если на вашем компьютере или ноутбуке установлена Windows 10, а драйверы есть только для Windows 7 или 8, попробуйте установить их, при необходимости используйте режим совместимости.
В том случае, если не удается узнать, для какого устройства Windows отображает ошибку с кодом 39, вы можете узнать это по ИД оборудования, подробнее — Как установить драйвер неизвестного устройства.
Исправление ошибки 39 с помощью редактора реестра
Если ошибку «Не удалось загрузить драйвер этого устройства» с кодом 39 не получается устранить простой установкой оригинальных драйверов Windows, можно попробовать следующий способ решения проблемы, который часто оказывается работоспособным.
Сначала краткая справка по разделам реестра, которые могут потребоваться при восстановлении работоспособности устройств, которая пригодится при выполнении далее описанных шагов.
- Устройства и контроллеры USB — HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Class {36FC9E60-C465-11CF-8056-444553540000}
- карта — HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Class {4D36E968-E325-11CE-BFC1-08002BE10318}
- DVD или CD привод (включая DVD-RW, CD-RW) — HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Class {4D36E965-E325-11CE-BFC1-08002BE10318}
- Сетевая карта (Ethernet Controller) — HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Class {4d36e972-e325-11ce-bfc1-08002be10318}
Сами шаги по исправлению ошибки будут состоять из следующих действий:
- Запустите редактор реестра Windows 10, 8 или Windows 7. Для этого можно нажать клавиши Win+R на клавиатуре и ввести regedit (а затем нажать Enter).
- В редакторе реестра, в зависимости от того, какое устройство отображает код 39, перейдите к одному из разделов (папки слева), которые были указаны выше.
- Если в правой части редактора реестра присутствуют параметры с именами UpperFilters и LowerFilters, нажмите по каждому из них правой кнопкой мыши и выберите пункт «Удалить».
- Закройте редактор реестра.
- Перезагрузите компьютер или ноутбук.
После перезагрузки драйверы либо установятся автоматически, либо появится возможность установить их вручную, не получив сообщения об ошибке.
Дополнительная информация
Редко встречающийся, но возможный вариант причины возникновения проблемы — сторонний антивирус, особенно если он был установлен на компьютере перед крупным обновлением системы (после которого впервые проявилась ошибка). Если ситуация возникла именно при таком сценарии, попробуйте временно отключить (а еще лучше удалить) антивирус и проверить, была ли решена проблема.
Также для некоторых старых устройств или если «Код 39» вызывают виртуальные программные устройства, может потребоваться отключение проверки цифровой подписи драйверов.
А вдруг и это будет интересно:
Источник: https://remontka.pro/code-39-error-driver-windows/
- Partition Wizard
- Partition Manager
- How to Solve Video or Music Error 0xc00d36b4 on Windows 10?
By Sherry | Follow |
Last Updated February 01, 2021
Error 0xc00d36b4 is an error code that you might receive while you are trying to play a music or video file in Windows 10. In this post, MiniTool Partition Wizard puts together some solutions to the annoying issue for you.
In daily work or entertainment, a huge number of users play a lot of video or music files on a PC. However, some of them report that they get an error 0xc00d36b4 sometimes when they open a media file. The error code usually comes with a message similar to “Can’t play. This item is in a format we don’t support. Please choose something else.
As you might encounter, the error 0xc00d36b4 could happen on various media apps, such as Windows Media Player, Groove, Xbox, etc. How to fix 0xc00d36b4 error? Here are some possible solutions.
If the format of your music or video file is not supported by the media app you are using, you would fail to open the file and receive error 0xc00d36b4. As the default media player on Windows 10, Windows Media Player supports various file formats, such as MP3, AAC, FLAC, WAV, WMA, 3GP, and so on. Similarly, Groove Music also supports formats like M4A, AC3, and AMR in addition to the above formats.
Therefore, when you get 0xc00d36b4 error, you should visit the support page of your media app and check its supported media formats. If the format of your file is not supported by this app, you can use a converter to change its format or try another media player.
Recommended article: The Top 8 Must-have Anything to MP3 Converters.
Some Windows Media Player users have fixed the 0xc00d36b4 error by turning off the Copy Protection feature. You can also have a try by following the steps below.
Step 1: Press Win + S to open the Windows Search utility. Then search for Windows Media Player and open it.
Step 2: When you get the main interface of this app, click Organize > Options.
Step 3: Select the Rip Music tab and uncheck the option Copy Protect Music under the Rip settings section.
Tip: If the option is unavailable on your PC, you should move on to the next solution.
Step 4: Click Apply and OK to save the changed settings.
Then you can close Windows Media Player and try to play the problematic file again.
Another way to solve the video or music error 0xc00d36b4 is to reinstall Windows Media Player. Here are the detailed steps.
Step 1: Open Control Panel.
Step 2: Select View by: Category and click Uninstall a program.
Step 3: When you get the window for installed programs and features, select Turn Windows Features on or off.
Step 4: In the pop-up window, scroll down and expand the Media Features. Then uncheck the feature Windows Media Player. In the pop-up window, click Yes to confirm the operation.
Step 5: Click OK to save the changes.
Step 6: Restart your PC and turn on the Windows Media Player feature in Control Panel.
Restart your PC again and then you can check if the error 0xc00d36b4 has been fixed.
This error could also be caused by missing codecs on the player. In this case, you need to find and download the missing codec packs. If you have installed any codec application such as K-Lite and Nero, you might need to reinstall it.
About The Author
Position: Columnist
Sherry has been a staff editor of MiniTool for a year. She has received rigorous training about computer and digital data in company. Her articles focus on solutions to various problems that many Windows users might encounter and she is excellent at disk partitioning.
She has a wide range of hobbies, including listening to music, playing video games, roller skating, reading, and so on. By the way, she is patient and serious.
- Partition Wizard
- Partition Manager
- How to Solve Video or Music Error 0xc00d36b4 on Windows 10?
By Sherry | Follow |
Last Updated February 01, 2021
Error 0xc00d36b4 is an error code that you might receive while you are trying to play a music or video file in Windows 10. In this post, MiniTool Partition Wizard puts together some solutions to the annoying issue for you.
In daily work or entertainment, a huge number of users play a lot of video or music files on a PC. However, some of them report that they get an error 0xc00d36b4 sometimes when they open a media file. The error code usually comes with a message similar to “Can’t play. This item is in a format we don’t support. Please choose something else.
As you might encounter, the error 0xc00d36b4 could happen on various media apps, such as Windows Media Player, Groove, Xbox, etc. How to fix 0xc00d36b4 error? Here are some possible solutions.
If the format of your music or video file is not supported by the media app you are using, you would fail to open the file and receive error 0xc00d36b4. As the default media player on Windows 10, Windows Media Player supports various file formats, such as MP3, AAC, FLAC, WAV, WMA, 3GP, and so on. Similarly, Groove Music also supports formats like M4A, AC3, and AMR in addition to the above formats.
Therefore, when you get 0xc00d36b4 error, you should visit the support page of your media app and check its supported media formats. If the format of your file is not supported by this app, you can use a converter to change its format or try another media player.
Recommended article: The Top 8 Must-have Anything to MP3 Converters.
Some Windows Media Player users have fixed the 0xc00d36b4 error by turning off the Copy Protection feature. You can also have a try by following the steps below.
Step 1: Press Win + S to open the Windows Search utility. Then search for Windows Media Player and open it.
