код руткита в функции wow64transition ошибка стандартной нейтрализации
Как обнаружить руткиты в Windows 10 (подробное руководство)
Код руткита в функции wow64transition ошибка стандартной нейтрализации
Как обнаружить руткиты в Windows 10 (подробное руководство)
Руткиты используются хакерами для сокрытия постоянных, казалось бы, не обнаруживаемых вредоносных программ в вашем устройстве, которые будут молча красть данные или ресурсы, иногда в течение нескольких лет. Они также могут быть использованы в кейлоггерном режиме, где ваши нажатия клавиш и сообщения отслеживаются, предоставляя зрителю информацию о конфиденциальности.
Этот конкретный метод взлома стал более актуальным до 2006 года, когда Microsoft Vista не требовала от производителей цифровой подписи всех драйверов компьютеров. Защита от исправлений ядра (KPP) заставила авторов вредоносных программ изменить свои методы атаки, и только недавно, начиная с 2018 года, Zacinlo рекламная мошенничество, руткиты снова попали в центр внимания.
Все руткиты, выпущенные до 2006 года, были специально созданы на основе операционной системы. Ситуация с Zacinlo, руткитом из семейства вредоносных программ Detrahere, дала нам что-то еще более опасное в виде руткита на основе прошивки. Несмотря на это, руткиты составляют лишь около одного процента от всего объема вредоносных программ, наблюдаемых ежегодно.
Тем не менее, из-за опасности, которую они могут представлять, было бы разумно понять, как работает обнаружение руткитов, которые, возможно, уже проникли в вашу систему.
Обнаружение руткитов в Windows 10 (в глубине)
Zacinlo фактически был в игре почти шесть лет, прежде чем был обнаружен на платформе Windows 10. Компонент rootkit был легко настраиваемым и защищал себя от процессов, которые он считал опасными для своей функциональности, и был способен перехватывать и расшифровывать соединения SSL.
Он будет шифровать и хранить все свои данные конфигурации в реестре Windows и, пока Windows завершает работу, перезаписывать себя из памяти на диск под другим именем и обновлять свой раздел реестра. Это помогло избежать обнаружения вашим стандартным антивирусом.
Это говорит о том, что стандартного антивирусного или вредоносного программного обеспечения недостаточно для обнаружения руткитов. Хотя существует несколько программ для защиты от вредоносных программ высшего уровня, которые предупредят вас о подозрении на руткит-атаку.
5 ключевых атрибутов хорошего антивирусного программного обеспечения
Большинство известных антивирусных программ сегодня будут выполнять все пять из этих известных методов обнаружения руткитов.
Выполнение сканирования руткитов
Выполнение сканирования руткитов – лучшая попытка обнаружения заражения руткитами. Чаще всего вашей операционной системе нельзя доверять, чтобы идентифицировать руткит самостоятельно, и это затрудняет определение его присутствия. Руткиты – главные шпионы, скрывающие свои следы практически на каждом шагу и способные оставаться скрытыми на виду.
Если вы подозреваете, что на вашем компьютере произошла атака вируса руткита, хорошей стратегией обнаружения будет отключение компьютера и выполнение сканирования из известной чистой системы. Безошибочный способ найти руткит на вашем компьютере – анализ дампа памяти. Руткит не может скрыть инструкции, которые он дает вашей системе, поскольку он выполняет их в памяти машины.
Использование WinDbg для анализа вредоносных программ
Microsoft Windows предоставляет собственный многофункциональный инструмент отладки, который можно использовать для сканирования отладки приложений, драйверов или самой операционной системы. Он будет отлаживать код режима ядра и пользовательского режима, помогать анализировать аварийные дампы и проверять регистры процессора.
Некоторые системы Windows будут поставляться с WinDbg уже в комплекте. Те, кто без, должны будут загрузить его из Microsoft Store. Предварительный просмотр WinDbg Это более современная версия WinDbg, предоставляющая более наглядные визуальные эффекты, более быстрые окна, полный сценарий и те же команды, расширения и рабочие процессы, что и в оригинале.
Как минимум, вы можете использовать WinDbg для анализа памяти или аварийного дампа, включая Blue Screen Of Death (BSOD). По результатам вы можете найти индикаторы атаки вредоносного ПО. Если вы чувствуете, что одной из ваших программ может препятствовать присутствие вредоносного ПО или она использует больше памяти, чем требуется, вы можете создать файл дампа и использовать WinDbg для его анализа.
Полный дамп памяти может занимать значительное дисковое пространство, поэтому может быть лучше вместо этого выполнить дамп режима ядра или небольшой дамп памяти. Дамп режима ядра будет содержать всю информацию об использовании памяти ядром во время сбоя. Небольшой дамп памяти будет содержать основную информацию по различным системам, таким как драйверы, ядро и т. Д., Но по сравнению с ним крошечный.
Небольшие дампы памяти более полезны для анализа причин возникновения BSOD. Для обнаружения руткитов будет полезна полная версия или версия ядра.
Создание файла дампа в режиме ядра
Файл дампа в режиме ядра можно создать тремя способами:
Мы пойдем с выбором номер три.
Чтобы выполнить необходимый файл дампа, вам нужно всего лишь ввести следующую команду в командном окне WinDbg.
Замените FileName на соответствующее имя для файла дампа и «?» с ф. Убедитесь, что буква «f» в нижнем регистре, иначе вы создадите файл дампа другого типа.
Как только отладчик запустит свой курс (первое сканирование займет много времени), будет создан файл дампа, и вы сможете проанализировать свои выводы.
Понимание того, что вы ищете, например использование энергозависимой памяти (RAM) для определения наличия руткита, требует опыта и тестирования. Возможно, хотя и не рекомендуется для новичка, протестировать методы обнаружения вредоносных программ в реальной системе. Для этого снова потребуются знания и глубокие знания о работе WinDbg, чтобы случайно не внедрить живой вирус в вашу систему.
Есть более безопасные, более удобные для начинающих способы раскрыть нашего хорошо скрытого врага.
Дополнительные методы сканирования
Ручное обнаружение и поведенческий анализ также являются надежными методами обнаружения руткитов. Попытка обнаружить местоположение руткита может быть большой болью, поэтому вместо того, чтобы ориентироваться на сам руткит, вы можете вместо этого искать поведение, похожее на руткит.
Вы можете искать руткиты в загруженных пакетах программного обеспечения, используя расширенные или пользовательские параметры установки во время установки. Вам нужно найти какие-то незнакомые файлы, перечисленные в деталях. Эти файлы должны быть удалены, или вы можете сделать быстрый поиск в Интернете для любых ссылок на вредоносное программное обеспечение.
Брандмауэры и их отчеты о регистрации – невероятно эффективный способ обнаружить руткит. Программное обеспечение уведомит вас, если ваша сеть находится под пристальным вниманием, и должно поместить на карантин любые нераспознаваемые или подозрительные загрузки перед установкой.
Если вы подозреваете, что на вашем компьютере уже может быть руткит, вы можете погрузиться в отчеты о регистрации брандмауэра и посмотреть на необычное поведение.
Просмотр отчетов журнала брандмауэра
Вы захотите просмотреть свои текущие отчеты о регистрации брандмауэра, сделав приложение с открытым исходным кодом, такое как IP Traffic Spy, с возможностями фильтрации журнала брандмауэра, очень полезным инструментом. Отчеты покажут вам, что необходимо увидеть в случае атаки.
Если у вас большая сеть с автономным выходным брандмауэром с фильтрацией выходных данных, IP Traffic Spy не понадобится. Вместо этого вы должны видеть входящие и исходящие пакеты для всех устройств и рабочих станций в сети через журналы брандмауэра.
Независимо от того, где вы находитесь – в доме или в небольшом бизнесе, вы можете использовать модем, предоставленный вашим провайдером, или, если у вас есть, персональный брандмауэр или маршрутизатор для просмотра журналов брандмауэра. Вы сможете идентифицировать трафик для каждого устройства, подключенного к той же сети.
Также может быть полезно включить файлы журнала брандмауэра Windows. По умолчанию файл журнала отключен, то есть информация или данные не записываются.
Следите за чем-то необычным в файлах журналов. Даже малейшая системная ошибка может указывать на заражение руткитом. Нечто похожее на чрезмерное использование ЦП или пропускной способности, когда вы не запускаете ничего слишком требовательного или вообще, может быть главной подсказкой.
5 методов решения ошибок LUA в World of Warcraft
Многие игроки World of Warcraft жалуются на появление ошибок LUA при запуске игры. В сообщении таких ошибок обычно указывается, что некоторые из аддонов работают не совсем корректно. Ошибки не препятствуют игровому процессу, однако их постоянное появление в чат-боксе может изрядно раздражать. Windows 7, 8 и 10 — от этих ошибок страдают пользователи всех современных версий ОС Майкрософт.
Что такое LUA?
Прежде чем мы двинемся дальше, важно понять, что такое LUA и с чем его едят.
LUA — это скриптовый язык программирования, который привносит модулярность в самые разные приложения посредством эмбеддинга. LUA — излюбленный язык моддерского сообщества WoW, а все потому, что он относительно прост в освоении и с его помощью можно разрабатывать действительно впечатляющие модификации.
Ознакомившись с проблемой поближе, мы пришли к выводу, что LUA-ошибки в World of Warcraft могут возникать по следующему ряду причин:
Как исправить LUA-ошибку в World of Warcraft
Метод №1 Перезагрузка игрового интерфейса WoW
Если ошибка возникла в результате бага или ситуации, когда не все аддоны загрузились вместе с WoW, вы должны легко избавиться от нее, выполнив перезагрузку интерфейса посредством консольной команды. Впрочем, стоит сразу предупредить, что ошибка практически наверняка является симптомом какой-то иной проблемы, например, устаревшего аддона, который отказывается нормально работать с текущей сборкой WoW.
Итак, чтобы перезагрузить интерфейс WoW, вам нужно просто открыть игровой чат (чат-бокс) и выполнить в нем следующую команду:
Заметка: этот метод не работает на самых последних версиях WoW, однако он должен сработать на «ванильной» версии.
Метод №2 Полный сброс интерфейса WoW и удаление аддон-менеджера
Если элементарная перезагрузка интерфейса не устранила ошибку LUA, то мы рекомендуем заняться полным сбросом интерфейса WoW, чтобы избавиться от всего ненужного кода, который мог остаться в вашей игре от ранее удаленного аддона или аддон-менеджера.
Также очень важно избавиться от используемого вами в данный момент (!) аддон-менеджера и файлов аддонов, расположенных в трех основных папках WoW.
Проверьте, перестала ли появляться ошибка LUA или нет.
Метод №3 Сброс переменных кастомной консоли
Перезагрузка/сброс основного интерфейса не произвел желаемого эффекта? Тогда вы должны попробовать осуществить сброс всех переменных кастомной консоли WoW. Подобная процедура сработает только в том случае, если вы ранее устанавливали и играли с аддонами, которые имели параметры, потенциально входящие друг с другом в конфликт.
Вот как производиться сброс переменных консоли WoW:
Заметка: игнорируйте любые ошибки о правах после ввода этих команд — все нормально.
Метод №4 Удаление аддона Cartographer (или любого другого устаревшего аддона)
Оказывается, LUA-ошибки можно получить в том случае, если вы запускаете WoW с устаревшими аддонами, которые больше не могут работать с текущей версией игры. Вам необходимо избавиться от всех устаревших аддонов, после чего снова зайти в игру и проверить, была ли решена проблема. Сразу хочется отметить, что каждый аддон удаляется по разному, а поэтому мы не сможем помочь вам с процессом деинсталляции. Интересный факт: зачастую ошибки LUA возникают из-за аддона Cartographer.
Метод №5 Отключение сообщений ошибок LUA
Если у вас не получается избавиться от надоедливых LUA-ошибок (или вы не можете определить причину их появления), то мы рекомендуем не заморачиваться и попросту отключить сообщения о них. Делается это следующим образом:
После этого вы гарантировано перестанете видеть ошибки LUA. Выполните команду /console scriptErrors 1, чтобы снова активировать функцию отображения сообщений об ошибках.
Код руткита в функции wow64transition ошибка стандартной нейтрализации
TDSS Rootkit: Дальнейшее развитие и текущее состояние
В данной заметке я хотел бы остановиться на нововведениях, которые появились в TDL3 после публикации его первых обзоров. Кроме того, в конце заметки будут приведены результаты тестирования существующих утилит для лечения TDSS.
Про руткит TDSS – а именно, про ту его версию, которая также известна как TDL3 – написано достаточно много: с момента появления первых прецедентов прошло уже почти полгода. Однако, TDL3 до сих пор является актуальной угрозой, так как на каждое обновление процедур его обнаружения и лечения антивирусами авторы руткита отвечают всё новыми и новыми обновлениями вредоносного кода. Подробно ознакомиться с техническим описанием руткита TDL3 можно по следующим ссылкам (на английском языке):
В данной заметке я хотел бы остановиться на нововведениях, которые появились в TDL3 после публикации его первых обзоров. Кроме того, в конце заметки будут приведены результаты тестирования существующих утилит для лечения TDSS.
