Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[3.147.104.248] |
|
Сообщ.
#1
,
|
|
|
Здравствуйте!
Столкнулся с неприятностью, которая меня уже зверски бесит. А что сделать не знаю. Для понятности, следующее окружение: windows 7 home (starter) 64 bit. Дефолтная от продавца ноутбука. Когда я создаю или изменяю файл, через какое-то время, некий процесс его блокирует. Блокирует совсем или для записи. Через какое-то время блокировка исчезает. Такая фигня, отмечалась мной только для cmd или exe файлов. Проявляется это тем, что файл: невозможно изменить (сохранить блокнотом отредактированную версию). Невозможно удалить, ошибка отказа доступа. Приходится тупо ждать, когда бяка пройдёт. Версия 1: Вирус. Проверился вдоль и поперёк. Результат отрицательный. Других проявлений зловреда не наблюдается. версия 2: Косячная прога. Но нет, эта проблема лезет для разных прог, notepad, akelpad, explorer, freecommander, cmd, link... версия 3: косячный сервис, Вроде антивируса, индексатора файлов. Оба отключал, но проблемы продолжаются. Незнаю, возможно, ещё что-то можно проверить. Метод тыка и медитации не помог. Взывание к могучему духу интернета, меня завело куда-то не туда. Ответ я не нашёл. Тогда решил зайти с другой стороны. У Марка Русиновича взял утилитку handle64. Она показывает, какой процесс юзает мой файл. Ну... С этой тулзой не особо разобрался, но как мне кажется, всё же смог получить идентификатор процесса. А утилитка tasklist мне подсказала, что этот процесс называется "system". Ага, тот самый system nt kernel... И запущен он от системной учётки. Но как его укротить и угомонить, я не знаю. Снял у директории права для всех пользователей. А системной вообще всё запретил. Но не помогло. Вообщем, подскажите, пожалуйста, что тут можно сделать, как можно полечить? А то реально бесит. запускаю компиляцию, а link.exe вываливается с ошибкой, что к исполняемому файлу нет доступа. |
Сообщ.
#2
,
|
|
|
Дефрагментатор отключить.
Я бы сделал "Выполнить" -> cmd -> "sfc /scannow" для выполнения проверки целостности системных файлов. Если файл открывает какая-то хрень, если она умная, то свой Handle не выдаст, замаскируется под систему и процесс свой скроет. Исполнительные модули драйверов работают вроде бы от имени System, стоит посмотреть подгруженные драйверы. |
Сообщ.
#3
,
|
|
|
Воспользоваться тулзой типа "unlocker" запустив от админа, посмотрев какой процесс лочит файл, дальше по обстоятельствам.
Либо покажи скрины анлокера с именем процесса, который залочил файл Добавлено Цитата Eric-S @ У Марка Русиновича взял утилитку handle64. Она показывает, какой процесс юзает мой файл. Ну... С этой тулзой не особо разобрался, но как мне кажется, всё же смог получить идентификатор процесса. Этого мало, у процесса может быть кучка потоков, залочить мог один из потоков. Смотреть надо попоточно. Ито не факт что найдёшь, листы процессов/потоков умные зловреды могут править. Добавлено Судя по поведению 99,9% либо зловред либо добропольз, всмысле антивирь. |
Сообщ.
#4
,
|
|
|
Цитата Gonarh @ Судя по поведению 99,9% либо зловред либо добропольз, всмысле антивирь. Тоже так думал, но доказать не могу. Антивирус отключал и просто запрещал лезть в рабочую директорию. Вирусы искал ссторонними тулзами, начиная от MRT.exe и заканчивая сканерами касперского и дрвеба. Добавлено Цитата simsergey @ Дефрагментатор отключить. О. А о нём-то я и забыл. Ввозможно косяк в том, что диск сильно дефрагментироан. Непомню когда его запускал. А относительно недавно стало кончаттся место и я грохнул огромную коллекцию мелких файлов. Сейчас запустил дефрагментатор. Он уже делает шестой проход и удаляет какие-то данные. Фрагментов дофига и больше. Дождусь завершения и посмотрю, что получится. |
Сообщ.
#5
,
|
|
|
Цитата Eric-S @ Вирусы искал ссторонними тулзами, начиная от MRT.exe и заканчивая сканерами касперского и дрвеба. Надеюсь не из таргет системы? Всмысле грузил систему с лайвсиди? Добавлено Цитата Eric-S @ Ввозможно косяк в том, что диск сильно дефрагментироан. Крайне маловероятно. |
Сообщ.
#6
,
|
|
|
Цитата Gonarh @ Надеюсь не из таргет системы? Всмысле грузил систему с лайвсиди? mrt.exe из текущей, её иначе не запустить. А касперыча и доктора, на другом компе прожигал свежие. Подозрительного ничего не нашли..... Хотя mrt по ходу сканирования вякал о 15 угрозах, но в итоговом списке их не показал. Добавлено Цитата Gonarh @ Крайне маловероятно. Даже не знаю, что и подумать. Я сейчас всё же склоняюсь, что эта какая-то виндовый сервис жизнь портит. Если не дефрагментация, то какая-нибудь телеметрия или банальный файлмапинг лагает. |
Сообщ.
#7
,
|
|
|
Eric-S
В безопасном режиме запусти для начала, проверь. Дальше по обстоятельствам. Отключай пользовательские службы, приложения при запуске. Ещё ProcessExplorer на ум приходит, посмотри кто юзает имя файла. |
Сообщ.
#8
,
|
|
|
Цитата simsergey @ Дефрагментатор отключить. Цитата Eric-S @ А о нём-то я и забыл Мог и не вспоминать. Дефрагментация в принципе не может блокировать файл, она работает хоть и с файловой системой, но ниже её. Цитата Eric-S @ смог получить идентификатор процесса. А утилитка tasklist мне подсказала, что этот процесс называется "system". Ага, тот самый system nt kernel... И запущен он от системной учётки. Либо prefetch, либо скан ресурсов вроде считывания и кэширования иконки (хотя тогда и explorer бы там отметился), либо антивирь (хотя тогда бы виновником были или он, или псевдодрайвер). А вот проблемы при компиляции - 99% от антивиря. Внеси каталог назначения в список доверенных ресурсов. |
Сообщ.
#9
,
|
|
|
Цитата Eric-S @ Вообщем, подскажите, пожалуйста, что тут можно сделать, как можно полечить? Рекомендую Unlocker. В большинстве случаев показывает процесс-блокировщик. Плюс основные функции. Ну второй вариант - последние версии Far так же показывают "виновника", но снять блокировку не в состоянии, просто инфа. Добавлено Скрытый текст Если засада останется - могу попробовать помочь по ТимВьюверу, но завтра. |
Сообщ.
#10
,
|
|
|
Раньше ставил, но давно уже не юзал. Я тут все советы читаю и про unlocker тоже. Просто действую и проверяю предложенные варианты последовательно. Чтоб понять, пренесло ли пользу или нет. Кроме того, саму блокировку файла надо справоцировать. А это происходит во время рабочего процесса и раз на раз не приходится. |
Сообщ.
#11
,
|
|
|
Цитата Eric-S @ А это происходит во время рабочего процесса и раз на раз не приходится. Делай типа "будильник") Пример: 1) Далай прогу, которая на ошибку доступа к файлу - проигрывает сирену 2) Запускай ее раз в секунду 3) Как словишь "сигнал" - задействуй анлокер И всеж, еще раз... ) Удаленно могу глянуть твой комп. Естественно, с договоренностью, если найду зловред - до чистки все его составляющие его забираю. |
Сообщ.
#12
,
|
|
|
Цитата Akina @ Либо prefetch, либо скан ресурсов вроде считывания и кэширования иконки (хотя тогда и explorer бы там отметился) Сейчас отключил prefetch и superfetch. Машину надо перегрузить, чтоб узнать о результатах. С иконками, как их отключать не нашёл... Не знаю, может и не они. Пробовал и explorer'ом и freecommander'ом и totalcommander'ом. Так что иконки не должны мешатся. Кроме того, блокировка разная. Иногда просто нет доступа. А иногда link.exe пишет, что нет доступа на запись... Типа, доступ на чтение есть. Ну и да. Такой момент. Если удалять файл shift+del, то никто не ругается, а файл ещё какое-то время висит заблокированный, но потом исчезает. Из этого, я делаю вывод, что это всё же шалости системы. Добавлено Цитата JoeUser @ Делай типа "будильник") Пример: 1) Далай прогу, которая на ошибку доступа к файлу - проигрывает сирену 2) Запускай ее раз в секунду 3) Как словишь "сигнал" - задействуй анлокер Не, тут гораздо проще. Прога блокируется после создания или после первого запуска. У меня скриптик сразу компиляет и запускает. Потом она больше не блокируется. Поэтому вариант с prefetch меня очень насторожил. Возможно это именно он гадит. Тем более, глянул в папочку, так там лежат все мои проги. Добавлено Цитата JoeUser @ Скрытый текст Если засада останется - могу попробовать помочь по ТимВьюверу, но завтра. Ага, принято. Учту. Но попробую пока своими силами. Зловред... Может и он. Может я чего пропустил. Всё же мне далеко до сисадмина. Добавлено Цитата Akina @ Мог и не вспоминать. Дефрагментация в принципе не может блокировать файл, она работает хоть и с файловой системой, но ниже её. Понятно, что ниже. Просто, из-за странностей при удалении, подумалось, что диск слишком сильно фрагментирован и система держит файл в кэше. Или ещё чего-нибудь в том же роде. |
Сообщ.
#13
,
|
|
|
Цитата Eric-S @ Просто, из-за странностей при удалении, подумалось, что диск слишком сильно фрагментирован и система держит файл в кэше. Или ещё чего-нибудь в том же роде. Такого быть не должно в принципе, иначе такую FS строго в сад. Вангую - это не оно. |
Сообщ.
#14
,
|
|
|
Цитата JoeUser @ Такого быть не должно в принципе, иначе такую FS строго в сад. Вангую - это не оно. Ой, да кто его знает. В жизни всякое случается. Впрочем, после всяких моих действий, эфект пока не проявлялся. Надеюсь это навсегда или хотя бы надолго. |
Сообщ.
#15
,
|
|
|
Цитата Eric-S @ Кроме того, блокировка разная. Иногда просто нет доступа. А иногда link.exe пишет, что нет доступа на запись... Типа, доступ на чтение есть. у меня на вин10 студия 2013 тоже бывает ошибка линковки, самих ошибок линковки нет, типо не может линковать изза блокировки файла ехе, наверное дело в самой студии |
Сообщ.
#16
,
|
|
|
Цитата Cfon @ у меня на вин10 студия 2013 тоже бывает ошибка линковки, самих ошибок линковки нет, типо не может линковать изза блокировки файла ехе, наверное дело в самой студии Нет. Сам файл блокируется. Если его ручками попробовать удалить или переименовать, то будет ошибка отказа в доступе. Попробуй отключить префетчер. После того, как я его отключил у меня полёт стабильный. |
Сообщ.
#17
,
|
|
|
вроде starter имел ограничение на количество запущенных приложений.
|
Сообщ.
#18
,
|
|
|
Цитата nash @ вроде starter имел ограничение на количество запущенных приложений. Не знаю, не сталкивался. Для ноутбука хватает возможностей. Единственные баги, о которых я немного сожалею, (но возможно сам сломал) это груповые политики и синхронизация файлов. И да, похожие глюки с блокировкой файла, встречал на большой машине, с максимальной виндой. В том числе и чистой. Там правда гораздо реже. Вот и мирился. |
Сообщ.
#20
,
|
|
|
Filka
Будет тяжело отследить. |
Сообщ.
#21
,
|
|
|
Цитата ^D^ima @ Будет тяжело отследить. Если настроить фильтр на один файл (тот, который блокируется)? |
Сообщ.
#22
,
|
|
|
Цитата Filka @ Если настроить фильтр на один файл (тот, который блокируется)? Так я же: 1так ведь блокируется не один конкретный файл, а тот с которым я чего-то делал; 2. файла могло раньше и не существовать. Вот я его скомпилировал, запустил, отредактировал сорцы, запустил повторную компиляцию и тут бац, ошибка; И да process explorer уже предлагали выше. Он у меня стоит. Но слишком много инфы вываливает. Установил unlocker. Жду блокировки. А её пока нет. Что-то из предпринятых мер угомонило блокировку. Ну или я её не замечаю. |
Сообщ.
#23
,
|
|
|
Если известно, что какой-то конкретно файл будет заблокирован, на него и настроить фильтр...
|
Сообщ.
#24
,
|
|
|
Цитата Filka @ Если известно, что какой-то конкретно файл будет заблокирован, на него и настроить фильтр... Именно, что неизвестно. А если я перед каждым действием буду настраивать и перенастраивать фильтры, на каждый файл... Да, кстати, а как вообще настроить фильтр, на файл, которого не существует? |
Сообщ.
#25
,
|
|
|
Имя будущего файла или папки, в которой создаются файлы, известно?
|
Сообщ.
#26
,
|
|
|
Цитата Filka @ Имя будущего файла или папки, в которой создаются файлы, известно? Известно. А что, так тоже будет работать? |
Сообщ.
#27
,
|
|
|
Ну, да...
Path --> ends with --> FileName.Ext Или: Path --> contains --> Имя папки Потом Filter --> Highlight... --> Path --> ends with --> Расширение файла |
Сообщ.
#28
,
|
|
|
Нужно драйвера вручную смотреть. Если блочит system (4), это драйвер. Может, там у тебя руткит под стелсом давно сидит, а может и антивирус тупит и нормально не успевает освободить просканированный файл. Я так делал: в реестре лез в ветку hklm/system/ccs/services и вычитывал каждый пункт, у которого исполняемый файл sys, или тип не 0х10 или 0х20 (это службы), и start не 4 (отключено), лез за файлом и смотрел его метаданные - подпись итп. Дальше гугл обычно подсказывал, что за объект нашелся. Если оно в %userprofile%, это вирь, ставь его старт в 4 потом в безопасном вычищаешь ключ и файл в вирустотал - смотреть чем убирать, и что тянет за собой.
|
Сообщ.
#29
,
|
|
|
В предыдущие три дня уже готов был на стенку лезть.
Или разбить ноутбук об стену. А сигодня тишина и покой. Ни одного раза, ни одной блокировки. Антивируси почти все сервисы, вернул в штатный режим. Полёт нормальный! Завтра попробую обратно включить префетчер и посмотреть, не вернутся ли глюки. Добавлено Цитата Vesper @ Нужно драйвера вручную смотреть. Очень доходчиво. Спасибо. На всякий случай перепроверю. Только там много! А нет ли тулзы? |
Сообщ.
#30
,
|
|
|
Сообщ.
#31
,
|
|
|
Упс. Опять файл заблокировался, но другой. А пока я пытался перенастроить process explorer, блокировка пропала. Так ничего и не выяснил.
Хотя нет, выяснил, что префетчер тоже не при делах. Добавлено Интересная прога. Так действительно понятнее на счёт сервисов. А ещё интересная там библиотечка для создания виртуальных дисков. Надо её поколупать. |