Step 2: When you get the main interface of this app, click Organize > Options.
Step 3: Select the Rip Music tab and uncheck the option Copy Protect Music under the Rip settings section.
Tip: If the option is unavailable on your PC, you should move on to the next solution.
Step 4: Click Apply and OK to save the changed settings.
Then you can close Windows Media Player and try to play the problematic file again.
Another way to solve the video or music error 0xc00d36b4 is to reinstall Windows Media Player. Here are the detailed steps.
Step 1: Open Control Panel.
Step 2: Select View by: Category and click Uninstall a program.
Step 3: When you get the window for installed programs and features, select Turn Windows Features on or off.
Step 4: In the pop-up window, scroll down and expand the Media Features. Then uncheck the feature Windows Media Player. In the pop-up window, click Yes to confirm the operation.
Step 5: Click OK to save the changes.
Step 6: Restart your PC and turn on the Windows Media Player feature in Control Panel.
Restart your PC again and then you can check if the error 0xc00d36b4 has been fixed.
This error could also be caused by missing codecs on the player. In this case, you need to find and download the missing codec packs. If you have installed any codec application such as K-Lite and Nero, you might need to reinstall it.
About The Author
Position: Columnist
Sherry has been a staff editor of MiniTool for a year. She has received rigorous training about computer and digital data in company. Her articles focus on solutions to various problems that many Windows users might encounter and she is excellent at disk partitioning.
She has a wide range of hobbies, including listening to music, playing video games, roller skating, reading, and so on. By the way, she is patient and serious.
При попытке воспроизвести некоторые форматы видео, в том числе MKV, или переименовать/внести изменение в сведения о файлах MP3 или MP4 можно столкнуться с ошибкой 0xc00d36cb. Иногда проблема возникает только с несколькими видео, в других случаях не воспроизводятся все файлы формата MKV. Эту ошибку чаще наблюдают пользователи Windows 10.
Чем вызвано сообщение об ошибке 0xc00d36cb?
Ошибка «Не удалось воспроизвести» с кодом 0xc00d36cb при запуске видео может возникнуть по ряду причин:
Сбой в работе функции. Одной из самых распространенных причин, из-за которой происходит эта ошибка, является сбой, препятствующий запуску функции воспроизведения видео. Проблему можно решить путем запуска средства устранения неполадок.
Повреждение компонентов магазина Windows. Воспроизведение файлов MKV имеет зависимости с магазином. В случае его неполадок возникают ошибки при воспроизведении видео в Windows. Для исправления сбросьте настройки магазина с помощью командной строки.
Нет разрешений на файл. Если столкнулись с ошибкой при попытке переименовать или изменить файл, то в учетной записи пользователя, под которой вошли в систему нет необходимых разрешений. Установите владельца файла на «Все», чтобы пользователи могли его изменить.
Поврежден профиль пользователя. Если начали сталкиваться с ошибкой после проверки системы антивирусом, когда некоторые элементы были помещены в карантин, то, скорее всего, профиль пользователя был поврежден. В этом случае нужно создать новый профиль.
Что за ошибка, почему возникает?
Код 0xc00d36c4 — это ошибка медиапроигрывателя, которая свидетельствует о невозможности воспроизведения файла. Проблема распространяется на плееры Windows Media Player, Groove Music, и чаще встречается на компьютерах с операционной системой Windows 10.
Важно! Не имеет значения, где хранится аудио или видеофайл. Это может быть как внутренний, так и внешний накопитель.
При запуске файла отображается небольшое окно с надписью «не удалось воспроизвести». Система уведомляет, что проблема, вероятно, связана с расширением файла или его структурой. Можно отправить информацию об ошибке или сразу закрыть уведомление.
Прежде чем перейти к более сложным решениям попробуйте исправить ошибку встроенным инструментом Windows 10. Причина, при которой сталкиваетесь с 0xc00d36cb, скорее произошла из-за какого-то сбоя или поврежденного компонента, препятствующему нормальному воспроизведению видео. Windows 10 достаточно хорошо выявляет и исправляет более распространенные причины, которые препятствуют воспроизведению видео. Поэтому сначала запустите средство устранения неполадок воспроизведения видео, чтобы автоматически определить соответствующее исправление.
Перейдите на вкладку Устранения неполадок командой ms-settings:troubleshoot, запущенной из окна «Выполнить» (Win + R).
В правой части окна прокрутите вниз до раздела Диагностика и устранение неполадок. Кликните на «Воспроизведение видео» и нажмите на кнопку «Запустить средство устранения неполадок».
Дождитесь завершения начального сканирования. Эта процедура определит, применимы ли какие-либо способы восстановления, включенные в утилиту. Если вариант восстановления найден, кликните на «Применить это исправление».
Перезагрузите компьютер, чтобы применить изменения. Попробуйте повторить то действие, при котором столкнулись с неполадкой 0xc00d36cb и посмотрите, устранена ли проблема.
Сброс кэша Магазина Windows
Воспроизведение формата MKV маршрутизируется через компонент Магазина Windows, поэтому любой вид повреждения может нести последствия за воспроизведения определенных видео файлов. В некоторых случаях ошибка возникает после запуска проверки антивирусом, которая закончилась помещением на карантин некоторых компонентов, необходимых для работы магазина. Для ее решения нужно сбросить настройки магазина вместе со всеми связанными компонентами.
Когда дело доходит до сброса магазина Windows, есть два варианта это сделать. Можно воспользоваться командной строкой или графическим интерфейсом из приложения Параметры.
Хотя первый вариант быстрее, он включает выполнение операций из консоли cmd, что может запутать некоторых пользователей. Поэтому если не уверены в своих технических способностях, советуем перейти ко второму варианту.
Сброс кэша с помощью командной строки
Откройте строку системного поиска, наберите команду cmd и под найденным результатом нажмите на кнопку запуска от имени администратора.
В консоли выполните следующую команду, чтобы сбросить кэш магазина со всеми зависимостями:
wsreset.exe
После успешной обработки перезапустите компьютер и проверьте, удалось ли исправить 0xc00d36cb при проигрывании видео.
Как сбросить кэш из приложения Параметры
Откройте вкладку «Приложения и возможности» командой ms-settings:appsfeatures, запущенной из окна «Выполнить» (Win + R).
Прокрутите вниз список установленных приложений универсальной платформы Windows (UWP) и найдите запись Microsoft Store. Кликните на ссылку Дополнительные параметры.
Нажмите на кнопку «Сброс», затем еще раз, чтобы подтвердить и начать очистку кэша.
Подождите, пока процесс будет завершен, затем перезагрузите компьютер. Если продолжаете сталкиваться с кодом ошибки 0xc00d36cb при выполнении того же действия, перейдите к следующему шагу.
Как исправить ошибку?
Исправить ошибку при проигрывании 0xc00d36c4 можно несколькими способами. Для их выполнения понадобятся стандартные инструменты Windows или сторонние приложения.
Отключение защиты от копирования
Когда при запуске аудио-, видеофайла mp4, avi, mp3 и других возникает ошибка 0xc00d36c4, рекомендуется произвести отключение защиты от копирования. С данной опцией Windows Media Player не способен совершить автозапуск.
Инструкция:
- Войти в программу Windows Media Player.
- Перейти в Параметры.
- Пункт Копирование музыки.
- Снять галочки.
- Пересоздание файла.
- Повторный запуск плеера.
