Help - Search - Members
Full Version: Ошибка AVZ Guard: C0000001
Kaspersky Lab Forum > AVZ > Основной раздел AVZ
EddiG
Здравствуйте!

Обращался на virusinfo.info и в kapersky-911 (заявка 62461), проверили логи, ничего подозрительного не нашли, но проблема никуда не делась.

Очевидных проблем в работе системы нет, но беспокоит то что в AVZ 4.35 перестал запускаться AVZ Guard (Ошибка C0000001) и в VBA AntiRootkit 3.12.4.0 выдается сообщение Couldn't install driver.

- Программы запускаю от имени администратора.
- Базы AVZ обновленны.
- Помимо того что не запускается AVZ Guard проблем в работе AVZ не обнаружил, логи выгляд как они выглядили и когда AVZ Guard запускался без ошибок. Но только можно ли им теперь верить?
- VBA AntiRootkit тоже работал, находил процессы и подозрительные драйверы, но насколько я понял все они были безобидными. Теперь он вообще ничего не находит и в Error log пишет Couldn't install driver.
- С помощью Dr.Web CureIt (взял последнюю версию с офф.сайта) в безопастном режиме проверил систему, вирусов не обнаружил.
- Поиск в интернете и на сайте virusinfo.info не дал решения, данная проблема встречается, но как решение предлагают запускать от имени администратора, что не помагает.
- Возможно эти проблемы начались после недавней установки Service Pack 1 для Windows 7. Точно сказать не могу, так как сразу до установки не проверял систему этими программами.
- Во вложениях логи сделанные по правилам virusinfo.info

Может сможете мне помочь и подсказать с чем связано такое поведение программ и что за ошибка C0000001?

Спасибо!
EddiG
Интересно то что если даже проверять систему с помощью AVZ без включеного AVZ Guard (ошибка C0000001), но с правами администратора, то в пунктах 1.2 и 1.5 никаких проблем нет:

1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена

1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=16A9C0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83041000
SDT = 831AB9C0
KiST = 830BFD9C (401)
Проверено функций: 401, перехвачено: 0, восстановлено: 0


А если запустить AVZ с ограниченными правами, то в этих пунктах чётко появляется сообщение, что драйвер загрузить не удалось:

1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C0000061]

1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000061]


Получается что просто загрузить драйвер, по не известным причинам, не удается, но всё таки он запускается в процессе проверки. Значит процедуры загрузки отличаются, ведь если бы они не отличались и дело было в системе, то и в процессе проверки с правами администратора у меня должна была выскакивать ошибка C0000001. Отсюда вопросы, чем отличается произвольная загрузка драйвера (AVZ Guard --> Включить AVZ Guard) от загрузки во время проверки и при каких условиях выдается сообщение С0000001?
Хотя с другой стороны драйвер в VBA32 Antirootkit тоже не загружается, а он с AVZ никак не связан, а значит проблема должна быть не в программе AVZ. Возможно ответы на вышепоставленные вопросы прояснят ситуацию.

Вопросы больше к разработчику, Олегу Зайцеву. Очень хочется разобраться, а то спать спокойно не могу smile.gif
thyrex
QUOTE(EddiG @ 29.03.2011 09:31) *
А если запустить AVZ с ограниченными правами
Ключевое выделено
EddiG
В том то и штука, что работа AVZ с ограниченными правами логична, т.е. AVZ Guard не запускается ни через меню (AVZ Guard -> Включить AVZ Guard) ни во время проверки (пункты "1.2 Поиск перехватчиков API, работающих в KernelMode" и "1.5 Проверка обработчиков IRP") , "Ошибка AVZ Guard: C0000061" в обоих случаях.
А когда AVZ работает от имени администратора, не понятно почему AVZ Guard не запускается через меню (Ошибка AVZ Guard: C0000001), но во время проверки сообщает что драйвер успешно загружен, т.е. никаких ошибок.
Поэтому и вопрос, в чем разница между загрузкой драйвера через команду меню (AVZ Guard -> Включить AVZ Guard) и автоматической загрузкой драйвера во время проверки?

P.S. По прежнему не сплю smile.gif
Zaitsev Oleg
QUOTE(EddiG @ 28.03.2011 19:12) *
- Помимо того что не запускается AVZ Guard проблем в работе AVZ не обнаружил, логи выгляд как они выглядили и когда AVZ Guard запускался Может сможете мне помочь и подсказать с чем связано такое поведение программ и что за ошибка C0000001?
Спасибо!

AVZGuard нужно включать только на время удаления сложно удаляемых малварей, и не более того. Сам по себе он никогда не загружается и ничего автоматически не делает. Если включить его просто так и надолго без причины - то можно убить себе систему ... это же в справке описано
EddiG
Здравствуйте Олег! Спасибо за внимание.

1. Я понимаю что он не должен работать постоянно, в справке про AVZ Guard я прочитал это как только начал использовать программу. Когда я проводил проверку с помощью AVZ, только тогда и включал AVZ Guard, а после проверки выключал. Тоесть в системе я работал с отключенным AVZ Guard. Но как теперь бороться с хитрыми малварями, если я его не могу включить? И почему же все таки он перестал загружаться?
2. По поводу того что AVZ Guard сам по себе никогда не загружается и автоматически ничего не делает. Я похоже ошибся с пунктами 1.2 и 1.5 во время проверки. Там AVZPM драйвер используется. С этим разобрались, но вопросы по первому пункту остались.
EddiG
Сегодня после очередного обновления AVZ:
1. При включении AVZ Guard программа зависает без каких либо сообщений.
2. Не удается запустить какую либо другую программу от имени администратора (сообщение: "Отказано в доступе")
EddiG
Всё разобрался! Почему то не отображалось окно с подтверждением запуска AVZ Guard. Нажал Enter и все в порядке, драйвер загружен. После перезагрузки попробывал снова включить AVZ Guard и все без проблем работает. Добавлю что до всех этих действий пробывал загружать драйвер при входе в систему под учетной записью администратора и там все отработало правильно, т.е. отображалось окно с подтверждением и драйвер загружался.

Я правильно понял, что теперь AVZ Guard загружается в результате последнего обновления AVZ? Это была проблема совместимости с WIndows 7?

Дело в том что у меня есть еще VBA32 Antirootkit, который так же перестал загружать свой драйвер. И если проблема совместимости возникла после какого то обновления Windows, то тогда вопросы по VBA32 Antirootkit так же снимутся. Понимаю что эта программа к вам не относится, но думаю, то что мешало работе AVZ Guard, так же повлияло и на эту программу.

Спасибо за терпение smile.gif
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2014 Invision Power Services, Inc.