» Sysinternals (Microsoft) Autoruns

ComradG

Цитата:

а procmon запускается? если да, можно им отловить баги.

Запускается. [offtop]Как с его помощью отловить багу?[/offtop]

Antonij72
почему офтоп? проблема то с сабжем. запускаешь procmon, выставляешь не писать в лог все подряд, а в фильтре выставяешь мониторить процесс под названием autoruns.exe

ComradG
Вот лог: http://rghost.ru/25098891
Не понимаю...

Antonij72
Судя по логу программа работал целых 6 минут до креша. Навернулась при скане реестра, что и понятно (оттуда она данные то берет). И у меня остаются подозрения только на сладкую парочку Dr.Web и Outpost. Вероятно при обращении к защищенным ключам реестра ее и обламывают...

sewell
3-6 секунд и окно с сообщением о крахе. Я лог неправильно сделал - 2 раза запускал программу, не вырубая procmon.

Цитата:

И у меня остаются подозрения только на сладкую парочку Dr.Web и Outpost. Вероятно при обращении к защищенным ключам реестра ее и обламывают...

Правильные логи: http://rghost.ru/25172211 . 3 раза запускал procmon и autoruns: при появлении окна с крахом нажимал в этом окне на "Закрыть". В архиве:
Logfile1.CSV - Outpost: отключена самозащита и сам Outpost вырублен (выход из программы); DrWeb: отключена самозащита и все компоненты.
Logfile2.CSV - Outpost: отключена самозащита и сам Outpost вырублен (выход из программы); DrWeb: включена самозащита и все компоненты.
Logfile3.CSV - Outpost: отключена самозащита и сам Outpost вырублен (выход из программы); DrWeb: включена самозащита и все компоненты. Спустя немного времени.

Antonij72
Просмотрел логи и сравнил со своими... Заметил, что авторан завершается с ошибкой - Exit Status: -1073740777. У меня статус завершения - 0. Что за ошибка - не нарыл в интернете.
Еще вылет идет после обращения к реестру в ветки сертификатов HKCU\Software\Microsoft\SystemCertificates\ и т.п. У меня данных обращений не происходит вообще... Может там где собака порылась...

sewell
Спасибо за помощь.

sewell
на будущее. к SystemSertificates autoruns таки обращается (советую обратиться к исходникам сабжа, которые ныне можно утянуть либо через торренты, которыми лично я не пользуюсь, либо из привата, на различных закрытых форумах). и, кстати, советую почитать по сабжу вот эту статью на msdn (читать до просветления). а падать может из-за открытого хэндла My неким сторонним процессом, - и это баг autoruns, который руссинович не хочет прикрывать. лечится - закрытием My, причем вопреки здравому смыслу система продолжает стабильно работать.
далее. ошибку выхода лучше искать в специализированных справочниках. я покапался в одном из таких талмудов и вот чего нашел (перевожу с немецкого, так что...): переполнение значений данных, характерезующееся утечкой системных ресурсов. в общем, где-то что-то определенно мешает стабильной работе тулзы. логи то я rghost'а, увы, стянуть не могу - немецкие провайдеры к "сомнительным" по их мнению ресурсам доступ бьют наизлете, так что пардон.

Antonij72
Покопался я еще по коду ошибки - это "exception code of c0000417(invalid argument.)". И получалась она у одного человека по причине включения UAC, что странно, но факт. Может отключение UAC (если она включена) чем то поможет, хотя... Если честно, утилита Русиновиче прекрасна, но заморачиваться на ней не стоит. Для оперативного анализа компа есть и другие утилиты, о которых писал выше... Да и в инете полно. Все равно я их использую в комплексе для исследования чужих компов, а не своего
P.S. ComradG, за статью спасибо, правда полное просветление так и не наступило

ComradG

Цитата:

Logfile1.CSV - Outpost: отключена самозащита и сам Outpost вырублен (выход из программы); DrWeb: отключена самозащита и все компоненты.
Logfile2.CSV - Outpost: отключена самозащита и сам Outpost вырублен (выход из программы); DrWeb: включена самозащита и все компоненты.
Logfile3.CSV - Outpost: отключена самозащита и сам Outpost вырублен (выход из программы); DrWeb: включена самозащита и все компоненты. Спустя немного времени.

Скинул на свой сайт: www.da-vstudio.ru/Proc_Mon_Logfile.rar


Цитата:

хэндла My

Это где находится?

sewell

Цитата:

утилита Русиновиче прекрасна, но заморачиваться на ней не стои

Я не заморачиваюсь, просто напрягает это - значит, что-то не в порядке. Вот и хочу выяснить ЧТО. UAC выключен.

Цитата:

Autoruns 10.07
Подскажите на LiveCd как подрубиться к системе что на физ HDD ?
Использую Hiren's.BootCD.14



C:\WINDOWS
C:\Documents and Settings\Admin

Русский Autoruns 11.0

Sysinternals Autoruns 11.1
http://download.sysinternals.com/Files/Autoruns.zip

Русская версия Autoruns 11.1 после проверки появится здесь

Stanner
если интересно: Руссинович ответил таки на вопрос о возможности локализации его тулз. между прочим, написанное им весьма логично. перевод дословно:
Цитата:

...набор sysinternals в первую очередь адресован системным администраторам в поисках и устранении неполадок. учитывая, что английский язык является связующим звеном во взаимном понимании системных администраторов, то не вижу необходимости в локализации набора. еще раз подчеркну, что набор не расчитан на простого пользователя с базовым уровнем навыков.

по ходу дела данным вопросом Руссиновича определенно затюкали, но его позиция довольно справедлива, ведь когда пытаешься объяснить что-то простому пользователю о процессах, поток вопросов не заставит себя ждать, так что локализация - это удел энтузиастов.

Добавлено:
и кстати, Autoruns 11.1
Цитата:

В это обновление Autoruns добавлены несколько новых мест автозагрузки, сообщения активного фильтра в строку состояния, а также подсвечиваются выборки не имеющие подписи, названия компании производителя и описания, для быстрого обнаружения.

вечерком затестим, что правда, а что нет

ComradG

Цитата:

Руссинович ответил таки на вопрос о возможности локализации его тулз.

Речь идёт о банальном переводе пунктов главного меню или также о корректности работы программы? Всё ж таки неплохо было бы исправить работу программы в плане обеспечения опции Hide Micrisoft and Windows Entries. Или системные администраторы должны работать только в нелокализованных ОС?

MorSe
а я здесь причем?! сам разраб высказал мнение, которое достойно уважения. причем я совсем не догоняю
Цитата:

Или системные администраторы должны работать только в нелокализованных ОС?

что к чему? у меня на работе винда немецкая. можно поподробнее об оном, ибо не догоняется чего-то.

теперь непосредственно относительно сабжа. похоже Руссинович изобрел принудительную перезагрузку для винды: запускаешь один раз сабж, захлопываешь, затем через какое-то время пытаешься запустить снова, - все система идет в принудительны ребут. замечано на ОСях ХР и семерке.

Кроме подсвечивания названия разделов, пока ничего нового не нашёл

Цитата:

В это обновление Autoruns добавлены несколько новых мест автозагрузки

А вот про это бы узнать по подробнее...

ComradG

Цитата:

а я здесь причем?!

Ну как же, письмо ему кто отсылал? Поэтому я и попросил, что если будешь ещё писать, задать ему ещё один вопросик.

Цитата:

что к чему? у меня на работе винда немецкая. можно поподробнее об оном, ибо не догоняется чего-то.

Это связано с моим вопросом: при выборе опции Hide Micrisoft and Windows Entries в русскоязычной версии ОС не скрываются пункты, в которых Publisher -- Корпорация Майкрософт.

Sirius_22

Цитата:

А вот про это бы узнать по подробнее...

за сим могу лишь посоветовать почитать официальный форум Sysinternals.

MorSe

Цитата:

если будешь ещё писать...

ключевое слово "если", - разве что к багрепорту в виде постскриптума приаттачить

Цитата:

не скрываются пункты, в которых Publisher -- Корпорация Майкрософт

эта тема как-то уже поднималась на оффоруме тулзы, но внятного ответа там так и не последовало (да и было сие когда!) дело в том, что даже в аглицкой версии форточек такое наблюдается.

Цитата:

не скрываются пункты, в которых Publisher -- Корпорация Майкрософт

Имхо, просто в нашей русской версии многие файлы так и подписаны - "Корпорация Майкрософт", а сабдж ищет Microsoft - вот и все
Издержки локализации

Stanner
тогда на кой ляд Руссиновичу потребовалось использовать юникод?

MorSe
дотестировал 11.1 - все скрывает нормально. так что вопрос если не закрыт, то может всплыть на поверхность еще раз.

Цитата:

на кой ляд Руссиновичу потребовалось использовать юникод?

Особенно в консольных утилитах - сам не понимаю

Блин, пять минут (на сайте мелкомягких) кнопку "скачать" искал.
Они б её ещё под тег hide скрыли.

ComradG

Цитата:

дотестировал 11.1 - все скрывает нормально. так что вопрос если не закрыт,

У меня (WinXP SP3) так и не скрывает. Так что вопрос открыт...

Цитата:

Блин, пять минут (на сайте мелкомягких) кнопку "скачать" искал.
Они б её ещё под тег hide скрыли.

А чем ссылка в самом верху шапки не подошла? Сразу с качку ведет

MorSe
если не влом, то можешь кинуть пару скриншотов и описать какие дистры мелкомягких устанавливались (хотя бы пару штук), - я это приаттачу к репорту, который сейчас валяю Руссиновичу.

ComradG



Цитата:

описать какие дистры мелкомягких устанавливались

Что именно надо?

Цитата:

Что именно надо?

полагаю, что скриншотов будет достаточно, тем паче, что они наглядно демонстрируют что к чему, - посмотрим на ответ господина Руссиновича.

Программа при старте стала крашиться.
В чём может быть проблема и как устранить?

Цитата:

Сигнатура проблемы:
Имя события проблемы:    BEX
Имя приложения:    autoruns.exe
Версия приложения:    11.20.0.0
Отметка времени приложения:    4ed80182
Имя модуля с ошибкой:    autoruns.exe
Версия модуля с ошибкой:    11.20.0.0
Отметка времени модуля с ошибкой:    4ed80182
Смещение исключения:    0004cb93
Код исключения:    c0000417
Данные исключения:    00000000
Версия ОС:    6.1.7600.2.0.0.256.1
Код языка:    1049
Дополнительные сведения 1:    e27a
Дополнительные сведения 2:    e27ab439f87fd2eefce880234a75dc5d
Дополнительные сведения 3:    d1b9
Дополнительные сведения 4:    d1b93c634c852957e405c4b0a9f56e91