Wczoraj coś mnie tknęło, aby powłóczyć się po podglądzie zdarzeń. Zaciekawił mnie jeden z wpisów związany z Wininit o identyfikatorze 11 (wpada przy każdym rozruchu systemu).
Po wstępnym śledztwie w sieci doszedłem, że ma on najprawdopodobniej związek z przeinstalowaniem niedawno Comodo Internet Security (przeszedłem z 5-tki na 6-tkę po uprzednim czyszczeniu po starszej wersji…).
Lakoniczne info o zdarzeniu mówi że:
Sęk w tym, że nic nie wskazuje na to, aby jakiekolwiek “niestandardowe” biblioteki były ładowane przez AppInit (według internetowych zapisków, to z nim jest powiązane zdarzenie… w moim przypadku, dla Comodo związane z podobno z “guard64.dll”, siedzącym w katalogu “system32”).
Odpalenie Autoruns i sprawdzenie karty “AppInit”, daje pustą listę. Dla pewności przeszukałem też rejestr na występowanie klucza Appinit_Dlls w poniższych lokalizacjach rejestru:
-
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
-
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\
No i brak takowych kluczy, w których byłyby wpisy nt. ładowanych niestandardowych bibliotek.
Z tego względu, prewencyjnie, dla własnej pewności chciałbym się dowiedzieć, czy “wyłączenie” AppInit, poprzez zmianę w rejestrze wartości “LoadAppInit_DLLs” z 1 na 0 (zero), będzie w takim wypadku bezpieczne (moje rozumowanie podpowiada mi, że tak, ale jak to w sieci, w tym wypadku są dawane sprzeczne informacje, raz że można to wykonać, raz że nie i zignorować ostrzeżenie w podglądzie zdarzeń).
PS. Jeśli jest to potrzebne, mój system to Windows 7 HP, wersja 64-bitowa…