После отключения защиты Windows Media Player (WMP) не способен открыть первоначальный аудио или видеофайл. Повторное копирование музыки или фильма позволяет WMP завершить перезагрузку и воспроизвести новый файл.
Устанавливаем отсутствующие кодеки
Отсутствие кодеков на компьютере может привести к ошибке 0xc00d36c4. В интернете необходимо скачать любой доступный набор кодеков, например K-Lite Codec Pack. Необходимо скачать кодеки и произвести их распаковку. Процесс займет примерно 3 минуты. Надо перезагрузить компьютер, чтобы кодеки включились в работу.
Не скачиваются приложения в Windows 10
Перемещаем файл на компьютер
В случае с внешним носителем ошибка воспроизведения не является редкой. Перенос файла на жесткий диск компьютера часто решает проблему. Необходимо скопировать музыку или фильм с флешки, и вставить, к примеру, на рабочий стол.
Используем VLC Media Player
Чтобы не искать недостающие кодеки, рекомендуется воспользоваться плеером VLC Media Player. Он способен открывать распространенные форматы аудио, видео. На официальном сайте отображается информация о проигрывателе. Рядом с кнопкой «загрузить» выпадают распространенные операционные системы:
- iOS;
- Linux;
- Windows;
- Windows Phone;
- Android.
Необходимо выбрать кнопку «загрузить», дождаться сохранения инсталлятора. Далее запускается файл, надо дождаться распаковки.
Сброс кэша магазина Windows 10
Сбросив кэш магазина, легко устранить ошибку 0xc00d36c4, которая может сопровождаться сообщением «элемент закодирован в неподдерживаемом формате».
План действий:
- Меню Пуск.
- В поиске вводим «Выполнить» или нажимаем Win+R.
- Вводим CMD и нажимаем Enter для запуска командной строки.
- Вводим команду WSReset.exe.
- Нажимаем Enter.
Изменение владельца файла
Ошибка воспроизведения аудио-, видеофайла 0xc00d36c4 в Windows 10 иногда возникает из-за ограниченного доступа к нему.
Пошаговая инструкция:
- Выбор файла.
- Вызов контекстного меню правой кнопкой мыши.
- Переход в Свойства.
- Вкладка «Безопасность», затем «Дополнительно» для настройки доступа.
- Вкладка «Владелец».
- Кнопка «Изменить» и добавление нового владельца, нажав «Другие пользователи и группы». Для этого используется поиск.
- Сохранение изменений.
Создание нового профиля
Когда на компьютере есть несколько учетных записей, создание нового пользователя позволяет устранить ошибку 0xc00d36c4 с сообщением «не удается воспроизвести медиафайл».
План действий:
- Переход в Пуск.
- Параметры.
- Вкладка «семья, другие пользователи».
- Родительский контроль.
- Добавить пользователя.
Что делать, если тормозит или лагает видео на YouTube
При создании нового профиля в операционной системе Windows запрашивается способ входа человека в систему. В окне предлагается ввести электронную почту или номер телефона. Если добавление учетной записи не предполагает использования сети и интернета, необходимо выбрать пункт «у меня нет данных» и нажать кнопку «далее». В новом окне отображаются поля:
- фамилия;
- имя;
- почтовый ящик;
- пароль;
- страна.
В нижней области экрана необходимо выбрать строку «добавить пользователя без учетной записи». Если создаётся обычный профиль, а не администратор, стоит нажать кнопку «далее». В противном случае система запрашивает данные об имени пользователя, пароле, а также подсказке.
Изменение владельца файла
Если столкнулись с ошибкой 0xc00d36cb при попытке изменить некоторые детали файла mp3 или mp4, скорее всего, можно решить проблему путем изменением владельца.
Кликните правой кнопкой мыши на файле, который вызывает проблему, и выберите свойства. Перейдите на вкладку Безопасность в верхнем меню и кликните на кнопку Дополнительно в разделе Разрешений.
Когда находитесь в дополнительных настройках безопасности, в позиции владельца щелкните на «Изменить».
В поле «Введите имена выбираемых объектов» впишите «Все». Затем нажмите «Проверить имена», чтобы проверить новое владение.
Нажмите на «ОК» для сохранения изменений, а затем «Применить», чтобы сохранить нового владельца.
Закройте ранее открытые окна, затем попробуйте внести те изменения, которые вызывали ошибку 0xc00d36cb, и посмотрите, остается ли проблема.
Здравствуйте, форумчане!
Работаю на компьютере с установленной на нем системой Windows 7.
Сегодня возникло подозрение на заражение системы руткитом (возможно, что ложное, а возможно, и нет) и решил немножко ее проверить антивирусами.
Попробовал запустить 2 антивирусные программы: Rootkit Revealer из набора Sysinternals от М. Руссиновича и AVZ (антивирус Зайцева). Обе программы запустить толком не удалось. Rootkit Revealer при запуске вылетел с ошибкой, а AVZ, как удалось выяснить из ее лога, не смогла загрузить в ядро драйверы, которые как раз и выявляют руткиты и перехватчики — попытка загрузки драйверов закончилась ошибкой и самую интересную для меня часть проверки AVZ выполнить не смогла. Вот фрагмент лога:
Код
1.2 Поиск перехватчиков API, работающих в KernelMode Ошибка загрузки драйвера - проверка прервана [C000036B] 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Ошибка загрузки драйвера - проверка прервана [C000036B]
При попытке включить режим AVZ Guard также выдается ошибка:
Код
Ошибка AVZ Guard: C000036B
Т. е., как я понял, AVZ не может загрузить ни одного драйвера в ядро.
С чем связано такое поведение обеих программ? Вообще-то Rootkit Revealer — программа довольно старая, я посмотрел, она в последний раз обновлялась в 2006 году. Я подумал, может быть причина именно в этом, просто она не совместима с Windows 7, т. к. не обновлялась для работы с этой системой? Или же программа несмотря на возраст вполне работоспособна в семерке и проблема в чем-то другом?
Тот же вопрос по поводу AVZ. Это какая-то несовместимость этой утилиты с Windows 7, или же проблема в настройках Windows, допустим, система настроена так, что AVZ не хватает прав доступа для запуска нужных драйверов?
Или, у меня уже и такая мысль возникла, невозможность нормально запустить обе утилиты, может, это признак заражения ядра руткитом: руткит распознает обе программы при их попытке внедрить драйверы в ядро и не позволяет им это сделать?
Помогите, пожалуйста, разобраться с проблемой.
- Первое сообщение
-
#1
Антивирусная утилита AVZ является инструментом для исследования и восстановления системы, и предназначена для автоматического или ручного поиска и удаления:
- Разнообразных шпионских и рекламных приложений (SpyWare и AdvWare). Это одно из основных назначений утилиты;
- Клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем;
- Майнеров криптовалюты;
- Руткитов и вредоносных программ, маскирующих свои процессы.
- Сетевых и почтовых червей;
- Троянских программ (включая все их разновидности, в частности Trojan-PSW, Trojan-Downloader, Trojan-Spy) и Backdoor (программ для скрытного удаленного управления компьютером);
- Программ двойственного назначения, например — утилит удаленного управления компьютером. Для данных утилит следует учитывать, что они могут опознаваться как безопасные и помечаться зеленым цветом в таблицах и отчетах.
Изначально утилита являлась прямым аналогом программ типа Trojan Hunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление AdWare, SpyWare и троянских программ.
