Падение OS из-за KIS - Антивирус Касперского - покупка, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Umnik
кис падает в бсод

Есть желание попробовать разобраться с проблемой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Есть желание попробовать разобраться с проблемой?

Практически тот же самый bsod, но только на kis2009.

У меня своп не на загрузочном разделе, поэтому дампов нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Можно хотябы отчет GSI?

Хотя без дампов, конечно, плохо. :( Я багу не смогу завести.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Хотя без дампов, конечно, плохо. :( Я багу не смогу завести.

Не так часто вожусь с домашним компом и ... с дампами я прогнал: своп на загрузочном и дамп просто не создаётся. Система грузится с параметром /sos и хорошо видно, что bsod происходит на том самом моменте, когда должна запускаться проверка дисков autochk.exe. Может дело в том, что драйвер kl1.sys не особо дружит с Matrix Storage Manager, а винт работает в режиме achi, поэтому и наступает тоталкапец без дампов?..

Решил поставить посвежее версию - 8.0.0.506. Теперь у меня это:

kisroot.gif

post-4003-1231193063_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

dr_dizel

Выполните, пожалуйста, пункты 4. б и 5.

Отредактировал Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Umnik dr_dizel Для сведения.

А меня на одном ПК в ноябре-декабре тоже KAV2009 стал сильно доставать, систему начисто до этого переставлял - не поправилось, а начиналось всё с зависами при обновлении, потом веб-страницы долго открывались. С прогами конфликта точно не было - после переустановки даже не стал ничего кроме офиса ставить.

Я прям ежедневно с ним мучился, также процессы просматривал, переустанавливал антивирус, потом просто удалил KAV, и поставил на тот ПК паучка - теперь нормально. Сам удивляюсь!

Наверное, есть какая-то несовместимость с мат.платой или драйверами. Umnik Помнишь, я тебе весной проблемы с памятью описывал? Исправились тоже также. Например, у нового дисковода сейчас тоже есть проблемы с записью дисков - на другой плате не было (ошибка с калибровкой мощности). Ставил позавчера на другой ПК - там пишется нормально. Отдам, наверное, кому-то плату или дисковод.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Андрей-001

Потому сначала проверяем все софтовые проблемы. С железкой-то особо не подружишь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Выполните, пожалуйста, пункты...

После обновления и перезагрузки кис перестал симулировать руткит. :rolleyes:

Что касается bsod-ов, то они начинались где-то после месяца работы на компе киса. Накакое другое защитное ПО за всю историю компа не вызывало таких глюков.

Вот поставил новый кис и жду, так что я думаю - логии пока бесполезны. Но раз уж просили, то держите.

rep.rar

rep.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

dr_dizel

1. Перемести из слабых ограничений файлы в Доверенные. Вообще, они сами должны были переехать. Видимо в момент запуска КИС не достучался до сервера. Главное, что системные попали куда надо.

2. GSI, как и ожидалось, несовместимостей не выявил. Спросил только, что за файл такой intype.exe.

В общем, до реального дампа...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Спросил только, что за файл такой intype.exe.

Это редактор небольшой.

В общем, до реального дампа...

Чую, что копать надо в сторону совместимости с iaStor.sys.

P.S. У меня ещё установлены в 1 @Memory Management:

EnforceWriteProtection

DisablePagingExecutive

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sl1

После обновления и перезагрузки кис перестал симулировать руткит. :rolleyes:
Похоже, что вы до этого CureIt запускали :rolleyes:.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
В общем, до реального дампа...

Агггрррр....

Снова bsod! И написано что дамп сделан, но его нет. Для убеждения в этом можно было даже и ресета не жать т.к. обычно при сохранении можно увидеть бегущие проценты. И в эвентлогах тоже ничего.

Я даже специально сейчас проверил - сделал принудительный дами по Ctrl+ScrollLock+ ScrollLock. Кернелдамп и минидампы сделались и в логии всё записалось.

Что же делать? Может у киса есть какой режим отладочный, а?

bsod.jpg

post-4003-1231353208_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

dr_dizel

Можно снимать логи. Но без дампа это ерунда...

Дай хотя бы кернел... Сколько у тебя РАМы и сколько своп?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Похоже, что вы до этого CureIt запускали :rolleyes:.

Похоже на то. Куреит победил кис. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

КуреИТ в Доверенные попадает у КИС по ЭЦП ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Дай хотя бы кернел... Сколько у тебя РАМы и сколько своп?

Я же писал, что дампов именно падения kl1 не формируется. Любого другого - да, но не киса.

Памяти 2 гига, а своп 4 гига.

КуреИТ в Доверенные попадает у КИС по ЭЦП ;)

Это понятно. ;)

Правда файлов в темпе уже нет и процесса такого никто не видит. Эт куреит так замаскировался?

У них просто любовь такая. Хоть у киса куреит и в доверенных, но файлики врозь. :lol:

cur.gif

post-4003-1231356213_thumb.png

Отредактировал dr_dizel

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Это в 5-ке так началось. 4-ка целиком доверенная была, в 5-ке только то, что подписано и успело распаковаться :)

Я же писал, что дампов именно падения kl1 не формируется. Любого другого - да, но не киса.

А зачем тебя, как потенциального клиента, это должно смущать? Я прошу дампы какие есть, кроме совершенно бесполезного мини. Не знаю, как кернел примут.

А вот и гвоздь:

Параметр Полный дамп памяти недоступен на компьютерах, на которых установлена 32-битная операционная система и 2 или более гигабайта (ГБ) оперативной памяти. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

274598 (http://support.microsoft.com/kb/274598/ ) Полный дамп памяти недоступен на компьютерах, на которых установлено 2 или более гигабайта оперативной памяти (Эта ссылка может указы

В общем, можешь на время воспроизведения либо выдернуть планку(-и), либо поправить boot.ini, поставив туда число поменьше?

boot.PNG

post-3736-1231357856_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Это в 5-ке так началось. 4-ка целиком доверенная была, в 5-ке только то, что подписано и успело распаковаться :)

Малацца. :)

А почему у kl1.sys номер версии не 8, а 6? Драйвер не изменялся? Может какого ответственного программера уволили, а он сюрприз там оставил для потомков, что даже дампы не позволяет делать, чтоб остальные разработчики постигли путь дао? ;)

А зачем тебя, как потенциального клиента, это должно смущать? Я прошу дампы какие есть, кроме совершенно бесполезного мини. Не знаю, как кернел примут.

Чёт не особо понимаю в смысле дампа, который создавался для собственно проверки создаваемости дампов... :blink:

http://support.microsoft.com/kb/244139

Проверка прошла успешно.

А вот и гвоздь:

В общем, можешь на время воспроизведения либо выдернуть планку(-и), либо поправить boot.ini, поставив туда число поменьше?

Так у меня стоит дамп ядра, а не полный дамп т.е. этот kb мне не поможет. Да и проверка показала, что дампы формироваться могут.

Пока натравил на kl1 верифаер, может он как-то повлияет на поведение в создании дампов.

Думаю, что отваливание дампов может быть из-за краша в цепочке работы с диском т.е. где-то около iaStor.sys. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Мммм. Я тебя не так понял в прошлый раз, значит. Эта функция тоже полезна, но не сейчас.

Так у меня стоит дамп ядра, а не полный дамп т.е. этот kb мне не поможет. Да и проверка показала, что дампы формироваться могут.

Проверка показала, что дамп памяти ядра у тебя создается. А если ты выполнишь мою просьбу и попробуешь получить полный дамп?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×