Jump to content
Ask questions on the new Community portal! || Задавай вопросы на новом комьюнити-портале! ×
Ask questions on the new Community portal! || Задавай вопросы на новом комьюнити-портале!
Sign in to follow this  
Followers 0
EddiG

Ошибка AVZ Guard: C0000001

By EddiG, in Основной раздел AVZ

Recommended Posts

EddiG   

EddiG
Posted

Здравствуйте!

 

Обращался на virusinfo.info и в kapersky-911 (заявка 62461), проверили логи, ничего подозрительного не нашли, но проблема никуда не делась.

 

Очевидных проблем в работе системы нет, но беспокоит то что в AVZ 4.35 перестал запускаться AVZ Guard (Ошибка C0000001) и в VBA AntiRootkit 3.12.4.0 выдается сообщение Couldn't install driver.

 

- Программы запускаю от имени администратора.

- Базы AVZ обновленны.

- Помимо того что не запускается AVZ Guard проблем в работе AVZ не обнаружил, логи выгляд как они выглядили и когда AVZ Guard запускался без ошибок. Но только можно ли им теперь верить?

- VBA AntiRootkit тоже работал, находил процессы и подозрительные драйверы, но насколько я понял все они были безобидными. Теперь он вообще ничего не находит и в Error log пишет Couldn't install driver.

- С помощью Dr.Web CureIt (взял последнюю версию с офф.сайта) в безопастном режиме проверил систему, вирусов не обнаружил.

- Поиск в интернете и на сайте virusinfo.info не дал решения, данная проблема встречается, но как решение предлагают запускать от имени администратора, что не помагает.

- Возможно эти проблемы начались после недавней установки Service Pack 1 для Windows 7. Точно сказать не могу, так как сразу до установки не проверял систему этими программами.

- Во вложениях логи сделанные по правилам virusinfo.info

 

Может сможете мне помочь и подсказать с чем связано такое поведение программ и что за ошибка C0000001?

 

Спасибо!

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Share this post

Link to post

EddiG   

EddiG
Posted

Интересно то что если даже проверять систему с помощью AVZ без включеного AVZ Guard (ошибка C0000001), но с правами администратора, то в пунктах 1.2 и 1.5 никаких проблем нет:

 

1.5 Проверка обработчиков IRP

Драйвер успешно загружен

Проверка завершена

 

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=16A9C0)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83041000

SDT = 831AB9C0

KiST = 830BFD9C (401)

Проверено функций: 401, перехвачено: 0, восстановлено: 0

 

А если запустить AVZ с ограниченными правами, то в этих пунктах чётко появляется сообщение, что драйвер загрузить не удалось:

 

1.5 Проверка обработчиков IRP

Ошибка загрузки драйвера - проверка прервана [C0000061]

 

1.2 Поиск перехватчиков API, работающих в KernelMode

Ошибка загрузки драйвера - проверка прервана [C0000061]

 

Получается что просто загрузить драйвер, по не известным причинам, не удается, но всё таки он запускается в процессе проверки. Значит процедуры загрузки отличаются, ведь если бы они не отличались и дело было в системе, то и в процессе проверки с правами администратора у меня должна была выскакивать ошибка C0000001. Отсюда вопросы, чем отличается произвольная загрузка драйвера (AVZ Guard --> Включить AVZ Guard) от загрузки во время проверки и при каких условиях выдается сообщение С0000001?

Хотя с другой стороны драйвер в VBA32 Antirootkit тоже не загружается, а он с AVZ никак не связан, а значит проблема должна быть не в программе AVZ. Возможно ответы на вышепоставленные вопросы прояснят ситуацию.

 

Вопросы больше к разработчику, Олегу Зайцеву. Очень хочется разобраться, а то спать спокойно не могу :)

Share this post

Link to post

thyrex   

thyrex
Posted
А если запустить AVZ с ограниченными правами
Ключевое выделено

 

Share this post

Link to post

EddiG   

EddiG
Posted (edited)

В том то и штука, что работа AVZ с ограниченными правами логична, т.е. AVZ Guard не запускается ни через меню (AVZ Guard -> Включить AVZ Guard) ни во время проверки (пункты "1.2 Поиск перехватчиков API, работающих в KernelMode" и "1.5 Проверка обработчиков IRP") , "Ошибка AVZ Guard: C0000061" в обоих случаях.

А когда AVZ работает от имени администратора, не понятно почему AVZ Guard не запускается через меню (Ошибка AVZ Guard: C0000001), но во время проверки сообщает что драйвер успешно загружен, т.е. никаких ошибок.

Поэтому и вопрос, в чем разница между загрузкой драйвера через команду меню (AVZ Guard -> Включить AVZ Guard) и автоматической загрузкой драйвера во время проверки?

 

P.S. По прежнему не сплю :)

Edited by EddiG

Share this post

Link to post

Zaitsev Oleg   

Zaitsev Oleg
Posted
- Помимо того что не запускается AVZ Guard проблем в работе AVZ не обнаружил, логи выгляд как они выглядили и когда AVZ Guard запускался Может сможете мне помочь и подсказать с чем связано такое поведение программ и что за ошибка C0000001?

Спасибо!

AVZGuard нужно включать только на время удаления сложно удаляемых малварей, и не более того. Сам по себе он никогда не загружается и ничего автоматически не делает. Если включить его просто так и надолго без причины - то можно убить себе систему ... это же в справке описано

Share this post

Link to post

EddiG   

EddiG
Posted

Здравствуйте Олег! Спасибо за внимание.

 

1. Я понимаю что он не должен работать постоянно, в справке про AVZ Guard я прочитал это как только начал использовать программу. Когда я проводил проверку с помощью AVZ, только тогда и включал AVZ Guard, а после проверки выключал. Тоесть в системе я работал с отключенным AVZ Guard. Но как теперь бороться с хитрыми малварями, если я его не могу включить? И почему же все таки он перестал загружаться?

2. По поводу того что AVZ Guard сам по себе никогда не загружается и автоматически ничего не делает. Я похоже ошибся с пунктами 1.2 и 1.5 во время проверки. Там AVZPM драйвер используется. С этим разобрались, но вопросы по первому пункту остались.

Share this post

Link to post

EddiG   

EddiG
Posted

Сегодня после очередного обновления AVZ:

1. При включении AVZ Guard программа зависает без каких либо сообщений.

2. Не удается запустить какую либо другую программу от имени администратора (сообщение: "Отказано в доступе")

Share this post

Link to post

EddiG   

EddiG
Posted

Всё разобрался! Почему то не отображалось окно с подтверждением запуска AVZ Guard. Нажал Enter и все в порядке, драйвер загружен. После перезагрузки попробывал снова включить AVZ Guard и все без проблем работает. Добавлю что до всех этих действий пробывал загружать драйвер при входе в систему под учетной записью администратора и там все отработало правильно, т.е. отображалось окно с подтверждением и драйвер загружался.

 

Я правильно понял, что теперь AVZ Guard загружается в результате последнего обновления AVZ? Это была проблема совместимости с WIndows 7?

 

Дело в том что у меня есть еще VBA32 Antirootkit, который так же перестал загружать свой драйвер. И если проблема совместимости возникла после какого то обновления Windows, то тогда вопросы по VBA32 Antirootkit так же снимутся. Понимаю что эта программа к вам не относится, но думаю, то что мешало работе AVZ Guard, так же повлияло и на эту программу.

 

Спасибо за терпение :)

Share this post

Link to post
Sign in to follow this  
Followers 0
Go To Topic Listing
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.

  I accept