Сразу следует отметить, что программы категорий SpyWare, AdWare по определению не являются вирусами или троянскими программами. Они шпионят за пользователем, собирая и отправляя определенную статистику, а также загружают информацию и программный код на пораженный компьютер, причем в основном из маркетинговых соображений (т.е. передаваемая информация не содержит критических данных – паролей, номеров кредитных карт и т.п., а загружаемая информация является рекламой или обновлениями). Однако очень часто грань между SpyWare и троянской программой достаточно условна и точная классификация затруднительна.
Актуальные ссылки:
Справка:
http://z-oleg.com/secur/avz_doc/
AVZ 4:
https://z-oleg.com/avz4.zip
Архив с базами (обновляется ежедневно)
AVZ 5:
Архив с базами (обновляется ежедневно)
Полиморфная версия, для сложных случаев (обновляется с запозданием)
Полноценная версия с обновляемыми базами
AutoLogger [regist & Drongo] — в составе находится актуальная версия AVZ.
Последнее редактирование модератором: 10 Май 2021
-
#61
Последнее редактирование модератором: 23 Фев 2014
-
#62
Вышла новая версия антивирусной утилиты AVZ — 4.43. Архив с утилитой содержит базу вирусов от 23.12.2014 — 297614 сигнатур, 2 нейропрофиля, 56 микропрограмм лечения, 405 микропрограммы эвристики, 9 микропрограмм ИПУ, 236 микропрограммы поиска и устранения проблем, 649446 подписей безопасных файлов.
Основные модификации:
[++] Новый функционал — диагностика сети для выявления проблем, создаваемых вредоносными программами (диагностические операции находятся в обновляемой БД)
[++] Добавлена эвристика для обнаружения вредоносных заданий планировщика
[++] Редактор скриптов — подсветка синтаксиса, всплывающее меню редактора и поддержка типовых горячих клавиш
[++] Фильтр в менеджере автозапуска (отображение всех или только неопознанных по БД чистых)
[++] Окно редактирования и выполнения скрипта : добавлена подсветка синтаксиса, выделение цветом специфических команд скрипт-языка AVZ, отображение строки и столбца курсора, поддерживаются стандартные клавиатурные сочетания типа Ctrl+A)
[+] Вывод MD5 по процессам в HTML отчет
[+] Вывод полного названия версии ОС в протокол и XML
[+] Доработана стратегия карантина (повышение качества карантина на x64, улучшен парсер)
[+] В просмотре карантина добавлено отображения сведений по выделенным файлам (количество и суммарный размер)
[+/-] Работа параметра spoollog изменена (если не указан полный путь, то он отсчитывается от каталога AVZ)
[+/-] В XML версия файлов выведена в формате x.x.x.x
[+/-] В описании задания планировщика в XML выведены все поля (ранее часть была доступна только в HTML логе, новые поля JobName, Status и FullCmd)
[+/-] XML: добавлено экранирование символов 0x00 (NUL), такие символы заменяются на пробелы для устранения проблем с парсерами протоколов
[-] Исправлена ошибка парсера имени файла в автозапуске и диспетчере процессов (было доступно в 4.41 через обновление баз)
[-] XML: Исправлена ошибка с дублирование имени параметра в XML, из за чего лог не проходил верификацию парсеров XML
[-] XML: Исправлена ошибка с отсутствием пробелов между параметрами в XML, из за чего лог не проходил верификацию парсеров XML
[-] Исправлена ошибка с локализацией MessageDlg (в английской локализации были русские надписи на кнопках)
Страница загрузки на обычном месте: http://www.z-oleg.com/secur/avz/download.php
-
#63
В AVZ появился новый девятый стандартный скрипт.
Zaitsev Oleg написал(а):
Поясняю — скрипт этот в обычной жизни не нужен, и ничем не отличается от скрипта 7, кроме одной особенности — собираемые логи не фильтруются по БД чистых. Сделано это по запросу экспертов техподдержки ЛК, для решения следующих задач:
1. может оказаться, что AVZ считает злобный код чистым (примеры известны — всякие хитрые вариации использования системных утилит, которые запускаются с некими хитрыми параметрами, запуск браузеров с хитрой командной строкой …).
2. решение проблем, вызванным легитимным ПО. Т.е. нечто легитимное конфликтует с антивирусом, но мы не видим его в логе, так как оно легитимное и игнорируется.
3. поиск и уничтожение условно-безопасного ПО. Например, пользователю досаждает некий тулбар, который в общем-то легитимен и самим пользователем и установлен (как правило «прицепом» с некоей программой ввиду невнимательности в плане снятия неприметных «птичек»). Такой тулбар не вирус и не малварь, детектировать его нельзя, но проблему решать нужно.Лог получается внушительный по размеру, но зато отражает всю полноту данных о системе
-
#64
авот ето вот что такое?
Ошибка — не найден файл (C:SystemRootsystem32xNtKrnl.exe)]],
Ошибка загрузки драйвера — проверка прервана [C000036B]
При выполнении стандартных скриптов 1 или 3
ав отключено
Последнее редактирование: 26 Июн 2014
-
#65
Ошибка - не найден файл (C:SystemRootsystem32ntoskrnl.exe)
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]Во первых не оригинальное ядро, во вторых система х64. (Ошибка AVZ Guard: C000036B — драйвера не устанавливаются на перехват)
begin
if IsWOW64 then
AddToLog('WOW64 = true')
else
AddToLog('WOW64 = false');
end.Последнее редактирование: 26 Июн 2014
-
#66
Sergei, из справки AVZ:
Антивирусная утилита AVZ не выдвигает особых системных требований — ее работоспособность проверена на сотнях компьютеров с операционной системой W9x, Windows NT, 2000 Professional и Server, XP Home Edition и XP Professional (SP1, SP2, SP3), Windows 2003 (SP1), Windows Vista (SP1, SP2), Windows 7. Технологии AVZPM, AVZGuard, BootCleaner не поддерживаются в Win 9x и в 64-bit версиях операционных систем XP/Vista/Win7.
-
#67
Vot. Teper ja spokojen. Vsem spasibo
-
#68
Как то он забросил свой авз. Ничего нового не появляется.
-
#69
Базы обновляются, в остальном да.
-
#70
Ничего нового не появляется.
Периодически появляется и обкатывается на версии полиморфа.
Последнее редактирование модератором: 22 Сен 2014
-
#71
Как то он забросил свой авз. Ничего нового не появляется.
Разработчик отвечает на вопросы, но правда на других форумах. Здесь его кажется нет.
-
#72
Разработчик отвечает на вопросы, но правда на других форумах.
но по большей части он игнорирует. Последние несколько месяцев все вопросы (кроме одного) которые ему задавались остались без внимания. Также как и сообщения о багах.
-
#73
все вопросы (кроме одного)
Проинформируйте пож-та, что было в тот одном вопросе и сам ответ, если не трудно.
-
#75
Еще один серьезный баг AVZ. Вредоносный скрипт, который меняет ярлыки у браузеров попал в базу безопасных файлов. 
-
#76
Еще один серьезный баг AVZ. Вредоносный скрипт, который меняет ярлыки у браузеров попал в базу безопасных файлов.
только небольшая поправка, этот скрипт ярлыки браузеров не меняет, а всего лишь принудительно загружает в браузеры расширение Site Navigation 1.0 или аналогичное.
-
#78
shestale, ему отписался намного раньше чем здесь. И уже и на форуме ЛК продублировал.
-
#79
Еще один серьезный баг AVZ. Вредоносный скрипт, который меняет ярлыки у браузеров попал в базу безопасных файлов.
Раз и здесь об этом написали, то продублирую сюда ответ Олега, чтобы не пугать пользователей
Zaitsev Oleg написал(а):
Какой же вредоносный ?! См. лог — Size=»0″
-
#80
добавлена операция восстановления системы №22 — она удаляет все Proxy, как из настроек IE, так и из
HKEY_LOCAL_MACHINESYSTEMControlSet001servicesNlaSvcParametersInternetManualProxiesАнтивирус отключали перед включением AVZGuard?
Каким антивирусом пользуетесь?Если KIS,то AVZ стоит в группе «Доверенные» в Контроле программ?
как видно на скриншоте AVZ входит в доверенные , Антивирус установлен KIS 2011, пробовал отключать и такая же песня , AVZGuard не включается
как видно на скриншоте AVZ входит в доверенные , Антивирус установлен KIS 2011, пробовал отключать и такая же песня , AVZGuard не включается
Бывают случаи, что из-за действий вредоносных программ утилита AVZ не запускается даже если ее переименовать.
При такой ситуации мы будем действовать так:
1. В контекстном меню по щелчку правой кнопкой мыши по исполняемому файлу avz.exe выбираем пункт «Создать ярлык«
2. Щелкаем правой кнопкой мыши по ярлыку и выбираем пункт меню «Свойства«
3. В появившемся окне ищем строку «Объект«
4. Для того что бы включить базовую защиту от троянских программ в поле «Объект» после полного пути к программе через пробел вводим AM=Y.
В нашем примере строка выглядит так:
Для того чтобы включить защиту AVZGuard в момент запуска AVZ через пробел вводим AG=Y
Примечание: Вводить параметр запуска AG=Y, необходимо только в том случае если базовая защита не помогла. После запуска AVZ с ключом AG=Y для продолжения нормальной работы, необходимо перезагрузить компьютер.
5. После редактирования строки «Объект«, нажимаем кнопки «Применить» и «ОК«
6. После сохранения свойств ярлыка запускаем AVZ двойным щелчком по созданному ярлыку.
7. Запустится утилита AVZ без заголовка.
8. После работы с утилитой для ее закрытия следует использовать пункт «Выход» меню «Файл«. Щелчок по красному кресту в заголовке для закрытия программы может привести к ошибке.
Почему не запускается avz avzguard
Технология AVZGuard основана на KernelMode драйвере, который разграничивает доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение — борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера.
В момент активации все приложения делятся на две категории — доверенные и недоверенные. На доверенные приложения драйвер не оказывает никакого влияния, в то время как недоверенным запрещаются следующие операции:
· Создание, модификация и удаление параметров реестра
· Создание файлов с расширениями *.exe, *.dll, *.sys, *.ocx, *.scr, *.cpl, *.pif, *.bat, *.cmd на любом диске
· Обращение к устройствам devicerawip, deviceudp, devicetcp, deviceip
· Доступ к devicephysicalmemory (что блокирует операции с физической памятью из UserMode)
· Установка драйверов (является следствием блокировки работы с реестром)
· Запуск процессов
· Открытие запущенных процессов с уровнем доступа, допускающим его остановку или запись в его адресное пространство
· Открытие потоков других процессов (при этом недоверенному процессу не запрещается открывать и останавливать свои потоки)
Исходно доверенным является только AVZ.Особенности выключения ПК при включенном AVZGuard
· Процесс выключения и перезагрузки при активной системе AVZGuard может занять до 2-3 минут. Это связано с тем, что система не может принудительно закрыть процессы.
· Некоторые приложение в момент завершения могут выдавать сообщение о ошибках, связанные с ограничением их деятельности
· Сам AVZ невозможно закрыть по Alt-F4 или при помощи кнопки в заголовке окна. Для завершения работы AVZ при активном AVZGuard необходимо применить пункт меню «Файл/Выход»
Вариант 2: Как быстро удалить вирусы
После установки всех галочек как на картинках, нажимаем кнопку ПУСК и ждем окончания проверки.
По завершении сканирования зайдите в меню «Файл — Восстановление системы». 
4. Отметьте 4, 19, 13-ый пункты и нажмите кнопку «Выполнить отмеченные операции». 
5. Подтвердите выполнение операции и закройте программу.
Попробовал по совету уважаемого alexyv запустить командную строку с правами администратора под ограниченным пользователем. Т.е. надо запустить командную строку, редактор реестра или программу настройки системы (msconfig) с правами администратора. С помощью ярлычка или сочетания клавиш. Эти СМС-вымогатели меняют права пользователей в реестре и блокируют выполнение команд. Но с помощью сочетания клавиш (например из совета О.Зайцева: Win+U, или какого-то другого (не все ж они блокируют?)) можно попробовать запустить что-либо с правами администратора. Или запустить отредактированный ярлычок через проводник, браузер, диспетчер и пр..
Сразу, что не получилось:
— Запустить от имени встроенного администратора;
— От имени системы. Не понял, что написано тут: ссылка
— Отредактировать свойства ярлычка из-под LiveCD Ubuntu.
Материалы:
http://virusinfo.info/showthread.php?s=04fd399d72aaea55e54d99c2181a1003&t=54311
http://www.osp.ru/pcworld/2006/03/318152/
http://www.winblog.ru/2007/02/27/27020702.html
http://www.windowsfaq.ru/content/category/3/19/57/
Получилось:
Сначала попробовал в ограниченной учетке отредактировать Свойства ярлычка (командной строки — cmd.exe). Путь: C:Documents and Settingsник_ограниченной_учеткиГлавное менюПрограммыСтандартные. В поле «Объект» стер и вставил:
runas.exe /user:НИК «%SystemRoot%system32cmd.exe /k»
(НИК — ник пользователя с административными правами).
Получилось, ввел пароль администратора и командная строка запустилась от имени администратора.
Потом попробовал добавить клавишу быстрого пуска — в поле «Быстрый вызов», в свойствах ярлычка, написал H, получилось: Ctrl+Alt+H. Попробовал нажать сочетание клавиш — опять ввод пароля и запуск командной строки с правами пользователя-администратора. Ога!
Попробовал создать новый ярлык (правой мышкой на Рабочем столе (или в какой папке) — Создать — Ярлык). В поле «Укажите размещение объекта» вставил этот же ключ (runas.exe /user:НИК «%SystemRoot%system32cmd.exe /k») и запустил. Получилось. Потом можно и добавить букву для запуска сочетанием клавиш.
Дальше запустил Ubuntu как LiveCD и попробовал — ноль. Ни-и-ичего не понятно. Потом запустил RusLive_RAM — тут все повеселей.
Сначала попробовал отредактировать свойства ярлычка для командной строки (лежит в папке: C:Documents and Settingsник_ограниченной_учеткиГлавное менюПрограммыСтандартные). Относительные (runas.exe) пути не принялись, добавил абсолютные:
C:WINDOWSsystem32runas.exe /user:НИК «%SystemRoot%system32cmd.exe /k»
или
C:WINDOWSsystem32runas.exe /user:НИК «C:WINDOWSsystem32cmd.exe /k»
(чтобы вернуть, как было, в Windows XP, в поле «Объект»: %SystemRoot%system32cmd.exe)
Заработало. С LiveCD можно добавить и букву для запуска сочетанием клавиш. Совсем хорошо.
