27 ответов в этой теме

[KbIpyXA]

Доброго времени суток. Столкнулся со следующей проблемой:

Есть: 

Сервер с установленным центром управления DrWeb SS

Клиентский компьютер с установленной Win7 и Office XP

Проблема:

При запуске Word или Excel - приложение падает сразу после запуска. В Событиях видим следующее:

 

Preventive protection event: Exploit

 

id: 5384, type: ShellGuard (50), flags: 1 (wait: 1), cid: 2320/2588:\Device\HarddiskVolume2\Program Files\Microsoft Office\Office10\EXCEL.EXE

  hips: type: 23, action: deny [5]

  address: 0x12fccc

  Provided message: "DEP-triggered exception"

 

Additional information: ""

 

Mitigation type: DEP-triggered exception

 

Registers: 

 

EAX = 0x0012FCFC

ECX = 0x03EB027C

EDX = 0x00000012

EBX = 0x00000000

ESP = 0x0012FCF0

EBP = 0x0012FD00

ESI = 0x03EB0010

EDI = 0x00000005

 

ThreadId = 2588

 

Instruction address is 0x12FCCC

 

Disassembly near 0x12FCCC:

0x0012FCBD: cmp esp, [ebx]

0x0012FCBF: cwde

0x0012FCC0: test [ebx], bh

0x0012FCC3: cwde

0x0012FCC4: nop

0x0012FCC5: add ecx, [0x64x]

0x0012FCCB: cwde

>>>0x0012FCCC: cmp esi, ecx

0x0012FCCE: push cs

0x0012FCCF: add dword [eax], 0x64x

0x0012FCD2: add [eax], al

0x0012FCD4: add al, 0x64x

0x0012FCD6: add [eax], al

0x0012FCD8: xor al, 0x64x

 

 

  signer: L=Internet|O=VeriSign, Inc.|OU=VeriSign Commercial Software Publishers CA|OU=www.verisign.com/repository/RPA Incorp. by Ref.,LIAB.LTD©98|OU=Digital ID Class 3 - Microsoft Software Validation v2|C=US|ST=Washington|L=Redmond|CN=Microsoft Corporation|OU=Microsoft Corporation, timestamp: 11.04.2001 18:00:22.0000, thumbprint: b159a52e3dd8cecd3a9a4a7a7392aa8da7e7d67f

  hash: 4e9594c947830210d57416ec8a8709ea12320bef status: db_cert_white_list, signed, pe32 (0x100204) / signed / unknown

send user blocked alert

id: 5384 ==> denied [5], time: 0.244999 ms

 

Попытался в центре управления выключить превентивную защиту для конкретного компьютера - ничего не дало. Полистал ветку - понял что периодически появляются косяки с DrWeb и MS Office.

[Konstantin Yudin]

office xp сам по себе не совместим с DEP. можно выключить нас и включить DEP в самой системе, то будут те же падения. так жеabs могут ббыть какие то плагины не хорошие, типа старого Office Tabs. для начала нужен отчет с той машины.
office лицензионный?

[KbIpyXA]

Всё - лицензия, до прошлой недели - всё было норм, компьютер уже настроен года два и таких глюков не наблюдалось. Сейчас подобный глюк появился на компе с ХР и таким же офисом. 

[Aleksey Tarakhti]

Всё - лицензия, до прошлой недели - всё было норм, компьютер уже настроен года два и таких глюков не наблюдалось. Сейчас подобный глюк появился на компе с ХР и таким же офисом. 

 

Пожалуйста, снимите дамп с проблемного процесса. Как это сделать написано вот тут:

http://forum.drweb.com/index.php?showtopic=325637

[SergSG]

http://forum.drweb.com/index.php?showtopic=325637

Алексей, допишите, куда procdump сохраняет дампы.

[Aleksey Tarakhti]

 

http://forum.drweb.com/index.php?showtopic=325637

Алексей, допишите, куда procdump сохраняет дампы.

 

 

Сделано.

[SergSG]

 

 

http://forum.drweb.com/index.php?showtopic=325637

Алексей, допишите, куда procdump сохраняет дампы.

 

 

Сделано.

Спасибо. Правда у меня ни разу с этой штуковиной не получилось...

[KbIpyXA]

Не могу снять Дамп, так как процесс сразу же завершается при попытке запуска. Появляется окошко Ворда/Экселя, и сразу падает.

[KbIpyXA]

Вот что удалось снять, пока процесс не успел упасть https://cloud.mail.ru/public/8Lir/TmW6HzodG

Сообщение было изменено KbIpyXA: 01 Сентябрь 2016 - 13:32

[Aleksey Tarakhti]

Не могу снять Дамп, так как процесс сразу же завершается при попытке запуска. Появляется окошко Ворда/Экселя, и сразу падает.

 

Вы перевели Защиту от эксплойтов в интерактивный режим?

[KbIpyXA]

 

Не могу снять Дамп, так как процесс сразу же завершается при попытке запуска. Появляется окошко Ворда/Экселя, и сразу падает.

 

Вы перевели Защиту от эксплойтов в интерактивный режим?

 

как это сделать через центр управления?

[Aleksey Tarakhti]

 

 

Не могу снять Дамп, так как процесс сразу же завершается при попытке запуска. Появляется окошко Ворда/Экселя, и сразу падает.

 

Вы перевели Защиту от эксплойтов в интерактивный режим?

 

как это сделать через центр управления?

 

 

1. Перейти в раздел "Антивирусная сеть".
2. Выбрать рабочу станцию, на которой хотите изменить настройки.
3. Перейти в раздел "Конфигурация  -> Агент Dr.Web".
4. Выбрать пункт "Превентивная защита".
5. Установить значение "Интерактивный режим" для опции "Защита от эксплойтов".
6. Сохранить настройки.

После этого во время воспроизведения проблемы будет отображаться уведомление на станции "Блокировать исполнение неавторизованного кода?". Не закрывайте его и снимите дамп с проблемного процесса, его PID указан в нотификации.

[KbIpyXA]

Полный дамп без сжатия.

https://cloud.mail.ru/public/Gbj7/JQwzx1Run

[Aleksey Tarakhti]

Полный дамп без сжатия.

https://cloud.mail.ru/public/Gbj7/JQwzx1Run

 

Спасибо.

[Aleksey Tarakhti]

Полный дамп без сжатия.

https://cloud.mail.ru/public/Gbj7/JQwzx1Run

 

Разобрались в чём проблема. У вас в каталоге "C:\Program Files\Common Files\Microsoft Shared\Office10\" лежит "MSO.DLL" версии "10.0.2625". Это весьма старая версия компонента и именно с ней возникает проблема. Обновление Microsoft Office должно избавить вас от проблем.

 

Чуть позже мы выпустим фикс для mso.dll 10.0.2625

[KbIpyXA]

Офис - обновил, глюк - пропал. Спасибо за оперативность. Тему можно закрывать. 

[AndreyKa]

 Клиентский компьютер с установленной Win7 и Office XP

Если не секрет, что заставляет вас использовать такой древний Office вместо LibreOffice, например?

[SergSG]

 

 Клиентский компьютер с установленной Win7 и Office XP

Если не секрет, что заставляет вас использовать такой древний Office вместо LibreOffice, например?

 

В корпоративе не редкость - какой купили, тот и юзается. Навсегда.

[Aleksey Tarakhti]

 

 Клиентский компьютер с установленной Win7 и Office XP

Если не секрет, что заставляет вас использовать такой древний Office вместо LibreOffice, например?

 

 

LibreOffice и OpenOffice немного не подходят для определённых целей. К примеру, документы со сложной структурой в них теряют разметку и превращаются в нечто неудобочитаемое.

Что касается невозможности обновить Microsoft Office до актуальной версии, так это нежелание пользователей знакомиться с новым интерфейсом и весьма внушительная сумма апгрейда при парке машин от 100 единиц,

[KbIpyXA]

Доброго времени суток. Опять возникла проблема, в данном случае с MS Word 2013/2016. Всё как и в прошлый раз. 

Дамп - прилагаю.