Перейти к содержимому


Фото
- - - - -

Повисший сервис после запуска станции

Автор N1ke , сен 19 2016 09:30

  • Please log in to reply
30 ответов в этой теме

#1 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 19 Сентябрь 2016 - 09:30

Перезапустил машину, обнаружил уведомление от центра безопасности, что антивирус не запущен. Навожу мышкой на значек антивируса, на нем "Dr.Web is starting....". Изредка похожее поведение вижу на других машинах, тут поймал на своей. Что-то я могу сделать для помощи в отлове такого злодейства, чтобы оно больше не повторялось? Дамп с процесса снять не выходит, т.к. не выходит отключить самозащиту. Антивирус при этом действительно не работает совсем, лог спайдергейта с момента выключения не обновлялся, как и лог гейта. Лог запуска dwservice с момента перезагрузки и до текущего момента:

Spoiler

 

Отчет с машины приложил, могу попробовать ещё снять полный дамп памяти вашей утилитой, т.к. на ручной дамп машина не настроена. Что-то я ещё могу сделать?

Прикрепленные файлы:


#2 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 19 Сентябрь 2016 - 10:24

Для начала лайв дамп нашей утилитой, ссылку на дамп в личку мне.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#3 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 19 Сентябрь 2016 - 18:44

в дампе сервис ждет старта SE. SE стартанул, и через 12 сек. свернул ласты с "Unable to create RPC server (Недостаточно памяти для завершения операции.)" пока не осознал что это значит. если ребутнуться ситуация повторится, если да, то можно новый отчет?
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#4 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 20 Сентябрь 2016 - 09:16

После перезагрузки работает штатно


#5 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 942 Сообщений:

Отправлено 20 Сентябрь 2016 - 10:52

в дампе сервис ждет старта SE. SE стартанул, и через 12 сек. свернул ласты с "Unable to create RPC server (Недостаточно памяти для завершения операции.)" пока не осознал что это значит. если ребутнуться ситуация повторится, если да, то можно новый отчет?

Из моего опыта в таких ситуациях перезагружаться не надо, достаточно службу DrWebEngine запустить.


#6 Dmitry Volkov

Dmitry Volkov

    Poster

  • Dr.Web Staff
  • 1 047 Сообщений:

Отправлено 20 Сентябрь 2016 - 11:10

Понаблюдайте еще, вчерашнее обновление компонентов решало проблему с зависанием сервиса на его рестарте. Но ваша ли это проблема или нет - ответит ваш фидбек.


#7 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 22 Сентябрь 2016 - 12:27

Похоже, проблема другая. На другой машине обнаружил симптоматически в том-же самом состоянии антивирус. На сей раз зашел в службы, вручную запустил DrWebEngine и вроде антивирус завелся. Отчет снят до ручного запуска.

Если нужен, есть отчет снятый после запуска и дамп снятый в "сломанном" состоянии.

Прикрепленные файлы:


#8 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 14 Ноябрь 2016 - 13:17

Извиняюсь, был ен внимателен. Это сообщение можно удалить.


Сообщение было изменено N1ke: 14 Ноябрь 2016 - 13:19

#9 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 14 Ноябрь 2016 - 13:39

А, нет. Как выяснилось, был таки внимателен. В общем ситуация повторяется. Как минимум две машины были в сети с такими-же симптомами. В логе сервиса со старта до обеда только это:

...2016-Nov-14 09:16:55.812057 [1840] [LOG] Starting service...
===============================================================================
 Dr.Web Control Service for Windows v11.0.9.09150
 Copyright © Doctor Web, Ltd., 1992-2016
 Current arch: x64
 Binary: x64
 Operating System: win/nt/seven
 Command line: C:\Program Files\DrWeb\dwservice.exe --logfile=C:\ProgramData\Doctor Web\Logs\dwservice.log
===============================================================================
2016-Nov-14 09:16:55.822057 [2108] [INF] [service_main] !Set SERVICE_RUNNING successfully...Start
2016-Nov-14 09:16:55.822057 [2108] [INF] [svc] Unable to open FW driver. Disabling service ...
2016-Nov-14 09:16:55.852057 [2108] [INF] [subsysmanager] Starting STANDALONE components...
2016-Nov-14 09:16:55.992057 [2108] [INF] [template-parser] xml for lang: cn was successfully loaded from file
2016-Nov-14 09:16:55.992057 [2108] [INF] [template-parser] xml for lang: cs was successfully loaded from file
2016-Nov-14 09:16:56.012057 [2108] [INF] [template-parser] xml for lang: de was successfully loaded from file
2016-Nov-14 09:16:56.012057 [2108] [INF] [template-parser] xml for lang: en was successfully loaded from file
2016-Nov-14 09:16:56.012057 [2108] [INF] [template-parser] xml for lang: es was successfully loaded from file
2016-Nov-14 09:16:56.012057 [2108] [INF] [template-parser] xml for lang: et was successfully loaded from file
2016-Nov-14 09:16:56.012057 [2108] [INF] [template-parser] xml for lang: fr was successfully loaded from file
2016-Nov-14 09:16:56.012057 [2108] [INF] [template-parser] xml for lang: it was successfully loaded from file
2016-Nov-14 09:16:56.042057 [2108] [INF] [template-parser] xml for lang: ja was successfully loaded from file
2016-Nov-14 09:16:56.042057 [2108] [INF] [template-parser] xml for lang: kk was successfully loaded from file
2016-Nov-14 09:16:56.042057 [2108] [INF] [template-parser] xml for lang: ko was successfully loaded from file
2016-Nov-14 09:16:56.042057 [2108] [INF] [template-parser] xml for lang: lv was successfully loaded from file
2016-Nov-14 09:16:56.052057 [2108] [INF] [template-parser] xml for lang: pl was successfully loaded from file
2016-Nov-14 09:16:56.062057 [2108] [INF] [template-parser] xml for lang: pt was successfully loaded from file
2016-Nov-14 09:16:56.062057 [2108] [INF] [template-parser] xml for lang: ru was successfully loaded from file
2016-Nov-14 09:16:56.062057 [2108] [INF] [template-parser] xml for lang: sk was successfully loaded from file
2016-Nov-14 09:16:56.062057 [2108] [INF] [template-parser] xml for lang: tr was successfully loaded from file
2016-Nov-14 09:16:56.102057 [2108] [INF] [template-parser] xml for lang: uk was successfully loaded from file
2016-Nov-14 09:16:56.102057 [2108] [INF] [template-parser] xml for lang: zh was successfully loaded from file
2016-Nov-14 09:16:56.102057 [2108] [INF] [config] Create
2016-Nov-14 09:16:56.102057 [2108] [INF] [win_upgrade] create
2016-Nov-14 09:16:56.102057 [2108] [INF] [wsc] create
2016-Nov-14 09:16:56.102057 [2108] [INF] [protection] create
2016-Nov-14 09:16:56.102057 [2108] [INF] [ark-daemon] create
2016-Nov-14 09:16:56.102057 [2108] [INF] [hips] create
2016-Nov-14 09:16:56.102057 [2108] [INF] [licenses] Create
2016-Nov-14 09:16:56.102057 [2108] [INF] [secrets] Create
2016-Nov-14 09:16:56.102057 [2108] [INF] [qr] create
2016-Nov-14 09:16:56.122057 [2108] [INF] [event-manager] create
2016-Nov-14 09:16:56.152057 [2108] [INF] [local-services] create
2016-Nov-14 09:16:56.152057 [2108] [INF] [components] Create
2016-Nov-14 09:16:56.152057 [2108] [INF] [spider_scan] create
2016-Nov-14 09:16:56.152057 [2108] [ERR] [Updater getting downgrade components] Exception at [winapi_regkey_t::open]. Code 2 "The system cannot find the file specified. ".
2016-Nov-14 09:16:56.152057 [2108] [INF] [Updater] Create
2016-Nov-14 09:16:56.152057 [2108] [INF] [backup] create
2016-Nov-14 09:16:56.152057 [2108] [INF] [Scheduler] Create
2016-Nov-14 09:16:56.152057 [2108] [INF] [multicast] Create
2016-Nov-14 09:16:56.152057 [2108] [INF] [fw_client] create
2016-Nov-14 09:16:56.152057 [2108] [INF] [sysinfo] create
2016-Nov-14 09:16:56.152057 [2108] [INF] [statistics] create
2016-Nov-14 09:16:56.152057 [2108] [INF] [cluster] create
2016-Nov-14 09:16:56.152057 [2108] [INF] [virtual-fs] create
2016-Nov-14 09:16:56.152057 [2108] [INF] [dws9rpc] Create
2016-Nov-14 09:16:56.152057 [2108] [INF] [email] create
2016-Nov-14 09:16:56.152057 [2108] [INF] [subsysmanager] esmode
2016-Nov-14 09:16:56.152057 [2108] [INF] [subsysmanager] Creating ES components...
2016-Nov-14 09:16:56.152057 [2108] [INF] [DbStorage] Create
2016-Nov-14 09:16:56.152057 [2108] [INF] [DbStorage] db path: C:\ProgramData\Doctor Web\Database
2016-Nov-14 09:16:56.152057 [2108] [INF] [DbStorage] Trying to open DB for the current thread
2016-Nov-14 09:16:56.152057 [2108] [INF] [DbStorage] DB opened successfully
2016-Nov-14 09:16:56.152057 [2108] [INF] [DbStorage] dbi created
2016-Nov-14 09:16:56.152057 [2108] [INF] [DbStorage] exec: "DELETE FROM admin_message"
2016-Nov-14 09:16:56.272057 [2108] [INF] [Reconnector] Create reconnector
2016-Nov-14 09:16:56.272057 [2108] [INF] [EsUpdLoader] Create
2016-Nov-14 09:16:56.272057 [2108] [INF] [event_processor] create
2016-Nov-14 09:16:56.272057 [2108] [INF] [QWatcher] Create
2016-Nov-14 09:16:56.272057 [2108] [INF] [escanner] Create
2016-Nov-14 09:16:56.272057 [2108] [INF] [plugins] create
2016-Nov-14 09:16:56.282057 [2108] [ERR] [template-parser] switching templates to language -d failed. xml document is not loaded. Switched to default language: en
2016-Nov-14 09:16:56.282057 [2108] [INF] [template-parser] stages: retcode_descrs {
  retcode: UNKNOWN_ERROR
  text: "see log file for details"
}
retcode_descrs {
  retcode: SERVER_CONNECT_ERROR
  text: "unable to connect to update servers"
}
stage_descrs {
  numbers: CREATING_MIRROR
  text: "creating mirror"
}
stage_descrs {
  numbers: UPDATING_PRODUCTS
  text: "downloading files"
}
stage_descrs {
  numbers: POSTUPDATING
  text: "checking integrity"
}

2016-Nov-14 09:16:56.282057 [2108] [INF] [template-parser] finished loading templates for lang: en
2016-Nov-14 09:16:56.292057 [2108] [INF] [HIPSObject] Total 155 values for protect
2016-Nov-14 09:16:56.292057 [2108] [INF] [hips] reinit excludes. Got 0 values
2016-Nov-14 09:16:56.292057 [2108] [INF] [hips] Set ShellGuard status: disable
2016-Nov-14 09:16:56.332058 [2108] [INF] [Updater] set Updater logs to INFO
2016-Nov-14 09:16:56.342058 [2108] [INF] [win_upgrade] start
2016-Nov-14 09:16:56.342058 [2108] [INF] [wsc] start
2016-Nov-14 09:16:56.449858 [2108] [ERR] [get_spiderg3_state] SpiderG3State: -1; RpcStatus: 1722
2016-Nov-14 09:16:56.449858 [2108] [ERR] [get_engine_state] Exception at [engine_client.info]. Code 1722 "The RPC server is unavailable. ".
2016-Nov-14 09:16:56.449858 [2108] [INF] [wsc] fill_comp_state:  fw: 5 av: 4 as: 1
2016-Nov-14 09:16:56.449858 [2108] [INF] [protection] start
2016-Nov-14 09:16:56.449858 [2212] [INF] [wsc] COM Initialized code: 0
2016-Nov-14 09:16:56.465458 [2108] [INF] [protection] Remove 0 element from class list
2016-Nov-14 09:16:56.465458 [2108] [INF] [protection] Add  34 classes to list.
2016-Nov-14 09:16:56.465458 [2108] [INF] [protection] load bucket 0 success
2016-Nov-14 09:16:56.465458 [2108] [INF] [protection] load bucket 1 success
2016-Nov-14 09:16:56.465458 [2108] [INF] [ark-daemon] start
2016-Nov-14 09:16:56.590258 [2108] [ERR] [get_spiderg3_state] SpiderG3State: -1; RpcStatus: 1722
2016-Nov-14 09:16:56.590258 [2108] [ERR] [get_engine_state] Exception at [engine_client.info]. Code 1722 "The RPC server is unavailable. ".
2016-Nov-14 09:16:58.789862 [2108] [INF] [ark] load and init success version: 11.1.6.2016_08_17_0, API version = 806
2016-Nov-14 09:16:58.789862 [2108] [INF] [ark] system hash: DCAAADC55FCF9F71DB214122F5540511
2016-Nov-14 09:16:58.789862 [2108] [INF] [ark-daemon] started...
2016-Nov-14 09:16:58.789862 [2108] [INF] [DPH] reinit objects...
2016-Nov-14 09:16:58.789862 [2108] [INF] [HIPSObject] Total 155 values for protect
2016-Nov-14 09:16:58.789862 [2108] [INF] [DPH] reinit objects success
2016-Nov-14 09:16:58.821062 [2108] [INF] [DPH] <DefH> started.
2016-Nov-14 09:16:58.821062 [2108] [INF] [DPH] <DelH> started.
2016-Nov-14 09:16:58.821062 [2108] [INF] [DPH] <HrdH> started.
2016-Nov-14 09:16:58.821062 [2108] [INF] [DPH] Manager started...3 workers.
2016-Nov-14 09:16:58.821062 [2108] [INF] [hips] set hips status: 1
2016-Nov-14 09:16:59.819464 [2108] [ERR] [licenses] failed to load bool from registry: The system cannot find the file specified.
2016-Nov-14 09:16:59.819464 [2108] [ERR] [licenses] failed to load int from registry: The system cannot find the file specified.
2016-Nov-14 09:16:59.850664 [2108] [INF] [qr] start
2016-Nov-14 09:16:59.850664 [2108] [INF] [event-manager] start
2016-Nov-14 09:16:59.881864 [2108] [INF] [event-manager] database version is 1
2016-Nov-14 09:16:59.959864 [2108] [INF] [local-service] restore states for  files: 0 devguard_enabled: 0
2016-Nov-14 09:17:17.291494 [2212] [INF] [wsc] AV registered: 1 FW registered: 0 AS registered: 1

Хотелось бы помнять, какая информация от меня может пригодиться? Аналогично не запущен скан энджайн, помогает его запуск. Может ему авторекавери добавить или поднимать его из сервиса повторно? Машины в этот момент без защиты работают.


#10 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 14 Ноябрь 2016 - 13:50

dwengine какой версии?
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#11 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 14 Ноябрь 2016 - 13:56

Если речь про dwengine.exe, то 11.1.4.11020


#12 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 14 Ноябрь 2016 - 13:57

хм. нужен наш отчет и дамп с dwservice
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#13 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 14 Ноябрь 2016 - 14:03

А как его снять, если самозащиту в этот момент не отключить и по заказу оно не проявляется, к сожалению? Полный дамп памяти пойдет?


#14 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 14 Ноябрь 2016 - 14:40

пойдет.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#15 VVS

VVS

    The Master

  • Moderators
  • 19 399 Сообщений:

Отправлено 02 Декабрь 2016 - 10:46

Офтопик переехал - https://forum.drweb.com/index.php?showtopic=326358

alex_swap, Вам ещё предупреждение за офтопик.

Модератор.


Сообщение было изменено VVS: 02 Декабрь 2016 - 10:50

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid

#16 alex_swap

alex_swap

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 02 Декабрь 2016 - 11:00

в организации таких компов с

drweb is starting

уже пяток набирается,
но это ведь наверно тоже оффтопик и не сюда


#17 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 871 Сообщений:

Отправлено 02 Декабрь 2016 - 11:03

в организации таких компов с

drweb is starting

уже пяток набирается,
но это ведь наверно тоже оффтопик и не сюда

Пишите в свою тему.


#18 VVS

VVS

    The Master

  • Moderators
  • 19 399 Сообщений:

Отправлено 02 Декабрь 2016 - 11:09

в организации таких компов с

drweb is starting

уже пяток набирается,
но это ведь наверно тоже оффтопик и не сюда

Если сервис подвисает, то сюда, если долго стартует - не сюда.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid

#19 N1ke

N1ke

    Member

  • Posters
  • 374 Сообщений:

Отправлено 06 Декабрь 2016 - 11:31

пойдет.

Наконец поймал компьютер в таком состоянии. Отчет и дамп отправил в ЛС.


#20 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 06 Декабрь 2016 - 15:23

сенкс поглядим.
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Назад к Dr.Web Enterprise Suite

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Dr.Web Enterprise Suite
  4. Privacy Policy
  5. Terms & Rules ·