Попробовал создавать новые ярлыки — ничего не получилось. Но выход есть — отредактировать уже существующие. Например Блокнота (находится в той же папке, что и ярлык для cmd.exe. Изначальная запись в поле «Объект»: %SystemRoot%system32notepad.exe). Получилось. Еще некоторые команды для вставки в поле «Объект» Блокнота (не забудьте потом вернуть на изначальную):
— для командной строки:
C:WINDOWSsystem32runas.exe /user:НИК «C:WINDOWSsystem32cmd.exe /k»
— для редактора реестра:
C:WINDOWSsystem32runas.exe /user:НИК «C:WINDOWSregedit.exe»
— для программы настройки системы:
C:WINDOWSsystem32runas.exe /user:НИК «C:WINDOWSServicePackFilesi386msconfig.exe»
В принципе, таким макаром, можно попробовать запускать не только системные утилиты, но и программы.
Кроме возвращения изначальной команды запуска Блокнота после лечения удалите все созданные ярлыки и отредактируйте измененные ярлыки назад. Программа runas.exe весьма опасна!
UPD: — Документация AVZ
— Утилиты ЛК
UPD 2: Идея автоматизации мне очень понравилась. Понашлепал ярлычков с клавишами запуска и положил в папку «112» в C:Documents and SettingsAll UsersДокументы:
1. Как видно из постов в разделе «Помогите» ВирусИнфо, некоторые вирусы оставляют возможность запустить программу лечения/исправления. Т.е. блокируют не все. Можно, например, нажать сочетание клавиш Win+U (это запустит «Дополнительные возможности», приоритет у нее большой. Если не видно окна сразу, то, возможно, оно появится при выключении/перезагрузке. А уж через него, можно добраться до запуска программы (через справку — браузер — проводник). Или еще вариант — некоторые вымогатели позволяют запускать программы (в безопасном режиме, предположим) и тут же завершают работу системы. Это тоже можно остановить. Так, чисто теоретически — нажать Win+U, потом попробовать нажать сочетание клавиш для ярлыка остановки перезагрузки системы. Или из трюка с Win+U, описанном О.Зайцевым, попытаться запустить этот ярлык. Поэтому первый:
(клавиши добавляются в поле «Быстрый вызов» свойств ярлыка.)
Z (т.е. Ctrl+Alt+Z) — остановка завершения работы системы:
«C:WINDOWSsystem32shutdown.exe» -a
2. С — запуск командной строки от имени пользователя с административными правами:
C:WINDOWSsystem32runas.exe /user:НИК «C:WINDOWSsystem32cmd.exe /k»
3.R — запуск редактора реестра от имени пользователя с административными правами:
C:WINDOWSsystem32runas.exe /user:НИК «C:WINDOWSregedit.exe»
4. 3 — запуск 3-го стандартного скрипта AVZ (Файл — Стандартные скрипты) из командной строки:
«C:WINDOWSsystem32cmd.exe» /c «C:Program Filesavz4avz.exe» Script=ExecuteStdScr(3) Run=Y
Этот ярлык, вернее исполнение команд в AVZ требует уточнения. Авира его напрочь блокирует даже с отключенным Guard_ом. Проверил со 2-ым стандартным — фунциклирует:)
UPD 3: Сочетания клавиш совсем не работают, но можно, с помощью LiveCD перенести нужный ярлык в папку C:Documents and SettingsНикГлавное менюПрограммыАвтозагрузка — при старте системы срабатывает. Или использовать в качестве шаблона для редактирования работающих от сочетания клавиш ярлыков, Блокнота, например.
Еще наделал ярлыков и разложил их в папки с короткими названиями, чтоб не путаться. Т.е. буква — это название папки в папке «112». Убрал все сочетания клавиш и перенес всю папку «112» из All Users в НИК_администратора:
5. Р — запуск AVZ в скрытом режиме (HiddenMode=3) с командной строки:
C:WINDOWSsystem32cmd.exe /c «C:Program Filesavz4avz.exe» ScanDrive=HDD DelVir=Y HiddenMode=3 Run=Y
6. А — запуск AVZ в скрытом режиме от имени пользователя с административными правами:
C:WINDOWSsystem32runas.exe /user:НИК «C:Program Filesavz4avz.exe» ScanDrive=HDD DelVir=Y HiddenMode=3 Run=Y
UPD 4: Еще почитал документацию по AVZ. Нашел способы запуска с защитой: http://z-oleg.com/secur/avz_doc/ в «Параметрах командгой строки» — «Специализированные ключи»:
«AG=[Y|N] — включение AVZGuard в момент запуска AVZ. Этот ключ допустим только во командной строке, в скриптах он не поддерживается. Обработка ключа AG производится в момент запуска AVZ, до его инициализации и создания рабочих окон.
AM=[Y|N] — включает базовую защиту от троянских программ, посылающих сообщения окнам с характерными заголовками. Задание AM=Y приводит к удалению текста из заголовка главного окна AVZ, удаляет смысловое имя приложения. В данном режиме окно AVZ не подчиняется команде закрытия, выйти из AVZ можно только через меню «ФайлВыход» или по команде скрипта. Поддерживается в AVZ начиная с версии 4.32″
Попробовал создать ярлыки и запустить под ограниченным пользователем:
C:WINDOWSsystem32cmd.exe /c «C:Program Filesavz4avz.exe» am=y — сработало, выйти из AVZ можно только через меню «ФайлВыход» или по команде скрипта
C:WINDOWSsystem32cmd.exe /c «C:Program Filesavz4avz.exe» ag=y — Ошибка AVZ Guard: C0000061
«C:Program Filesavz4avz.exe» am=y
«C:Program Filesavz4avz.exe» ag=y — Ошибка AVZ Guard: C0000061
Ошибка AVZ Guard: C0000061 — прочитал, возникает из-за того, что AVZ Guard работает только в х32 и под администратором.
Т.е. смысл запуска понятем, можно пробовать: из-под виндоподобных LiveCD (если из-под линуксов, то надо готовится заранее) скачать AVZ, архив с сайта или полиморфный, распаковать в папку, например в C:Documents and SettingsAll UsersДокументы (если полиморфный, то создать папку), переименовать ее в Internet Explorer, переименовать avz.exe в iexplore.exe (при слете языка: «Профиль локализации — это INI файл, лежащий в папке на одном уровне с avz.exe с расширением loc. По умолчанию это avz.loc, но если avz.exe переименовывается скажем в gluck.exe, то профиль локализации должен симметрично переименоваться в gluck.loc.» Или:
«Скажите пожалуйста,почему при запуске AVZ у меня вместо текста цифры?
Проблема с кодировкой в виндоус, решить можно использовав английский интерфейс- будут английские буковки вместо цифр.
Что нужно:
— создать ярлык к исполняемому файлу avz
— нажать правой кнопкой по созданному ярлыку, выбрать вторую ячейку(ярлык) в верхнем окошке( цель=target)заполнить Путь к папке с avz и добавить /avz.exe lang=en
-запускать avz, нажимая на данный ярлык«).
Далее: скопировать ярлык Блокнота, предположим, из папки: C:Documents and SettingsИмя_пострадавшегоГлавное менюПрограммыСтандартные и вставить в папку C:Documents and SettingsИмя_пострадавшегоГлавное менюПрограммыАвтозагрузка — при старте системы AVZ запуститься в защищенном режиме. Отредактировать скопированный ярлык. Какой из методов защиты сработает — надо пробовать. Стартовать с жесткого диска. Не получится — менять ключи старта в ярлыке.
Примеры:
— AM=[Y|N] — включает базовую защиту от троянских программ:
Через командную строку: C:WINDOWSsystem32cmd.exe /c «Путьavz.exe» ag=y
Просто: «Путьavz.exe» ag=y
— AG=[Y|N] — включение AVZGuard в момент запуска AVZ:
Через командную строку: C:WINDOWSsystem32cmd.exe /c «Путьavz.exe» ag=y
Просто: «Путьavz.exe» ag=y
При переименовании avz.exe надо писать придуманное имя. Если в меню будут цифры или кракозябры, то можно попробовать так:
«Путьavz.exe» lang=en am=y
После лечения следует убрать ярлык запуска AVZ из папки Автозагрузка. А то так и будет стартовать — антивирус может обидиться.
Очень красивое решение:) Так можно запускать и другие программы.
Здравствуйте, форумчане!
Работаю на компьютере с установленной на нем системой Windows 7.
Сегодня возникло подозрение на заражение системы руткитом (возможно, что ложное, а возможно, и нет) и решил немножко ее проверить антивирусами.
Попробовал запустить 2 антивирусные программы: Rootkit Revealer из набора Sysinternals от М. Руссиновича и AVZ (антивирус Зайцева). Обе программы запустить толком не удалось. Rootkit Revealer при запуске вылетел с ошибкой, а AVZ, как удалось выяснить из ее лога, не смогла загрузить в ядро драйверы, которые как раз и выявляют руткиты и перехватчики — попытка загрузки драйверов закончилась ошибкой и самую интересную для меня часть проверки AVZ выполнить не смогла. Вот фрагмент лога:
Код
1.2 Поиск перехватчиков API, работающих в KernelMode Ошибка загрузки драйвера - проверка прервана [C000036B] 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Ошибка загрузки драйвера - проверка прервана [C000036B]
При попытке включить режим AVZ Guard также выдается ошибка:
Код
Ошибка AVZ Guard: C000036B
Т. е., как я понял, AVZ не может загрузить ни одного драйвера в ядро.
С чем связано такое поведение обеих программ? Вообще-то Rootkit Revealer — программа довольно старая, я посмотрел, она в последний раз обновлялась в 2006 году. Я подумал, может быть причина именно в этом, просто она не совместима с Windows 7, т. к. не обновлялась для работы с этой системой? Или же программа несмотря на возраст вполне работоспособна в семерке и проблема в чем-то другом?
Тот же вопрос по поводу AVZ. Это какая-то несовместимость этой утилиты с Windows 7, или же проблема в настройках Windows, допустим, система настроена так, что AVZ не хватает прав доступа для запуска нужных драйверов?
Или, у меня уже и такая мысль возникла, невозможность нормально запустить обе утилиты, может, это признак заражения ядра руткитом: руткит распознает обе программы при их попытке внедрить драйверы в ядро и не позволяет им это сделать?
Помогите, пожалуйста, разобраться с проблемой.
Попробовал по совету уважаемого alexyv запустить командную строку с правами администратора под ограниченным пользователем. Т.е. надо запустить командную строку, редактор реестра или программу настройки системы (msconfig) с правами администратора. С помощью ярлычка или сочетания клавиш. Эти СМС-вымогатели меняют права пользователей в реестре и блокируют выполнение команд. Но с помощью сочетания клавиш (например из совета О.Зайцева: Win+U, или какого-то другого (не все ж они блокируют?)) можно попробовать запустить что-либо с правами администратора. Или запустить отредактированный ярлычок через проводник, браузер, диспетчер и пр..
Сразу, что не получилось:
— Запустить от имени встроенного администратора;
— От имени системы. Не понял, что написано тут: ссылка
— Отредактировать свойства ярлычка из-под LiveCD Ubuntu.
Материалы:
http://virusinfo.info/showthread.php?s=0
http://www.osp.ru/pcworld/2006/03/318152/
http://www.winblog.ru/2007/02/27/2702070
http://www.windowsfaq.ru/content/categor
Получилось:
Сначала попробовал в ограниченной учетке отредактировать Свойства ярлычка (командной строки — cmd.exe). Путь: C:\Documents and Settings\ник_ограниченной_учетки\Главное меню\Программы\Стандартные. В поле «Объект» стер и вставил:
runas.exe /user:НИК «%SystemRoot%\system32\cmd.exe /k»
(НИК — ник пользователя с административными правами).
Получилось, ввел пароль администратора и командная строка запустилась от имени администратора.
Потом попробовал добавить клавишу быстрого пуска — в поле «Быстрый вызов», в свойствах ярлычка, написал H, получилось: Ctrl+Alt+H. Попробовал нажать сочетание клавиш — опять ввод пароля и запуск командной строки с правами пользователя-администратора. Ога!
Попробовал создать новый ярлык (правой мышкой на Рабочем столе (или в какой папке) — Создать — Ярлык). В поле «Укажите размещение объекта» вставил этот же ключ (runas.exe /user:НИК «%SystemRoot%\system32\cmd.exe /k») и запустил. Получилось. Потом можно и добавить букву для запуска сочетанием клавиш.
Дальше запустил Ubuntu как LiveCD и попробовал — ноль. Ни-и-ичего не понятно. Потом запустил RusLive_RAM — тут все повеселей.
Сначала попробовал отредактировать свойства ярлычка для командной строки (лежит в папке: C:\Documents and Settings\ник_ограниченной_учетки\Главное меню\Программы\Стандартные). Относительные (runas.exe) пути не принялись, добавил абсолютные:
C:\WINDOWS\system32\runas.exe /user:НИК «%SystemRoot%\system32\cmd.exe /k»
или
C:\WINDOWS\system32\runas.exe /user:НИК «C:\WINDOWS\system32\cmd.exe /k»
(чтобы вернуть, как было, в Windows XP, в поле «Объект»: %SystemRoot%\system32\cmd.exe)
Заработало. С LiveCD можно добавить и букву для запуска сочетанием клавиш. Совсем хорошо.
Попробовал создавать новые ярлыки — ничего не получилось. Но выход есть — отредактировать уже существующие. Например Блокнота (находится в той же папке, что и ярлык для cmd.exe. Изначальная запись в поле «Объект»: %SystemRoot%\system32\notepad.exe). Получилось. Еще некоторые команды для вставки в поле «Объект» Блокнота (не забудьте потом вернуть на изначальную):
— для командной строки:
C:\WINDOWS\system32\runas.exe /user:НИК «C:\WINDOWS\system32\cmd.exe /k»
— для редактора реестра:
C:\WINDOWS\system32\runas.exe /user:НИК «C:\WINDOWS\regedit.exe»
— для программы настройки системы:
C:\WINDOWS\system32\runas.exe /user:НИК «C:\WINDOWS\ServicePackFiles\i386\msconf
В принципе, таким макаром, можно попробовать запускать не только системные утилиты, но и программы.
Кроме возвращения изначальной команды запуска Блокнота после лечения удалите все созданные ярлыки и отредактируйте измененные ярлыки назад. Программа runas.exe весьма опасна!
UPD: — Документация AVZ
— Утилиты ЛК
UPD 2: Идея автоматизации мне очень понравилась. Понашлепал ярлычков с клавишами запуска и положил в папку «112» в C:\Documents and Settings\All Users\Документы:
1. Как видно из постов в разделе «Помогите» ВирусИнфо, некоторые вирусы оставляют возможность запустить программу лечения/исправления. Т.е. блокируют не все. Можно, например, нажать сочетание клавиш Win+U (это запустит «Дополнительные возможности», приоритет у нее большой. Если не видно окна сразу, то, возможно, оно появится при выключении/перезагрузке. А уж через него, можно добраться до запуска программы (через справку — браузер — проводник). Или еще вариант — некоторые вымогатели позволяют запускать программы (в безопасном режиме, предположим) и тут же завершают работу системы. Это тоже можно остановить. Так, чисто теоретически — нажать Win+U, потом попробовать нажать сочетание клавиш для ярлыка остановки перезагрузки системы. Или из трюка с Win+U, описанном О.Зайцевым, попытаться запустить этот ярлык. Поэтому первый:
(клавиши добавляются в поле «Быстрый вызов» свойств ярлыка.)
Z (т.е. Ctrl+Alt+Z) — остановка завершения работы системы:
«C:\WINDOWS\system32\shutdown.exe» -a
2. С — запуск командной строки от имени пользователя с административными правами:
C:\WINDOWS\system32\runas.exe /user:НИК «C:\WINDOWS\system32\cmd.exe /k»
3.R — запуск редактора реестра от имени пользователя с административными правами:
C:\WINDOWS\system32\runas.exe /user:НИК «C:\WINDOWS\regedit.exe»
4. 3 — запуск 3-го стандартного скрипта AVZ (Файл — Стандартные скрипты) из командной строки:
«C:\WINDOWS\system32\cmd.exe» /c «C:\Program Files\avz4\avz.exe» Script=ExecuteStdScr(3) Run=Y
Этот ярлык, вернее исполнение команд в AVZ требует уточнения. Авира его напрочь блокирует даже с отключенным Guard_ом. Проверил со 2-ым стандартным — фунциклирует:)
UPD 3: Сочетания клавиш совсем не работают, но можно, с помощью LiveCD перенести нужный ярлык в папку C:\Documents and Settings\Ник\Главное меню\Программы\Автозагрузка — при старте системы срабатывает. Или использовать в качестве шаблона для редактирования работающих от сочетания клавиш ярлыков, Блокнота, например.
Еще наделал ярлыков и разложил их в папки с короткими названиями, чтоб не путаться. Т.е. буква — это название папки в папке «112». Убрал все сочетания клавиш и перенес всю папку «112» из All Users в НИК_администратора:
5. Р — запуск AVZ в скрытом режиме (HiddenMode=3) с командной строки:
C:\WINDOWS\system32\cmd.exe /c «C:\Program Files\avz4\avz.exe» ScanDrive=HDD DelVir=Y HiddenMode=3 Run=Y
6. А — запуск AVZ в скрытом режиме от имени пользователя с административными правами:
C:\WINDOWS\system32\runas.exe /user:НИК «C:\Program Files\avz4\avz.exe» ScanDrive=HDD DelVir=Y HiddenMode=3 Run=Y
UPD 4: Еще почитал документацию по AVZ. Нашел способы запуска с защитой: http://z-oleg.com/secur/avz_doc/ в «Параметрах командгой строки» — «Специализированные ключи»:
«AG=[Y|N] — включение AVZGuard в момент запуска AVZ. Этот ключ допустим только во командной строке, в скриптах он не поддерживается. Обработка ключа AG производится в момент запуска AVZ, до его инициализации и создания рабочих окон.
AM=[Y|N] — включает базовую защиту от троянских программ, посылающих сообщения окнам с характерными заголовками. Задание AM=Y приводит к удалению текста из заголовка главного окна AVZ, удаляет смысловое имя приложения. В данном режиме окно AVZ не подчиняется команде закрытия, выйти из AVZ можно только через меню «Файл\Выход» или по команде скрипта. Поддерживается в AVZ начиная с версии 4.32″
Попробовал создать ярлыки и запустить под ограниченным пользователем:
C:\WINDOWS\system32\cmd.exe /c «C:\Program Files\avz4\avz.exe» am=y — сработало, выйти из AVZ можно только через меню «Файл\Выход» или по команде скрипта
C:\WINDOWS\system32\cmd.exe /c «C:\Program Files\avz4\avz.exe» ag=y — Ошибка AVZ Guard: C0000061
«C:\Program Files\avz4\avz.exe» am=y
«C:\Program Files\avz4\avz.exe» ag=y — Ошибка AVZ Guard: C0000061
Ошибка AVZ Guard: C0000061 — прочитал, возникает из-за того, что AVZ Guard работает только в х32 и под администратором.
Т.е. смысл запуска понятем, можно пробовать: из-под виндоподобных LiveCD (если из-под линуксов, то надо готовится заранее) скачать AVZ, архив с сайта или полиморфный, распаковать в папку, например в C:\Documents and Settings\All Users\Документы (если полиморфный, то создать папку), переименовать ее в Internet Explorer, переименовать avz.exe в iexplore.exe (при слете языка: «Профиль локализации — это INI файл, лежащий в папке на одном уровне с avz.exe с расширением loc. По умолчанию это avz.loc, но если avz.exe переименовывается скажем в gluck.exe, то профиль локализации должен симметрично переименоваться в gluck.loc.» Или:
«Скажите пожалуйста,почему при запуске AVZ у меня вместо текста цифры?
Проблема с кодировкой в виндоус, решить можно использовав английский интерфейс- будут английские буковки вместо цифр.
Что нужно:
— создать ярлык к исполняемому файлу avz
— нажать правой кнопкой по созданному ярлыку, выбрать вторую ячейку(ярлык) в верхнем окошке( цель=target)заполнить Путь к папке с avz и добавить /avz.exe lang=en
-запускать avz, нажимая на данный ярлык«).
Далее: скопировать ярлык Блокнота, предположим, из папки: C:\Documents and Settings\Имя_пострадавшего\Главное меню\Программы\Стандартные и вставить в папку C:\Documents and Settings\Имя_пострадавшего\Главное меню\Программы\Автозагрузка — при старте системы AVZ запуститься в защищенном режиме. Отредактировать скопированный ярлык. Какой из методов защиты сработает — надо пробовать. Стартовать с жесткого диска. Не получится — менять ключи старта в ярлыке.
Примеры:
— AM=[Y|N] — включает базовую защиту от троянских программ:
Через командную строку: C:\WINDOWS\system32\cmd.exe /c «Путь\avz.exe» ag=y
Просто: «Путь\avz.exe» ag=y
— AG=[Y|N] — включение AVZGuard в момент запуска AVZ:
Через командную строку: C:\WINDOWS\system32\cmd.exe /c «Путь\avz.exe» ag=y
Просто: «Путь\avz.exe» ag=y
При переименовании avz.exe надо писать придуманное имя. Если в меню будут цифры или кракозябры, то можно попробовать так:
«Путь\avz.exe» lang=en am=y
После лечения следует убрать ярлык запуска AVZ из папки Автозагрузка. А то так и будет стартовать — антивирус может обидиться.
Очень красивое решение:) Так можно запускать и другие программы.
Антивирус отключали перед включением AVZGuard?
Каким антивирусом пользуетесь?Если KIS,то AVZ стоит в группе «Доверенные» в Контроле программ?
как видно на скриншоте AVZ входит в доверенные , Антивирус установлен KIS 2011, пробовал отключать и такая же песня , AVZGuard не включается
как видно на скриншоте AVZ входит в доверенные , Антивирус установлен KIS 2011, пробовал отключать и такая же песня , AVZGuard не включается