Podgląd zdarzeń: Wininit, identyfikator zdarzenia 11


(manieKMP) #1

Wczoraj coś mnie tknęło, aby powłóczyć się po podglądzie zdarzeń. Zaciekawił mnie jeden z wpisów związany z Wininit o identyfikatorze 11 (wpada przy każdym rozruchu systemu).

Po wstępnym śledztwie w sieci doszedłem, że ma on najprawdopodobniej związek z przeinstalowaniem niedawno Comodo Internet Security (przeszedłem z 5-tki na 6-tkę po uprzednim czyszczeniu po starszej wersji...).

Lakoniczne info o zdarzeniu mówi że:

Sęk w tym, że nic nie wskazuje na to, aby jakiekolwiek "niestandardowe" biblioteki były ładowane przez AppInit (według internetowych zapisków, to z nim jest powiązane zdarzenie... w moim przypadku, dla Comodo związane z podobno z "guard64.dll", siedzącym w katalogu "system32").

Odpalenie Autoruns i sprawdzenie karty "AppInit", daje pustą listę. Dla pewności przeszukałem też rejestr na występowanie klucza Appinit_Dlls w poniższych lokalizacjach rejestru:

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\

  • HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\

No i brak takowych kluczy, w których byłyby wpisy nt. ładowanych niestandardowych bibliotek.

Z tego względu, prewencyjnie, dla własnej pewności chciałbym się dowiedzieć, czy "wyłączenie" AppInit, poprzez zmianę w rejestrze wartości "LoadAppInit_DLLs" z 1 na 0 (zero), będzie w takim wypadku bezpieczne (moje rozumowanie podpowiada mi, że tak, ale jak to w sieci, w tym wypadku są dawane sprzeczne informacje, raz że można to wykonać, raz że nie i zignorować ostrzeżenie w podglądzie zdarzeń).

PS. Jeśli jest to potrzebne, mój system to Windows 7 HP, wersja 64-bitowa...


(Semtex) #2

Zignoruj, problem popularny i bez jednoznacznego rozwiązania, bardzo często trafia się w przypadku CIS i KIS, w tym drugim można to podobno rozwiązać w pierwszym nie bardzo.

http://answers.microsoft.com/en-us/wind … 9b5f20d658

http://windowsforum.com/threads/event-i … nit.36334/