Перейти к содержимому


Фото
- - - - -

Non-Pnp устройство с рэндомным именем в Win7 x64 sp1


  • Please log in to reply
18 ответов в этой теме

#1 Лиля84

Лиля84

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 18 Июнь 2017 - 07:18

Здравствуйте, уважаемые сотрудники компании Др.Веб и участники форума!

Примерно пару недель назад решила сменить свой старый антивирусный пакет на Dr.Web ввиду того, что стал он слишком прожорлив в плане потребления системных ресурсов, а Dr.Web известен своей компактностью и нетребовательностью к вычислительным мощностям ЭВМ (у меня далеко не игровой комп, и пользуюсь я им в основном для работы). Установила демку, всё понравилось, особенно возможность тонкой настройки под свои предпочтения. Однако пару дней назад наткнулась на один баг. Видимых нарушений работы ОС или антивируса от него не наблюдается, однако считаю данное поведение продукта странным и требующим исправлений.

Итак...

Дистрибутив скачен 08.06.17, "drweb-11.0-ss-win.exe", md5: d8cab727677236d8522d1679f95df3ad.

Система: Windows 7 x64 sp1 RU-ru.

При инсталляции (с установочным пакетом, загруженным несколько ранее, то же самое было) в разделе реестра "HKLM\SYSTEM\CurrentControlSet\Enum\Root" появляется пара legacy non-pnp устройств 4F95B49E608C1171 и 1404F41C (названия могут варьироваться) класса 8ECC055D-047F-11D1-A537-0000F8753ED1 (согласно Windows hardware DEV: This class is reserved for system use). Причем при каждой перезагрузке появляется новое устройство с рэндомным именем вида LEGACY_<RND_NAME>. В диспетчере устройств, разумеется, мы видим отображаемое имя, совпадающее с RND_NAME. Устройства помечены как отсоединенные, параметр Service совпадает с именем RND_NAME и ссылается на отсутствующий сервис/драйвер. Пример из моего реестра:

 

Spoiler

 

В редакторе реестра эти девайсы видны сразу, для отображения их в диспетчере устройств нужно создать пользовательскую переменную окружения (среды) DEVMGR_SHOW_NONPRESENT_DEVICES=1, и перезагрузиться. Потом открыть диспетчер устройств, включить опцию отображения скрытых устройств, развернуть раздел "Драйверы несамонастраиваемых устройств", и лицезреть следующую картину: (см. прикрепленные файлы: диспетчер устройств и реестр).

(тут их несколько больше было, я проредила, пока экспериментировала).

Почему я решила, что "виновник" Др.Веб? Ну, до его установки ничего подобного не было, и после удаления странные девайсы появляться перестали; я их все удалила, вновь установила Dr.Web, и все повторилось: после каждого включения новое устройство. При загрузке в безопасном режиме создание нового устройства не происходит. На чистой ОС Windows 7 x64 sp1, установленной на виртуальную машину, Др.Веб повел себя так же: после каждой перезагрузки новое отключенное non-pnp устройство со случайным именем. Смотрела компьютер коллеги по работе (у нее коммерческая лицензия почти пол года) – там то же самое, но устройств большое количество, думаю больше сотни. Логика ясна.

Из всего пакета у меня установлены только основные компоненты: антивирусный сканер, модуль обновления и Spider Guard (он же монитор).

Хотелось бы узнать, кто-то ещё наблюдал подобное, есть ли способы борьбы с этим явлением и, если это баг, то будет ли исправлен?

 

Прикрепленные файлы:

Spoiler

Сообщение было изменено Лиля84: 18 Июнь 2017 - 07:18


#2 GGS

GGS

    Member

  • Posters
  • 120 Сообщений:

Отправлено 18 Июнь 2017 - 10:58

Подтверждаю. У меня подобных "устройств" находится более тысячи.


 Пора ввести новое правило: бан за попытку держать посетителей форума за человек с альтернативными умственными способностямиов.
© http://forum.drweb.com/index.php?showtopic=312638#entry650375


#3 Полимер

Полимер

    Бетатестёр

  • Posters
  • 2 783 Сообщений:

Отправлено 18 Июнь 2017 - 11:36

Этим драйверам больше 4 лет.



#4 АВаТар

АВаТар

    Advanced Member

  • Posters
  • 701 Сообщений:

Отправлено 18 Июнь 2017 - 11:39

Реестр разбухает, свободной оперативной памяти становится всё меньше, не так ли?



#5 Lvenok

Lvenok

    Poster

  • Posters
  • 1 501 Сообщений:

Отправлено 18 Июнь 2017 - 12:00

На сколько помню Константин говорил, что это не баг, так задумано.

#6 Лиля84

Лиля84

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 22 Июнь 2017 - 14:26

Реестр разбухает, свободной оперативной памяти становится всё меньше, не так ли?

