Всем доброго времени суток!
Проблема в следующем:
железо: 2 компьютера и ноутбук под управлением Win7 x64, в сеть не объеденины;
ПО: CIS Premium 5.3.176757.1236 x64;
баг: - запускаем полное сканирование, профиль Мой компьютер,
- на одном прекрасном файле (всегда на несистемном диске) проверка виснет и остановить ее никакими средствами кроме ресета невозможно;
- после перезагрузки и повторного запуска сканирования зависание происходит на том же самом файле;
- файл может быть любой, от образа *.iso в 4ГБ до текстового документа в 10 кБ, если проверить этот файл отдельно то вирусов не находит, если удалить этот файл, то, после ресета, виснет на следующем в папке и т.д.;
- если создать профили сканирования для каждого раздела и запускать по очереди, то сканирование проходит без проблем.
Все это началось после обновления до версии 5.3. На компах периодически проводится чистка мусора и реестра средствами Windows7Manager.
Есть у кого-либо мысли по этому поводу? Надпись “Полная проверка компьютера не проводилась” уже порядком поднадоела.
За ранее, спасибо!
В том-то и дело, что на одном из 3-х компов переустанавлил, удалил полностью, почистил реестр плюс CIS Clean-up Tool, потом установил заново, обновил базы и… опять такой же косяк, понять не могу, в чем беда, попробую установить более старую версию 5.0 (благо сохранилась)
Пользую CIS больше года и он не перестает меня удивлять!!!
Сейчас, предварительно полностью удалив версию 5.3, установил 5.0.
При попытке выхода в интернет через пчелайновский модем - вылет на синий экран смерти. Чистый карантин, все что нужно разрешено, песочница отключена изначально. Поэкспериментировал с настройками, отрубал антивирь, фаервол и проактивку по отдельности и вместе. Не поверил. Удалил комодо. Выход в инет без проблем. Не поверил. Поставил 5.0 опять. Синий экран. Поставил обратно 5.3. Инет работает без проблем, через модем сейчас и сижу.
Удалял всегда полностью с CIS Clean-up Tool, последующей чисткой реестра и диска от мусора на всякий.
Чувствую себя идиотом.
Проблема с зависанием сканирования не решена.
Пользую CIS больше года и он не перестает меня удивлять!!!!
Сейчас, предварительно полностью удалив версию 5.3, установил 5.0.
При попытке выхода в интернет через пчелайновский модем - вылет на синий экран смерти. Чистый карантин, все что нужно разрешено, песочница отключена изначально. Поэкспериментировал с настройками, отрубал антивирь, фаервол и проактивку по отдельности и вместе. Не поверил. Удалил комодо. Выход в инет без проблем. Не поверил. Поставил 5.0 опять. Синий экран. Поставил обратно 5.3. Инет работает без проблем, через модем сейчас и сижу
[b]BCCode: 1000007e BCP1: FFFFFFFFC0000005[/b] - это как правило проблема драйверов использующих некорректную адресацию, либо проблема с оперативной памятью.
Нужно файл дампа смотреть - *.dmp (C:\Windows\Minidump или %SystemRoot%\Minidump - что по сути одно и тоже, если винда на диске С )
Есть хорошая утилитка - BlueScreenView. Показывает, что стало причиной BSOD(Синий экран). Русик к ней выложил в атаче(см.вложен.архив), файлик кидаем в папку с утилитой. Думаю разберетесь…
Ntfs.sys - это системный процесс Windows. У процесса нет видимого окна. Это заслуживающий доверия файл от Microsoft. У процесса нет детального описания. Ntfs.sys представляется сжатым файлом. Поэтому технический рейтинг надежности 1% опасности
Важно: Некоторые вредоносные программы маскируют себя как Ntfs.sys, особенно, если они находятся в каталоге c:\windows или c:\windows\system32. Таким образом, проверьте действительно ли процесс Ntfs.sys на вашем компьютере является программой-вредителем. Источник http://www.filecheck.ru
Ntoskrnl.exe — файл ядра операционных систем семейства Windows NT (NT 4.0, 2000, XP, 2003, Vista, 2008, 7, 2008 R2). Данный файл запускается загрузчиком ядра NTLDR в безопасном режиме.(Википедия)
cmdhlp.sys - комодовский файл, чем он занимается - мне неизвестно
С отчетом report_11 еще не разобрался, а вот report_12 указывет на sptd - драйвер daemonа. Эту прогу (Daemon Tools Lite) уже подозревал в зависе антивиря. На всех проблемных компах она установлена. После установки CIS всегда приходилось переустанавливать старую версию демона, новая - 4402-0131 казалась менее конфликтной. Сейчас прога удалена, но антивирь виснет.
