21 ответов в этой теме

[Zeratul]

CureIt стал падать при работе, при этом в системный журнал событий Dr.Watson'ом пишется следующая ошибка:

Приложение C:\DOCUME~1\admin1\LOCALS~1\Temp\1\RarSFX0\setup.exe вызвало ошибку Ошибка в 19/02/2009 @ 12:54:17.103 Вызвано исключение 80000007 по адресу 00000000 (ntdll!KiFastSystemCallRet)

CureIt.log просто обрывается с записью о последнем проверенном файле.
CureIt свежий, но началось это примерно пару дней назад.
Система: Windows Server 2003 Std R2 Rus

[userr]

CureIt стал падать при работе, при этом в системный журнал событий Dr.Watson'ом пишется следующая ошибка:

Нужен дамп Dr.Watson

[Borka]

CureIt.log просто обрывается с записью о последнем проверенном файле.

Файл один и тот же?

[Zeratul]

Спотыкается на разных файлах, но они все лежат "недалеко" друг от друга - проверяется каталог в несколько десятков гигабайт, и каждый раз CureIt падает примерно на одном и том же месте, где-то на 35-40%, в одном и том же подкаталоге. Проверял этот подкаталог отдельно - проверка проходит нормально.
Сгенерированный Ватсоном дамп - во вложении.

Прикрепленные файлы:

•  drwatson.zip   11,4К   97 Скачано раз

[Konstantin Yudin]

Сгенерированный Ватсоном дамп - во вложении.

спасибо, взяли. не могли бы вы запустить курит с ключом /dbg:2 на проверку. как только он упадет, откройте рядом с логом курита файл с расширением .dbg в нем и будет написан путь к файлу на котором упали. этот файл нам бы получить, или хотябы узнать что за файл. спасибо!

[Konstantin Yudin]

глянул дамп. кто то мешает сканеру.
1. скачайте пожалуйста: http://www.rootkit.com/vault/DiabloNova/RkU3.8.342.554.rar
2. распакуйте его и запустите. сделайте лог RKU как показано тут
3. прикрепите лог сюда на форум.

[Zeratul]

Проделал предложенные процедуры, результат во вложении.
Report.txt - отчёт RKU, pstools.chm - файл, на котором последний раз упал CureIt.

Прикрепленные файлы:

•  files.zip   58,96К   39 Скачано раз

[Konstantin Yudin]

Проделал предложенные процедуры, результат во вложении.
Report.txt - отчёт RKU, pstools.chm - файл, на котором последний раз упал CureIt.

спасибо. проверил куритом, нничего не упало. может NOD32 мешает, по пробуйте его выключить и проверить заново?

[Zeratul]

NOD32 работает только в режиме зеркала для обновлений, остальные его функции отключены. Пробовал ещё отключать центр управления, службу ядра просто так не потушить, надо перезагружаться. Безрезультатно. Причём зеркало не обновляется с начала февраля, а сбои CureIt начались позже. Так что виноват, как мне кажется, сам CureIt. Кроме него, в системе ничего не обновлялось (за исключением, может быть, "Гаранта", постараюсь проверить и эту версию).

P.S. Остановил сервер "Гаранта", не помогло. Версия CureIt последняя.

[basid]

P.S. Остановил сервер "Гаранта", не помогло. Версия CureIt последняя.

Раньше у Гаранта был драйвер защиты.
Остановка службы самого Гаранта на этот драйвер никак не влияет.

[Zeratul]

Поправка насчёт обновлений. Примерно в то же время, как начал давать сбои CureIt, было установлено обновление Windows MS09-001 (958687).

Раньше у Гаранта был драйвер защиты

У нас такого нет.

[basid]

Раньше у Гаранта был драйвер защиты

У нас такого нет.

"Нет" и "Не вижу" - разные вещи.
"Отображать не плюг-н-плей драйверы" включали?

[basid]

Система: Windows Server 2003 Std R2 Rus

У меня не воспроизводится. Как минимум - на быстрой проверке (WS2003 R2 SP2 + beta ES5).

[Zeratul]

"Отображать не плюг-н-плей драйверы" включали?

Включил. Посмотрел. Нету. Да и с чего бы ему быть, если при установке "Гаранта" драйвер явно не ставился и электронного ключа нет?

У меня не воспроизводится. Как минимум - на быстрой проверке (WS2003 R2 SP2 + beta ES5).

На файле, который я выложил? И не будет воспроизводиться. Потому что и у меня воспроизводится только на проверке всего родительского каталога, который весит 80 Гб. А если проверять отдельно подкаталог, в котором этот файл лежит, то всё нормально и ничего не падает. Вообще впечатление такое (скорее всего, обманчивое), что у CureIt'а переполняется какой-то буфер, либо на него DEP срабатывает.

[basid]

либо на него DEP срабатывает.

Сомнительной полезности фича. Я выключаю.

[Eugeny Gladkih]

либо на него DEP срабатывает.

Сомнительной полезности фича. Я выключаю.

это зря...

[basid]

это зря...

Нет, не зря.
Я кроме DEP ещё и HT на P4 выключу. Если, конечно, попадётся P4.
Тоже не без причины

[Aitishnik]

Нет, не зря.
Я кроме DEP ещё и HT на P4 выключу. Если, конечно, попадётся P4.
Тоже не без причины

А HT-то за что (учитывая вышедший в продажу Core i7, поддерживающий HT, что делает последний вновь актуальным)?


Хотя мнение о DEP тоже было бы интересно услышать...

[basid]

А HT-то за что

На P4 для некоторых файлов PowerPoint и Word вис 2003 офис.
Т.е. загрузку (небольшого) файла можно было ждать минут пятнадцать. Или недождатся вообще.
Отключение HT полностью снимало проблему. С учётом призрачного влияния на производительность - нафиг такую фичу.

[Eugeny Gladkih]

А HT-то за что

На P4 для некоторых файлов PowerPoint и Word вис 2003 офис.
Т.е. загрузку (небольшого) файла можно было ждать минут пятнадцать. Или недождатся вообще.
Отключение HT полностью снимало проблему. С учётом призрачного влияния на производительность - нафиг такую фичу.

зато сбойный CD диск не вешал систему и ES сканер / SpIDer Gard работает на 28% быстрее