Перейти к содержанию
Лёлик

Сервис Officescan зависает при проверке дисков

Автор Лёлик, в Trend Micro - покупка, использование и решение проблем

Recommended Posts

Лёлик    0

Лёлик
Опубликовано

Здравствуйте.

Установлен officescan 10 sp1. На клиентах с ОС vista sp2 при проверке дисков (по планировщику или при запуске вручную) вылетает сервис OfficeScanNT RealTime Scan с ошибкой

Log Name: System

Source: Service Control Manager

Date: 24.02.2010 17:15:05

Event ID: 7034

Task Category: None

Level: Error

Keywords: Classic

User: N/A

Computer: MAG.office.kpk

Description:

The OfficeScanNT RealTime Scan service terminated unexpectedly. It has done this 6 time(s).

---------------------------------------------------------

Log Name: Application

Source: Application Error

Date: 24.02.2010 17:00:48

Event ID: 1000

Task Category: (100)

Level: Error

Keywords: Classic

User: N/A

Computer: MAG.office.kpk

Description:

Faulting application ntrtscan.exe, version 11.0.0.1735, time stamp 0x4aa10211, faulting module ntrtscan.exe, version 11.0.0.1735, time stamp 0x4aa10211, exception code 0xc000000d, fault offset 0x000b0ebd, process id 0x2a8, application start time 0x01cab5599e277e6a.

Через 2 минуты сервис стартует и снова падает через несколько минут. Если проверку дисков не запускать то все работает нормально. Помогите пожалуйста разобраться.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

lepa    30

lepa
Опубликовано

Попробуй включить дебаг на оффисскане и посмотреть его лог.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Pavel Polyanskiy    65

Pavel Polyanskiy
Опубликовано

Привет!

А в тех. поддержку Trend Micro не пробовали обращаться?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей Володенков    5

Андрей Володенков
Опубликовано

Лучше всего с этим вопросом обратиться в тех.поддержку.Поддержку должна оказывать компания где вы приобретали продукт.

Если у вас до 250 лицензий, тогда вы можете обратиться в тех. поддержку на прямую.

Это можно сделать на сайте TrendMicro: http://esupport.trendmicro.com/SRFMain.aspx?locale=ro_EM

Тех. поддержка оказывается на английском языке.

Чтобы ускорить процесс решения проблемы, вам нужно собрать отладочные логи с клиента, на котором возникает проблема.

Для этого предназначена утилита Case Diagnostic Tool (http://www.trendmicro.com/download/product.asp?productid=25).

Её нужно запустить на клиенте.

Выбрать следующие категории собираемой информации: Basic Information,Scan Related issue, Crash/BsOD.

Включить режим отладки.

Воспроизвести проблему запустив сканирование папок на клиенте.

Выключить режим отладки.

Собрать информацию за день проведения эксперимента.

Полученный архив CDT-xxxxxxx.zip нужно отправить в поддержку при открытии запроса.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Лёлик    0

Лёлик
Опубликовано

спасибо большое за правильное направление.

Проблема была в том что "умные" админы дали разрешение full access на диск c: для учетки админа. Если после этого перейти по c:\users\all users\application data\application data\application data\application data\application data\application data...., то в этот каталог можно входить бесконечно. Именно так при проверке и поступал officescan и в конце концов вылетал. Вернул разрешения и проверка пошла без ошибок.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей Володенков    5

Андрей Володенков
Опубликовано

Какое однако необычное решение проблемы :) Никогда бы подумал что такое может быть :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Лёлик    0

Лёлик
Опубликовано

сам 2 дня мучался, debug log помог :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Trend Micro - покупка, использование и решение проблем

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      В документации правильно, просто забыл убрать, после того как сменил тип интеграции.   Удаление исключений работает только в режиме виртуализации, в принципе системная защита ядра легко преодолевается, но дефендер тогда сходит с ума и ведет себя неадекватно, поэтому только виртуализация, можно конечно допилить что бы удалялось через api, но это все равно не будет работать с неактивной системой, поэтому оставил так как есть.
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Demkd, судя по тестам интеграция uVS и  WinRE, запуск uVS из меню Winpe прошли нормально. (проверил на W10), Единственно, после завершения интеграции выходит сообщение, что при обновлении uVS интеграцию необходимо повторить. Так ли это? В документации указано, что если обновление выполнено в каталоге, который ранее был интегрирован с WinRe, то повторная интеграция не нужна.  
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      RP55, это запись в реестре на исключение из проверки в Windefender. запись защищенная в Wndef, поэтому просто через delref в uVS ее не удалить из реестра. И это правильно.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Demkd Вот допустим в образе\системе есть запись: Полное имя                  C:\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1
      Имя файла                   GOODBYEDPI-0.2.3RC1
      Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ Исключение
                                  
      Сохраненная информация      на момент создания образа
      Статус                      ПОДОЗРИТЕЛЬНЫЙ Исключение
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                                  
      Ссылки на объект            
      Ссылка                      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc1
      C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc10
                                   При применении команды: Alt+Del delref %SystemDrive%\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1 т.е. вопрос, что будет при удалении ссылки и почему статус Исключение - и если он должен исключать - то почему не исключает?
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Сейчас в ряде случаев готовые скрипты и образы приходиться размещать на сторонних ресурсах - типа Яндекс диска и т.д. А тем временем есть оф. сайт... т.е. Предлагаю добавить в меню uVS команды: Файл: Создать полный образ автозапуска и разместить образ\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/MSI_2024-12-24_16-07-15_v4.14.6 ------------ В Меню Скрипт - команду: Сохранить автоматически созданный скрипт в файл и разместить\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/Скрипт: 001 - & - MSI_2024-12-24_16-07-15_v4.14.6 ---------- 1) Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск WIM 2) Вариант: Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск прошедшие проверку системные файлы\файлы образа. Это всё можно сделать заранее - до заражения системы. Кроме того далеко не всегда проблемы в работе системы связанны с вирусами. А так флешка не нужна - всё всегда на месте.  
×