Инсталлятор
Инсталлятор руткита представляет собой исполняемый файл размером
87Кб, обработанный несложной утилитой для запутывания кода (VirusTotal Report).
Ниже приведён конфигурационный файл, используемый руткитом после установки в систему:
Как видно, версия руткита – 3.273, последняя на данный момент.
С самых первых версий TDSS радовал нас оригинальной, и в то же время простой, техникой обхода поведенческой защиты, принцип работы которой основан на использовании механизмов службы диспетчера печати Windows. А именно, осуществлялась регистрация вспомогательной динамической библиотеки диспетчера печати (Print Processor) с помощью функции API функции AddPrintProcessor, что, в свою очередь, приводило к выполнению кода, содержащегося в этой библиотеке, в контексте доверенного процесса (а именно, spoolsv. exe). Сложность детектирования подобного поведения для систем типа HIPS заключается в том, что вызов функции AddPrintProcessor в итоге приводит к вызову RPC-функции диспетчера печати, единственный надёжный способ мониторинга которой заключается в контроле недокументированных LPC сообщений. Однако, со временем производители антивирусных защит всё-таки научились корректно препятствовать описанной технике. После этого разработчики руткита начали использовать с той же целью вызов похожей функции, а именно – AddPrintProvidor, вызов которой разработчики проактивных защит контролировать не догадались (sic!).
Взглянем на псевдокод той части инсталлятора, которая выполняет обход проактивной защиты:
В дальнейшем, работая уже в контексте доверенного процесса, инсталлятор руткита загружает драйвер режима ядра, имена файла и системного сервиса для которого генерируются случайным образом. После загрузки в память драйвер руткита выполняет заражение уже установленного в системе легитимного драйвера и инициализирует устройство, обслуживающее собственную зашифрованную файловую систему руткита. На эту файловую систему инсталлятор записывает файлы tdlcmd. dll (код трояна, работающий в User Mode), config. ini (конфигурационный файл, расшифрованный текст которого был приведён выше – этот файл формируется инсталлятором «на лету» их тех данных, которые были «зашиты» в инсталлятор на этапе его сборки и конфигурирования) и bcfg. tmp (исходные конфигурационные данные из инсталлятора). После того, как заражение выполнено, драйвер и инсталлятор самоудаляются, а руткит остаётся жить в системе исключительно как «потерянный» фрагмент исполняемого кода: он записан в последние секторы физического диска и не существующий в виде файла.
Основное тело руткита не претерпело существенных изменений за последнее время за тем исключением, что обработчики дисковых перехватов руткита теперь дополнительно фильтруют такие запросы IRP, как IOCTL_SCSI_PASS_THROUGH. Подобные запросы, адресованые драйверу минипорта, некоторое время использовались утилитами для удаления TDSS.
Заражение драйвера
Одним из главных нововведений в версии 3.273 является то, что вместо заражения заранее известного драйвера минипорта дискового контроллера руткит теперь заражает случайный драйвер, выбирая его из числа загруженных в память на момент заражения. Претерпел существенные изменения и код, которым осуществляется заражение драйвера (он по-прежнему записывается поверх секции, в которой хранятся ресурсы).
Во-первых, поиск функций ядра, используемых в этом коде, теперь осуществляется по контрольным суммам, подсчитанным от их имён. В предыдущих версиях руткита адреса нужных функций хранились непосредственно в коде. Это изменение связано с инцидентом, произошедшим после выхода обновления Miscrosoft для уязвимости MS10-015: в результате использования в коде руткита фиксированных адресов функций ядра огромное количество зараженных пользователей после обновления получили «синий экран смерти» на этапе загрузки и, как следствие, неработоспособную систему (Windows blue screen may be result of rootkit infection).
Во-вторых, та часть кода заражения, которая осуществляет загрузку тела руткита из последних секторов физического диска, теперь шифруется методом XOR. Однобайтный ключ шифрования хранится в начале зараженной секции наряду с адресом оригинальной точки входа драйвера. Возможно, разработчики руткита предприняли этот шаг для обхода тех антивирусных утилит, которые использовали модификацию загружаемого драйвера в ходе лечения.
В третьих, для установки нотификатора на создание объектов типа «Control Device Object» в новой версии используется функция IoRegisterPlugPlayNotification, вместо функции IoRegisterFsRegistrationChange, используемой в более ранних версиях:
Рассмотрим псевдокод первой части кода заражения системного драйвера:
Вторая часть кода заражения системного драйвера, исполняемая при появлении определённых PnP событий, выполняет открытие устройства, имя которого передаётся в обработчик. После этого код заражения читает из последних секторов открытого устройства тело руткита, которое хранится в собственной зашифрованной файловой системе руткита под именем «tdl».
Стоит заметить, что начиная с версии 3.27 способ шифрования этой файловой системы несколько изменился: теперь вместо алгоритма RC4 со строкой «tdl» в качестве ключа используется инкрементальный XOR:
Формат самой файловой системы и логика её хранения на диске не изменились.
TDSS против антивирусных продуктов
В рамках исследования новых версий руткита мы провели тесты различных антивирусных программ с целью выяснения, насколько эффективно антивирусная индустрия противостоит руткиту TDSS на данный момент.
Тестирование производилось на платформе VMware с установленной гостевой операционной системой Windows XP Professional SP3. Были протестированы последние на момент написания данной заметки версии тех антивирусных продуктов, в которых ранее была заявлена способность к детектированию или лечению TDL3. Кроме того, с целью выяснения эффективности используемой в инсталляторе руткита техники обхода проактивных защит, в тестирование были дополнительно включены продукты, обладающие наиболее продвинутыми функциями поведенческого анализа (Comodo, ZoneAlarm, Outpost и Kaspersky Internet Security).
На виртуальную машину устанавливались последние версии тестируемых приложений, после чего осуществлялось обновление антивирусных баз и компонентов. Далее производился запуск инсталлятора руткита, перезагрузка гостевой ОС и полное сканирование системы тестируемым приложением с активацией всех возможных дополнительных настроек:
Название и версия программы
Обнаружение по поведению
Обнаружение активнго заражения
Лечение активного заражения
Dr. Web Security Space 6.00.0.04080
Kaspersky TDSSKiller 2.2.8.1
Обнаружен неправильный файл
Norman TDSS Cleaner 1.9.1.0
Vba32 AntiRootkit 3.12.4.0
MalwareBytes Anti-Malware 1.45
RootRepeal 2.0.0 Beta
Только в памяти (без имени зараженного файла)
Comodo Internet Security 3.14
Kaspersky Internet Security 2010 (9.0.0.736)
Только в памяти (без имени зараженного файла)
ZoneAlarm Internet Security Suite 9.1.507.0
Outpost Firewall Pro 2009 (3063.452.726.367)
Как видно из таблицы, с лечением активного заражения справилось всего две программы. Утилита TDSSKiller смогла обнаружить факт заражения, однако, в качестве зараженного файла был указан atapi. sys, что не соответствовало действительности:
Утилита RootRepeal смогла обнаружить только модифицированный руткитом Driver Object:
С поведенческим обнаружением инсталляции руткита в систему не справился ни один продукт.
С учётом относительно свежести тестируемого экземпляра руткита, рано делать какие-либо выводы из этих результатов. Но очевидно, что если в ближайшем будущем ситуация с детектированием TDL3 антивирусными программами не исправится, то он может стать для антивирусной индустрии самым существенным провалом со времён червя Conficker. По нашим данным, ботом TDSS заражено огромное количество машин – его ботнет на данный момент входит в число 10-ти самых крупных.
TDSS Remover
Вскоре после появления новой версии TDL3 мы выпустили обновление своей утилиты TDSS Remover:
Ошибка ActiveX/COM LocalServer32 (SpeechRuntime. exe) как исправить в Windows 10
Всем известна популярная программа-чистильщик CCLeaner. В ней есть множество функций, основные из которых — это удаление ненужных файлов и очистка реестра. Наверняка она есть на компьютерах большинства среднестатистических пользователей, которые периодически запускают её, чтобы очистить компьютер, чтобы он начал работать быстрее.
Мнение о том, что такие программы ускоряют компьютер и помогают продлить жизнь Windows и даже железу, бытует уже давно среди большинства пользователей. И такая уверенность в функциональности CCLeaner и подобных инструментов порой приводит к вопросам, решить которые самостоятельно затруднительно.
В данной статье рассматриваем один из таких вопросов. Что делать, если после проверки реестра на ошибки остаётся один не удалённый пункт — ошибка ActiveX/com LocalServer32 или SpeechRuntime. exe, и надо ли её исправлять, и если да, то как?
Что такое SpeechRuntime. exe
SpeechRuntime. exe — это один из файлов ядра системы Windows 10. Впервые он появился в составе официальной сборки 29 июля 2015 года и с тех пор присутствует в каждом обновлении.