 

Вряд ли увеличение размера HKLM\SYSTEM будет заметно, если этих записей не десятки тысяч... Но система при каждом запуске тратит время и ресурсы на поиск не существующих устройств...

 

 

На сколько помню Константин говорил, что это не баг, так задумано.

 

Странно задумано... Зачем забивать ошибочными записями один из ключевых разделов реестра? Но если, предположим, пересоздание этого "устройства" необходимо, почему не реализовать очистку реестра от ставших не актуальными ключей?

_____________

 

Как я поняла, никто точно не в курсе, что это за устройства, и почему они бесконечно пересоздаются?



#7 Lvenok

Lvenok

    Poster

  • Posters
  • 1 501 Сообщений:

Отправлено 22 Июнь 2017 - 14:43

Реестр разбухает, свободной оперативной памяти становится всё меньше, не так ли?


Вряд ли увеличение размера HKLM\SYSTEM будет заметно, если этих записей не десятки тысяч... Но система при каждом запуске тратит время и ресурсы на поиск не существующих устройств...

На сколько помню Константин говорил, что это не баг, так задумано.


Странно задумано... Зачем забивать ошибочными записями один из ключевых разделов реестра? Но если, предположим, пересоздание этого "устройства" необходимо, почему не реализовать очистку реестра от ставших не актуальными ключей?
_____________

Как я поняла, никто точно не в курсе, что это за устройства, и почему они бесконечно пересоздаются?
особенности работы АВ продукта. Естествено внутреннюю кухню никто рассказывать не будет. Но ваше предложение Вы можете направить разработчикам.

#8 SergSG

SergSG

    Guru

  • Posters
  • 9 662 Сообщений:

Отправлено 22 Июнь 2017 - 14:47

Как я поняла, никто точно не в курсе, что это за устройства, и почему они бесконечно пересоздаются?

В курсе. Разработчики.

Только они могут прокомментировать. Если захотят.



#9 Nenya Amo

Nenya Amo

    Advanced Member

  • Posters
  • 608 Сообщений:

Отправлено 22 Июнь 2017 - 15:31

Лиля84, это по ходу от драйвера самозащиты АВ, который и плодит такие записи.



#10 pig

pig

    Бредогенератор

  • Helpers
  • 10 361 Сообщений:

Отправлено 22 Июнь 2017 - 15:57

Записи в Enum\Root плодит системный диспетчер служб, и он же их не чистит. Такова задумка разработчиков MS.
Почтовый сервер Eserv тоже работает с Dr.Web

#11 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 16 127 Сообщений:

Отправлено 22 Июнь 2017 - 16:15

тут нет бага. драйвер стартует со случайным именем на каждом ребуте ос. каждый старт бережно оседает в кеше менеджера служб
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#12 Nenya Amo

Nenya Amo

    Advanced Member

  • Posters
  • 608 Сообщений:

Отправлено 22 Июнь 2017 - 16:32

Записи в Enum\Root плодит системный диспетчер служб, и он же их не чистит. Такова задумка разработчиков MS.

что?! :huh: какая такая задумка, вы так не шутите, системный диспетчер служб, а вернее диспетчер управления службами (Service Control Manager) сам по себе ничего плодить и удалять не может, да через него создаются/удаляются/запускаются/останавливаются службы системы, но делается это по запросу как раз таки программ.



#13 Nenya Amo

Nenya Amo

    Advanced Member

  • Posters
  • 608 Сообщений:

Отправлено 22 Июнь 2017 - 16:35

драйвер стартует со случайным именем на каждом ребуте ос. каждый старт бережно оседает в кеше менеджера служб

Помнится мне, подобное и Daemon Tools и Alcohol делали, при каждом старте системы стартовали драйвер эмулятор с новым именем.



#14 АВаТар

АВаТар

    Advanced Member

  • Posters
  • 701 Сообщений:

Отправлено 22 Июнь 2017 - 18:19

каждый старт бережно оседает в кеше менеджера служб
Можно ли на этого "менеджера" как-то повоздействовать, чтобы он перестал быть Плюшкиным?

#15 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 16 127 Сообщений:

Отправлено 22 Июнь 2017 - 18:20

нет. но можно по пробовать удалять за собой.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#16 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 16 127 Сообщений:

Отправлено 22 Июнь 2017 - 18:22

на текущей win10 не вижу ни одного legacy_*, видно завязали
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#17 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 16 127 Сообщений:

Отправлено 22 Июнь 2017 - 18:36

теперь пробуем удалять свои легаси ключи. в след. билде
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#18 SergSG

SergSG

    Guru

  • Posters
  • 9 662 Сообщений:

Отправлено 22 Июнь 2017 - 19:22

Чет я на Win10 вообще такого не нашел. Или плохо искал.



#19 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 16 127 Сообщений:

Отправлено 22 Июнь 2017 - 19:53

выключили похоже. это же легаси
With best regards, Konstantin Yudin
Doctor Web, Ltd.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых