62 ответов в этой теме

[-=Raven=-]

 

"ESU" обновления на этих системах присутствуют ли?

На системах где есть ESU - BSOD 0x000000F7 (повторяется после перезагрузки).

На системах без ESU - служба DrWebAVService померла.

Всё это на Windows 2008 Server R2 или Windows 7.

 

На Windows Server 2012R2 служба DrWebAVService тоже померла.

[Goldman]

 

"ESU" обновления на этих системах присутствуют ли?

хм, да на моих есть ESU

 

Подтверждаю, на моих машинах присутствуют неофициальные обновления (сборник обновлений с blog.simplix.info)

Служба померла также на Windows Server 2012 R2

[Konstantin Yudin]

Мертвая служба правильный вариант, бсод это бага ос. И похоже баг наоборот на свежих апдейтаах 7-2008

[Konstantin Yudin]

Накодили в Майкрософт целое повреждение стека с подменой куки. Вот как надо проверять подпись в ядре.

[andrew65]

Алгоритм удаления агента следующий:

Грузимся в среде восстановления или с загрузочного диска в командной строке и переименовываем файл \system32\drivers\dwprot.sys

После этого грузимся в безопасном режиме (получается со 2-го раза) и удаляем агент утилитой.

[Pavel M.]

служба DrWebAVService померла.

Всё это на Windows 2008 Server R2 или Windows 7

+ Windows Server 2012 R2

+ Windows 10 Enterprise 2016 LTSB

Только официальные обновления.

[tvcsm]

Такая же ситуация была сегодня, BSOD f7. Windows 7, все на процессорах AMD, сейчас вроде восстановилось. Было 5 на машинах, на 2 агенты удалил все работает, пока удалял на 2 на остальных заработало нормально.

[andrew65]

Или еще проще - запустить утилиту удаления из среды восстановления.

[Goldman]

Я правильно понимаю что в онлайне проблема не лечится из-за самозащиты которую невозможно отключить?

Машины с мертвой службой безопасно перезагружать?

Сообщение было изменено Goldman: 11 Март 2022 - 15:51

[PtzRus]

После вчерашнего/позавчерашнего обновления модулей DrWeb от консоли управления отвались все клиенты с операционной системы Windows 7. А это 70 станций.

Вероятно потому что на всех этих компьютерах не стартует служба DrWeb Control Service. При этом на значке DrWeb в трее надпись DrWeb Starting... и все эти компьютеры жутко тоормозят.

Вручную запустить службу DrWeb Control Service не получается, ошибка 577.

Отключить/удалить DrWeb с клиентов не возможнно ни вручную ни утилитой drw_remover.exe.

Что делать? Все компьютеры с Windows 7 сейчас жутко тормозят. Работать не возможно.

 

P.S:  Что-бы я еще хоть раз связался в DrWeb..., да никогда в жизни. Удалить бы его хоть как то и забыть навсегда.

[Alexander007]

Нужен отчёт логи и дамп на проблемном машины и станции . Тех поддержка посмотрят .

Сообщение было изменено Alexander007: 11 Март 2022 - 18:27

[NickM]

Без логи не могут угадать ошибку.

Ничего угадывать и не надо.

Воспроизвести можно и на системах тестлаба, а там и логи и дампы будут под рукою.

[Vladislav Obrazcov]

Добрый день.

Для решения данной проблемы подготовлена утила fixservice.exe (SHA1: 882ADEF5733111C3EECEEA4C065D17C2739ED85E)

доступна тут: https://box.dev.drweb.com/s/gDpMczanSA2Zetk

Запуск должен производится от имени администратора

[NickM]

Добрый день.

Для решения данной проблемы подготовлена утила fixservice.exe (SHA1: 882ADEF5733111C3EECEEA4C065D17C2739ED85E)

доступна тут: https://box.dev.drweb.com/s/gDpMczanSA2Zetk

Запуск должен производится от имени администратора

 

Возможно глупый вопрос - через обновления ВСО фикс также будет доставлен?

Как скоро?

[Vladislav Obrazcov]

Если необходимо получить обновление с ВСО.

То есть только такой способ.

НА тех ПК где "drweb is starting" можно временно отключить проверку подписей

для этого

Откройте командную строку с правами администратора и последовательно
наберите следующие две команды:

bcdedit.exe /set loadoptions DDISABLE_INTEGRITY_CHECKS
bcdedit.exe /set TESTSIGNING ON
После выполнения каждой из команд должно появиться сообщение о том, что
команда выполнена успешно.

Перезагрузите компьютер и дождитесь обновления с сервера. Как только
прийдет DwService 12.11.9.12030 подписанный Microsoft

нужно отменить этот режим работы и вновь включить проверку цифровой
подписи, выполните следующие команды:

bcdedit.exe /set loadoptions ENABLE_INTEGRITY_CHECKS
bcdedit.exe /set TESTSIGNING OFF

[NickM]

Если необходимо получить обновление с ВСО.

То есть только такой способ.

Понятно, спасибо, способ непростой, тогда возможно будем обходиться фиксом.

 

Тогда созрели такие вопросы (сам фикс ещё не запускал) - этот фикс уже окончательный или будет каким либо др. способом оформляться и распространятся?

 

Вопрос заключается вот в чём - каким образом его раскатывать по сети?

 

Итак по пунктам:

 

1. Почему вопрос задавался про ВСО - например, администратор уже удалил агента "Dr.Web" на проблемных клиентских АРМ.

Тогда, каким образом администратор может убедиться, что сервером/ агентом обновлений фикс уже был скачан на сервер и уже можно "возвращать" агентов на клиентские АРМ?

Понял, контролируем версию: 

 

придёт DwService 12.11.9.12030 подписанный Microsoft

 

 

2. Если обновлений в ВСО не предвидится, то каким образом распространять фикс по сети - неужели только локально?

 

3. Имеются ли у фикса какие-нибудь ключи - например, по типу "silent install" или только интерактивная установка?

Сообщение было изменено NickM: 11 Март 2022 - 21:22

[andrew65]

1. Я правильно понимаю, что фикс решает в частности проблему BSOD-ов на клиентах?

2. Если агент на клиенте удален, то как правильно его установить, чтобы не было повторения проблемы?

Сообщение было изменено andrew65: 11 Март 2022 - 23:03

[NickM]

Я понял так:

 

1. Фикс решает отвал службы "DrWebAVService" на работающих системах.

Если у Вас был BSOD, то Вы наверняка агентов на таких АРМ уже удалили и решать фиксом там уже нечего;

 

2. На сервере контролируем версию, после восстанавливаем агентов:

придёт DwService 12.11.9.12030 подписанный Microsoft

[DoggoD]

прикольный инцидент..

хто виноват? MS?

[DoggoD]

и связано ли это как-то с текущей ситуацией в стране? т.е. можно ли рассматривать инцидент как преднамеренный?