Спасибо liservikу & SerBу, но проблема осталась… что делать с файлом дампа? имхо, BSOD, завис антивиря и daemon(уже удаленный) связаны по-любому.
P.S. Daemon был добавлен в исключения везде, в т.ч. и shell-кода. Не ужели никто им не пользуется? Если в чем не прав - пардонте))) и просвятите
acid2010, у Вас настолько “разносторонняя” проблема, что интересно было бы увидеть список загруженых драйверов. Можно от Гмера, можно этим. Смущает присутсвие в бсодах драйвера файловой системы. Шлейфы, бэды, SMART и т.п. проверяли? Касательно зависания при проверке. NTUSER.DAT всё-таки не совсем “обычный” файл, кроме того, почему он на F:? Вы перенесли профили на другой диск или это “остатки”?
На ноуте (откуда скрины) у меня 2 операционки - Seven x64 и XP x64 в разделах C и F соответственно. Под XP тоже стоит CIS, но версии 5.0 и при запуске сканирования все проходит нормально.
Напомню, что такая же проблема еще и на 2-х стационарных компах под системой - 7x64. С них скрины пока не могу выкинуть по причине территориальной удаленности.
Вот список драйверов - на мой взгляд, ничего опасного
могу предположить, что BSOD похоже к “зависанию сканирования” отношения не имеет, там скорее конфликтуют драйвер файловой системы и комодовский хелпер и скорее виновен именно ntfs.sys, а cmdhlp его провоцирует на “синьку”. А это может быть что угодно, от загибающегося харда(хотя у него в основном ошибка с полтинником вылетает) до бага с изменением размеров кластера в партициях(если двигали разделы сторонними прогами). Тут надо бы спеца хорошего.
К вопросу о зависании: попробуйте ка исключить из автозагрузки Bluetooth… и проверьте навсяк драйвер sptd.sys на валидность (у меня на семерке: размер - 691 696 байт, путь-%windir%\system32\drivers, хеш и т.д.), хотя что ругается утилита Касперского на него - не факт, он работает как руткит)
А Вам будет проблематично проверить наличие BSOD’ов с отключенными cFosSpeed’ом и модемными драйверами (ZTE)? (Ума не приложу, зачем USB-модему грузить аж три модуля “наверх”…)
sptd у меня весит 501 кБайт. Действительно, странно как-то, что он не удалился после сноса демона.
а что за странный скрытый файл AJZQU без расширения у меня в корне на диске С? чет не могу по нему инфы найти.
Обычное явление. От него обычно целое дело избавиться. Кстати, строго говоря, sptd не привязан к демон-тулз, это самостоятельный продукт: http://www.duplexsecure.com/
Смотрите содержимое, такого “имени” явно недостаточно.
Полазил по форумам конкурентов, такие же баги встречаются у всех. Ни одного действенного совета нигде нет, общее только - windows 7, в 90% случаев x64. Касперы лишь довольно отписались, что в версии 2012 ошибка устранена.
Что пробовал:
-удалил sptd, как написано здесь http://mountiso.ru/forum/6-11-1;
-почистил автозагрузку, поудалял левые задачи из планировщика, чистка мусора, реестра;
-проверка всех разделов на ошибки, дефрагментация штатными средствами и AusLogics
Результат: теперь сканирование виснет на следующем файле в папке ntuser.dat.LOG
Подумываю форматнуть диск F.
Мне уже кажется, что это вирь какой-то. Ибо вот, что происходит при сканировании DrWeb CureIt!
Вылет происходит в папке Documents and Settings на диске С. Такая вообще на семерке должна быть??? В нее зайти не смог, удалил ее в корзину, перезагрузился, система работает, папка не появилась…
Всякое может быть, с компакта/флэшки не пробовали проверить? Посмотрите, какая dll-ка по этому адресу. Только это нужно делать при вылете и до перезагрузки, если ASLR включен.
Да, должна. Это символьная ссылка, для совместимости.
Вы так можете все профили прихлопнуть, одним махом. Аккуратнее.
что делать с файлом дампа? имхо, BSOD, завис антивиря и daemon(уже удаленный) связаны по-любому.
Кстати, строго говоря, sptd не привязан к демон-тулз, это самостоятельный продукт: