23 ответов в этой теме

[jk3]

DrWeb 9 с последними обновлениями.

WinXP SP3 x86

 

Спустя некоторое время после загрузки (2-5 мин) начинают сыпаться события в лог (со 100% загрузкой процессора):

 

 

 

 

Тип события: Ошибка
Источник события: Dr.Web Engine
Категория события: Отсутствует
Код события: 160
Дата: 20.01.2014
Время: 22:41:56
Пользователь: Н/Д
Компьютер: PC
Описание:
"invalid_parameter" handler called, thread going to be aborted.
Expression: unknown
Function: unknown
File: unknown
Line: unknown

Тип события: Ошибка
Источник события: Dr.Web Engine
Категория события: Отсутствует
Код события: 1019
Дата: 20.01.2014
Время: 22:41:56
Пользователь: Н/Д
Компьютер: PC
Описание:
Exception 00000057 occured at 7C812AEB during tree scanner invoke

Тип события: Ошибка
Источник события: Dr.Web Engine
Категория события: Отсутствует
Код события: 9999
Дата: 20.01.2014
Время: 22:41:56
Пользователь: Н/Д
Компьютер: PC
Описание:
Exception: 00000057 (00000001) @7c812aeb
ESP=23:00dde5a0 EBP=23:00dde5f4
EIP=1b:7c812aeb (5E C9 C2 10 00 85 FF 0F 8E 36 93 FF FF 8B 55 FC)
DS=23 ES=23 FS=3b GS=00
EAX=00dde5a4 EBX=00000000 ECX=00000000 EDX=d50c0002
EDI=00000000 ESI=00dde63c EFL=00000202

 

 

Отключение Guard-а не помогает.

Ошибки перестают сыпаться только при отключении в настройках антируткита.

[RomaNNN]

Логи с машины можете прикрепить?

[jk3]

Логи.

Пароль от архива выслал в личку.

Прикрепленные файлы:

•  200114_231043.7z   2,75Мб   3 Скачано раз

[RomaNNN]

Хорошо.

 

Сделайте следующее: 

 

1) В редакторе реестра найдите:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Windows Error Reporting

Создайте новый ключ:

LocalDumps

 

внутри создайте параметры:

 

DumpFolder REG_EXPAND_SZ %LOCALAPPDATA%\CrashDumps

DumpType REG_DWORD 2

 

2) Найдите 

HKEY_CURRENT_USER\Software\Microsoft\Windows\Windows Error Reporting

и сделайте то же самое 

 

Перезагрузите машину. Если повезло, crash-dump будет лежать в каталоге %LOCALAPPDATA%\CrashDumps.

 

В любом случае, сообщите о результатах.

[jk3]

У меня WinXP, поэтому таких ключей и путей нет.

 

Но сегодня всё нормально, в лог ничего не сыпется.

Что это было, так и не понял.

[SergSG]

У меня WinXP, поэтому таких ключей и путей нет.

 

Но сегодня всё нормально, в лог ничего не сыпется.

Что это было, так и не понял.

Не расстраивайтесь. Большинство форумчан из этой темы тоже ничего не поняли.

[Diana Lebedeva]

RomaNNN, WER не поможет в случае XP., его тонкая настройка доступна только с начиная с ос Vista.

[RomaNNN]

RomaNNN, WER не поможет в случае XP., его тонкая настройка доступна только с начиная с ос Vista.

 

Ок, тогда по-другому.

 

jk3, в следующий раз, как только заметите что SE опять крошится, сделайте следующее:

 

 

1) Скачайте утилиту procdump - http://download.sysinternals.com/files/Procdump.zip

Распакуйте и поместите ее на диск C: чтобы получилось так C:\procdump.exe

 

2) Отключите самозащиту DrWeb.

 

3) Откройте cmd (запустите с правами администратра), введите следующую строчку:

 

C:\procdump.exe -e -ma dwengine.exe c:\dwengine.dmp

Утилита начнет наблюдение за процессом.

 

4) Как только SE упадет в очередной раз, в окне procdump-а будет очень много строчек мелькать, и в какой-то момент он скажет, что создал дамп. Вот то, что он создал на диске C: (dwengine.dmp) нужно запаковать в архив и выложить сюда.

[jk3]

После обновления до:

Spoiler

Антивирус Dr.Web для Windows (9.0.0.10160)
Dr.Web ® Virus-Finding Engine
drweb32.dll (7.00.9.04080)
Dr.Web Scanning Engine
dwengine.exe (9.1.0.07040 (Build 10231))
Dr.Web Anti-Rootkit Server
dwarkdaemon.exe (9.1.0.07040 (Build 10231))
Dr.Web Anti-rootkit API
dwarkapi.dll (9.1.0.20140781)
Dr.Web Thunderstorm Cloud Client SDK
ccsdk.dll (9.1.0.201405130)
Dr.Web Windows Action Center Integration
dwsewsc.exe (9.1.0.07040 (Build 10231))
Dr.Web Control Service
dwservice.exe (9.1.1.07171)
Dr.Web Updater
drwupsrv.exe (9.1.0.07081)
SpIDer Agent for Windows
spideragent.exe (9.1.0.07142)
SpIDer Agent admin-mode module for Windows
spideragent_adm.exe (9.1.0.07142)
Dr.Web Scanner SE
dwscanner.exe (9.1.0.06260)
Dr.Web Console Scanner
dwscancl.exe (9.1.0.07040 (Build 10231))
Dr.Web File System Monitor
spiderg3.sys (9.1.0.05060)
Dr.Web Protection for Windows
dwprot.sys (9.1.0.04180)
Dr.Web ® Shell Extension
drwsxtn.dll (9.00.0.201309020)
Dr.Web SysInfo
dwsysinfo.exe (9.1.0.201407030)
Dr.Web SysInfo
dwsysinfo.exe (9.1.0.201407030)

 

 

При включенной галочке "Проверять компьютер на наличие руткитов" сыпятся те же ошибки в лог.

 

C:\procdump.exe -e -ma dwengine.exe c:\dwengine.dmp

Так не запускается, пишет "Multiple processes match the specified name."

Процесса же на самом деле два с одинаковым именем, один из которых watchdog.

 

C:\procdump.exe -e -ma 468 c:\dwengine.dmp

А при попытке запуска по PID-у пишет:

"Error debugging process:

The process is already being debugged."

 

Гугл ничего про эту ошибку не знает.

Что делать?

[SergSG]

При включенной галочке "Проверять компьютер на наличие руткитов" сыпятся те же ошибки в лог.

 

C:\procdump.exe -e -ma dwengine.exe c:\dwengine.dmp

Так не запускается, пишет "Multiple processes match the specified name."

Процесса же на самом деле два с одинаковым именем, один из которых watchdog.

 

C:\procdump.exe -e -ma 468 c:\dwengine.dmp

А при попытке запуска по PID-у пишет:

"Error debugging process:

The process is already being debugged."

Самозащиту отключали перед дампированием?

Сообщение было изменено SergSG: 23 Июль 2014 - 22:53

[jk3]

SergSG, да.

[jk3]

Самозащиту отключали перед дампированием?

 

Когда включена самозащита ошибка другая:

 

Error opening dwengine.exe (PID):

Error 0x00000005 (5): ???????? ? ???????.

 

* * *

 

Прибив 2-ой следящий процесс и пока основной перезагружался, успел запустить procdump.

 

После включения галочки проверки на руткиты, бесконечно сыпятся в консоль от procdump такие строки:

 

Exception: 00000057

Exception: E06D7363.?AVseh_wrapper_t@@

 

Выход по Ctrl-C сопровождается надписью:

 

Dump count not reached

 

Что делать?

[RomaNNN]

jk3, в ЛС.

[jk3]

После сегодняшнего обновления стало еще интереснее.

 

Между 160 и 1019 событиями вклинилось еще четыре:

 

 

 

Тип события: Ошибка

Источник события: Dr.Web Engine

Категория события: Отсутствует

Код события: 9006

Дата: 28.07.2014

Время: 21:46:18

Пользователь: Н/Д

Компьютер: PC

Описание:

Unable to write full dump into file "G:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine-crash-20140728184618000-452-3024.dmp" (error=2147942487, Параметр задан неверно)

 

Тип события: Ошибка

Источник события: Dr.Web Engine

Категория события: Отсутствует

Код события: 9007

Дата: 28.07.2014

Время: 21:46:18

Пользователь: Н/Д

Компьютер: PC

Описание:

Unable to write mini-dump into file "G:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine-crash-20140728184618000-452-3024.dmp" (error=3489660962, 3489660962)

 

Тип события: Ошибка

Источник события: Dr.Web Engine

Категория события: Отсутствует

Код события: 9012

Дата: 28.07.2014

Время: 21:46:18

Пользователь: Н/Д

Компьютер: PC

Описание:

Unable to write mini-dump without exception stream and exception pointers into file "G:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine-crash-20140728184618000-452-3024.dmp" (error=3489660962, 3489660962)

 

Тип события: Ошибка

Источник события: Dr.Web Engine

Категория события: Отсутствует

Код события: 9010

Дата: 28.07.2014

Время: 21:46:18

Пользователь: Н/Д

Компьютер: PC

Описание:

There is no way to write any dump into file "G:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine-crash-20140728184618000-452-3024.dmp" (error=6, Неверный дескриптор)

 

 

При этом создалось куча пустых файлов типа:

G:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine-crash-20140728184610875-452-3644.dmp

[SergSG]

При этом создалось куча пустых файлов типа:

G:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine-crash-20140728184610875-452-3644.dmp

А Вы при этом с вирусами не "общались", случайно?

[jk3]

SergSG, не понял.

Вирусов в системе нет, если вас это интересует.

[jk3]

После сноса АВ, ребута, ремувера, ребута, свежего дистрибутива всё было хорошо, пока в исключения путь не прописал:

 

g:\windows\temp\~md*.tmp

 

Баг воспроизводится следующим образом: выключается фоновая проверка на руткиты, прописывается в исключения этот путь, включается фоновая проверка на руткиты.

На выходе получаем бесконечные первые 3 ошибки в 1-ом сообщении темы.

 

Судя по 160 ошибке "nvalid_parameter" -- проблема в обработке знака тильды в пути к файлу, imho.

Причём именно по указанному пути проявляется.

Ни g:\windows\~md*.tmp

Ни g:\~md*.tmp

Ни с:\~md*.tmp

такого эффекта НЕ вызывают.

 

Что мне сделать, чтобы этот баг исправили?

[SergSG]

SergSG, не понял.

Вирусов в системе нет, если вас это интересует.

В бете похожее было, но там при доступе к вирусам. Наверное это не ваш случай.

[Konstantin Yudin]

После сноса АВ, ребута, ремувера, ребута, свежего дистрибутива всё было хорошо, пока в исключения путь не прописал:

g:\windows\temp\~md*.tmp

Баг воспроизводится следующим образом: выключается фоновая проверка на руткиты, прописывается в исключения этот путь, включается фоновая проверка на руткиты.
На выходе получаем бесконечные первые 3 ошибки в 1-ом сообщении темы.

Судя по 160 ошибке "nvalid_parameter" -- проблема в обработке знака тильды в пути к файлу, imho.
Причём именно по указанному пути проявляется.
Ни g:\windows\~md*.tmp
Ни g:\~md*.tmp
Ни с:\~md*.tmp
такого эффекта НЕ вызывают.

Что мне сделать, чтобы этот баг исправили?

Сенкс, проверим

[Konstantin Yudin]

не воспроизводится. с нуля поставил ав, на втыкал эксклюдов... можно отчет получить от нашего сисинфо?