У меня на клавиатуре мультимедийная кнопка. Кнопка вызывает start.exe с системного диска ntfs, start.exe вызывает ShellExecute(
http://mail.ru), с этим протоколом связана Опера, расположенная на отдельном ExFat томе (не флешка). DeepScreen начинает проверять start.exe, не находит ничего подозрительного и разрешает запуск. И происходит крах ExFat.sys.
Я не силён в системном программировании, поэтому ИМХО: fltmgr позволяет сторонним драйверам устанавливать перехваты, "фильтры" файловой системы. В стеке видно вызов fltmgr!FltpPerformPreCallbacks, который передаёт управление установленному фильтру от аваст: aswSnx+0x7014. Фильтр вызывает DeepScreen, DeepScreen проверяет exe и передаёт управление далее, exFat. exFat пытается выполнить задачу, но почти сразу встречает нулевой указатель и генерирует исключение. Кажется, Kei386EoiHelper и занимается обработками исключений.. Резюме: нулевой указатель проявляется сразу по выходу из aswSnx. И при этом, если отключить песочницу, указатель ненулевой и выполнение продолжается. М?
Указанное обновление как раз и позволяет XP видеть тома с ExFat.