Достоверно не известно, за что именно в Windows отвечает данный файл. Однако с уверенностью можно сказать две вещи. Во-первых, это точно не какой-то посторонний файл от установленной ранее программы. Во-вторых, это точно не вирус.
Завершение процесса, который выполняет SpeechRuntime. exe, или его удаление с определённой вероятностью может привести к неработоспособности Windows.
Что означает ошибка ActiveX/com в CCLeaner
Начать следует с того, что CCLeaner и все подобные программы — это коммерческие проекты. Несмотря на то, что этот инструмент бесплатный, у него есть платный тарифный план, который обещает больше возможностей. Зарабатывают такие проекты на уверенности большинства пользователей в том, что со временем компьютер засоряется какими-то файлами и его реестр увеличивается в объёме, что мешает работе системе. И исправить это безопасно можно только с помощью этих программ. И что, будто, после этого компьютер начинает работать быстрее.
Если вы хоть раз пользовались чистильщиками реестра, то наверняка замечали, что после очистки компьютер не начинает работать быстрее, загружаться быстрее или меньше зависать. Ниже вы можете видеть разницу загрузки системы на примере Windows 7 до и после использования CCLeaner и подобных программ. Разницы в работе компьютера нет. В Windows 10 всё точно так же.
Кроме того, даже ранние версии Windows абсолютно не используют те части реестра, которые не нужны в данный момент. Говоря простыми словами, если на компьютер была установлена программа, а потом запущенна, Windows использует ключи реестра, которые необходимы для этой программы. Когда программу закрыли, эти ключи больше не используются. Если эту программу позже удалили, в реестре остался балласт — ключи, которые не будут использоваться. Эти ключи никогда не активируются, пока программа не будет снова установлена и запущенна. А не используемые ключи реестра абсолютно никак не влияют на скорость работы компьютера.
Вам может быть это интересно: Код ошибки 0x80072F76 — 0x20017 в Media Creation Tool Windows 10.
Отсюда можно сделать вывод что периодическая очистка реестра не даёт системе никаких преимуществ. От этого не будет работать быстрее. Обратите также внимание на то, что Microsoft не поддерживает использование программ, которые очищают реестр. Об этом можно прочитать в «Политике поддержки Майкрософт для использования утилит очистки реестра». Поэтому нет смысла обращаться в поддержку Microsoft с вопросом об ошибке SpeechRuntime. exe при сканировании CCLeaner.
Подробнее об очистке реестра вы можете узнать на видео ниже.
Не редки случаи, когда после чистки реестра программами, подобным CCLeaner, система выходила из строя до такой степени, что компьютер нельзя было загрузить, и всё заканчивалось переустановкой Windows. Такие инструменты работают по своим алгоритмам, которые не всегда соответствуют идеям разработчиков Windows. Поэтому могут возникать конфликты.
Ради справедливости нужно заметить, что иногда чистка реестра всё-таки необходима. В некоторых случаях можно наблюдать невозможность установки драйверов или программ. Это может происходить как раз из-за того, что в реестре сохранились какие-то ключи, которые могут препятствовать инсталляции. Тогда данные ключи нужно удалить, чтобы новая программа могла записать их заново. Удалить ключи можно вручную, но только тем, кто точно знает что делает. Также можно применить CCLeaner и подобные программы. Но в этом случае, во-первых, удалится много других ключей реестра (возможно тоже не нужных), а во-вторых, может быть программе всё-таки не удастся обнаружить ошибочный ключ реестра.
Когда вы после проверки CCLeaner видите не удаляемую ошибку ActiveX/com LocalServer32 (SpeechRuntime. exe), вы можете смело её игнорировать. Её не надо удалять, не надо искать причин её появления. Собственно, как и не надо было и чистить реестр, поэтому пользы от этого никакой нет. То, что CCLeaner увидел в этом ключе ошибку, вовсе не означает, что это действительно проблема. Данный ключ должен присутствовать в системе.
Категорически нельзя открывать реестр и искать найденную ошибку ActiveX/COM и удалять её, если у вас нет необходимых знаний. Это может привести к неработоспособности Windows. Вообще открывать и редактировать реестр следует только с уверенностью в своих действиях, иначе переустановка Windows будет неизбежна.
От чего компьютер может работать медленно
Наверняка, вы запускали CCLeaner для того, чтобы хоть немного ускорить работу компьютера, в надежде что очистка реестра поможет вам. И теперь после прочтения этой статьи вам стало понятно, что это не выход. И на практике вы, скорее всего, в этом уже убедились.