Товарищи!

Как мы видим, ситуация с поиском руткитов накаливается. Для ее скорейшего решения необходимо получить больше информации.
Итак, если Вас беспокоит загрузка ЦП во время вышеупомянутого поиска руткитов, пожалуйста, проделайте следующее:
1. Поставьте сборку 9.0.0.736 (предварительно необходимо удалить предыдущую с помощью KAVRemover). Если ситуация не изменится, переходим к п. 2
2. Проведите дефрагментацию: http://netler.ru/pc/defrag.htm
Если ситуация не изменится, переходим к п. 3.
3. Настройте обновление по требованию и отключите все проверки, для того, чтобы шла только проверка qscan. Если ситуация и при этом остается прежней -> 4.
4. Соберите отчет GSI и трассировки уровня 500, желательно точно указат время, в которое наблюдалась загрузка ЦП.
Как собрать отчет GSI: http://support.kaspersky.ru/kis2010/error?qid=180593373
Как собрать трассировки: http://support.kaspersky.ru/kis2009/error?...08636031#kavlog

Результаты можно выложить на удобный Вам сервис или же отправить с помощью запроса в техподдержку.
Первый вариант предпочтительнее, так как быстрее.

Заранее благодарю.

Еще раз хочу обратить внимание, что нужны логи тех, у кого большая загрузка ЦП. Длительность проверки оставим пока что в покое.

Update1: Крайне желательно еще описать в какое время наблюдалась загрузка процессора, в течение какого времени и сколько процентов.
Update2: Вчера было выпущено обновление, исправляющее зависание на проверке файлов по требованию. Если после этого обновления Вы наблюдали какие-либо изменения в задаче поиска руткитов, сообщите, пожалуйста.

Коллеги. Огромная просьба не флудить и писать по делу. Нужно идти по всем пунктам строго по порядку.

Что считать большой загрузкой ЦП для qscan, до 30% CPU в течении часа?

Вероятно такую загрузку, которая создает проблемы/неудобства в работе пользователя!?

Немного разъясню ситуацию. Загрузка проца есть, иногда до 100%. Но в основном низкая, хотя есть частые периоды от 50-100%, что сказывается на работе ПК. Нагрузка за время проверки возникает не менее 15-20 периодов.
Вообщем логи ниже:
трассировки - http://narod.ru/disk/14533572000/KAV.9.0.0...96.SRV.rar.html
LOG - Click to view attachment
Из-за длительности проверок нагрузка на проц очень напрягает, так как при этом поедается память. Что дает совсем уж неприятную картину.

Можете считать меня полным тормозом, но, пожалуйста, скажите, как запустить тот поиск руткитов, который в KIS2010 запускается автоматически.

avp.com start scan_qscan

Спасибо!

Отправил файлы в ТП. Номер запроса: 311413164.

Запустил avp.com start scan_qscan. Средняя загрузка CPU стала расти где-то после 90% проверки qscan, примерно в 22:25. Несколько раз загрузка CPU скакнула до 99%. qscan задумался на 94% проверенного. Через несколько минут я попытался снять дамп памяти процесса, но компьютер завис.

После обнаруженной "возможности" остановки проверки руткитов:
http://forum.kaspersky.com/index.php?showt...40560&st=60
обновление со временем стало длиться до 19 мин. (раньше 3 - 7 мин.). При этом сама закачка занимает до 7-ми мин., а тормозит загрузка/обновление системной папки из-за продолжающейся проверки руткитов.
Для ускорения завершения обновления и поиска руткитов запустите интернет браузер с загрузкой любого адреса.

Vladar

Пишите по сути топика, а не просто так!

Сообщения, которые не содержат требуемых логов - будут удаляться. Если у вас все впорядке, то, пожалуйста, ничего здесь не пишите, бесполезные сообщения только мешают.
Информация из первого поста периодически будет обновляться.
Спасибо за понимание.

Спасибо участникам, но в предоставленных логах нет нужной информации.
Будем крайне благодарны за предоставление дополнительных трейсов.

Логи трассировки могу выслать на сервер чуть позже, если написанная инфа не поможет.
При запуске KIS процесс avp.exe под SYSTEM занимает около 10метров. При этом с загрузкой проца все нормально.
С течением времени наблюдается постепенное поедание ОЗУ этим процессом, при этом значок КИС в трэе статически висит без анимации. Как только съеденная память превышает 30МБ значок в трэе уже анимируется(больше, меньше становится) и загрузка процессора идет от 30% постоянно.
После 50МБ съеденного загрузка еще увеличивается.. уже более 40% постоянно. Как только 100МБ вникуда.. компьютер начинает страшно глючить, что выражается в пропадании статического текста в окошках напрочь. Помогает только перезагрузка компа.
Попробывал переустановить КИС - все тоже самое.
Установил 9.0.0.736 - все тоже самое, что описано выше, но есть одно НО, что может быть вам полезно.
После апдейта КИС с предыдущей версии на 736 сразу после установки и до перезагрузки постоянно начала происходить ошибка доступа к памяти(скриншот прикрепил), перезагрузка компа не помогла. Запускаю диспетчер задач и вижу кое-что очень интересное. Процесс avp.exe(под SYSTEM) начал за 15 секунд съедать 50метров после чего появлялась эта ошибка.
После повторной установки 9.0.0.736 ошибка пропала.

Запустил qscan и получил 99% загрузки CPU практически сразу:
Click to view attachment

Через 30 минут теста вспомнил, что забыл включить трейсы... и повторил попытку.

Первая загрузка CPU была примерно в 20:16. Более-менее постоянная загрузка CPU началась в 20:22, в 20:25 скакнула до 98% процессом AVP.

Ждать много часов не стал. Пример утренней скорости выполнения:



Задачу остановил. Логи указал в официальном запросе к ТП за номером 311413164. Сотрудникам ЛК могу скинуть в личку ссылки на файлы.

Огромное спасибо за желание помочь, однако в этих логах тоже не наблюдается загрузки ЦП нужной задачей. Возможно, логи просто коротковаты, может, еще что-то...

Весело... А может логи не состоятельны или программисты не там ищут? Что делать-то?

Извиняюсь перед администраторами, что может быть немного оффтоп. Я уже давно использую КАВ(еще с 5 версии), но сейчас уже "накипело".
Этот метод проверки руткитов переходит все разумные границы. Доходит до скандалов с сотрудниками фирмы, потому как КИС2010 просто "лочит" компы, на скрине ниже наглядный пример этого, рядом для проверки стоит 2 комп с минимумом софта(виндоус+офис+пара мелких игр) и тоже самое. Учитывая, что оба компа 2х ядерные и имеют по 2 и 4 ГБ памяти соответственно, а проверка длится по 2-3 часа (причем большую часть времени висит с 95 до 99% проверки) могу сказать, что это не дело.
Дома заметил, что часто антивирус запускает эту проверку при просмотре фильмов или играх, когда нагрузка на процессор небольшая и выжирает уйму памяти и времени ЦПУ, как программист, считаю, что это просто недоработка программы и где-то есть утечка памяти+некорректный детект нагрузки системы в многоядерных системах, а учитывая, что отключить эту проверку в настройках нельзя(или я ошибаюсь?) это приводит к сложностям и разговорам о переходе обратно на КИС2009

P.S.
Добавлю, что компы имеют процессоры Intel 930 и Intel Core 2 Duo 6320 и КИС2010 9.0.0.736

Обновил базы, запустил "быструю проверку", перегрузил комп, сделал логи GetSystemInfo, включил запись трейсов 500 уровня и запустил ""C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.com" start scan_qscan". 3 всплеска зафиксировал скриншотами:
Click to view attachment
Click to view attachment
Click to view attachment

Трейсы в тикете 311413164 (см. тест 3). Если уж эти всплески сотрудники ЛК в моих трейсах не найдут, то правьте либо логи, либо, извините, руки!

Двадцать минут наблюдал это:

За тем запустилось обновление (забыл отключить) и я прервал qscan (Ctrl+C).

В логах KIS:

Что за? Кто закрыл ЭТУ тему?? Причём в тот самый момент, когда я отвечал в ней!

Что ж... отвечу в этой - удалите потом, если не понравится...


Увы... надежды не оправдались...
Со вчерашнего дня снова qscan стал идти больше часа.


1. OK
2. OK
3.
а. Click to view attachment
б. Click to view attachment ссылка на парсер
в. http://narod.ru/disk/14634585000/qscan___.zip.html
г. Проблема во времени проверки (более часа) и в загрузке жёсткого диска во время этой проверки. Если бы проверка длилась не более 20 минут, то это было бы приемлимо.
Обратите внимание на выделенное - именно в это время происходит "бесполезное" (имхо) шуршание жёстким диском и именно это время занимает большую часть всей проверки:

31.10.2009 14:23:31 H:\WINDOWS\system32\rsvpsp.dll
31.10.2009 14:23:26 H:\WINDOWS\system32\wbem\winmgmt.exe
31.10.2009 14:23:25 H:\WINDOWS\system32\netlogon.dll
31.10.2009 14:23:24 H:\WINDOWS\system32\eventlog.dll
31.10.2009 13:47:01 H:\WINDOWS\system32\hypertrm.dll
31.10.2009 13:31:04 H:\WINDOWS\system32\CmdLineExt.dll
31.10.2009 13:30:50 C:\DEN\VMware Workstation\vmdkShellExt.dll
31.10.2009 13:29:53 H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\shellex.dll
31.10.2009 13:29:51 H:\WINDOWS\system32\winsrv.dll
31.10.2009 13:29:51 H:\WINDOWS\system32\basesrv.dll
31.10.2009 13:29:51 H:\WINDOWS\system32\csrss.exe
31.10.2009 13:29:49 H:\WINDOWS\system32\dot3gpclnt.dll

ps: Неужели маркетологи ЛК считают что всё хорошо, и что убыток от массового отказа более-менее опытными пользователями от KIS, из-за подобных проблем с qscan и другими проблемами, покрывается доходом от тех пользователей, которые попадают под определение "домохозяйки"? Неужели они думают, что если эти "домохозяйки" знать не зная об этом qscan, например, будут терпеть его тормоза? Во многих случаях они просто спросят у кого-нибудь "почему тормозит Kaspersky?", и им посоветуют удалить этого тормоза-Kaspersky и поставить *пи* "нормальный и неглючный" (другой продукт), может даже сами им его и поставят. И "домохозяйки" скажут им "Спасибо!".
Неужели маркетологи ЛК думают, что выгоднее для Компании не съездить тестерам домой (не в Сибирь - нет, можно и в Москве даже таких найти добровольцев) к нескольким людям, у которых есть те проблемы, которых нет ни на одном из десятков\сотен "тестовых стендов" в ЛК и компьютерах дома у сотрудников и у знакомых? Я, например, ещё во время бета-тестирования, в переписке с одним из тестеров, предлагал образ своей системы (да жил бы я не в Сибири, а в Москве, сам бы привёз целиком системник для изучения в ЛК!) - ответили, что пока не надо... Ну и что - сделали этот qscan, работал прекрасно одно время, потом опять хуже сделали, потом опять нормально, теперь снова... Даже 9-ти классник легко подсчитает, что потратить на эту поездку и исследование системы "живого" пользователя пускай даже несколько сотен тысяч рублей гораздо выгоднее, чем потерять пускай даже всего лишь несколько тысяч пользователей, которые не станут покупать такой продукт, зная о таких проблемах с ним.
ps2: Нет - у меня не истерика. И для меня пока несложно ставить галочку "не проверять открываемые файлы" в программе для записи дисков и снять в альтернативном скине от Пипкина галочку в настройках qscan в списке проверяемых объектов. И для меня Kaspersky пока по-прежнему остаётся самым лучшим и единственным, кому я доверяю. И я всё ещё продолжаю верить, что проблемы решаются... что ЛК сможет сделать нормально - раз и навсегда

Вот отчёт Getsysteminfo Click to view attachment
А вот трассировки Click to view attachment
Дело было таг Около 11.00 включил трассировки и включил поиск руткитов , сам лазал по форуму . Около 11.10 приспичило открыть вторую вкладку в IE8 , тормоза , загрузка процессора 100% . Около 11.20 винде приспичило обновицца . Загрузка процессора - нормальная 20 - 30 % . Поиск руткитов идёт за десять минут до 97 - 98 % , оставшиеся 2 % мурыжатся чуть - ли не час . При этом яростно скрипя жёстким диском .
Напишите , пожалуйста , если чаго я не правильно снял , на выходных можно ещё ... поработать на благо

Мой тест 4. Точнее не тест, а пойманная ситуация:

Click to view attachment

Трейсы 500 за пару минут до этого скриншота и пару после:

Click to view attachment


На данный момент поиск руткитов идёт 4 часа, обновление 25 минут. %% не меняются, CPU грузится.

OS Type of install: Windows XP Professional
OS CSDVersion: Service Pack 3
OS Localization: Русский
OS CPU: x86

AVP ProductType: kis
AVP ProductVersion: 9.0.0.736
AVP ProductHotfix: N/A
AVP Localization: ru

Всем спасибо еще раз!

Далее в деталях:
BORODA© - спасибо за упорство)) в Ваших логах нет загрузки ЦП именно задачей qscan'а, в связи с чем Ваши логи будут направлены в багу по второй теме http://forum.kaspersky.com/index.php?showtopic=142184 Дополнительную просьбу высылаю в личку.

Urotsuki - ситуация аналогичная. Логи добавляю, но в другую багу (http://forum.kaspersky.com/index.php?showtopic=142184) Доппросьба в личке

senkindi - в Ваших логах вообще не наблюдается запущеной задачи qscan, в связи с этим, просьба пересобрать логи, предварительно выполнив рекомендации из лички.

Я посоветовал KIS2010 нескольким людям и теперь в ответе за свой совет. Я вынужден тратить своё и общесемейное машинное время на создание логов и мне совсем не смешно.

Новые логи кидаю в личку.

Как обещал выкладываю свежие трейсы:
http://narod.ru/disk/14661403000/KAV.9.0.0...56.SRV.rar.html

КИС опять периодически грузит проц. Но в сравнении с предыдущим тестированием, таких периодов было меньше, да и проверка длилась относительно недолго - 31 мин. (это не час/полтора как обычно)

В этой теме высказывайтесь, пожалуйста, только по делу, то есть, прикладывайте логи, как написано в первом сообщении.
Все остальные посты будут удаляться!

А по делу3 так мВопрос Галка уступать ресурсы другим программам стоит у тех кто жалуется?

А можно удалить посты саппорта в саппорте?

Я неоднократно писал о 4-х часовой проверке qscan (с примерами из логов KIS2010), прислал 3 комплекта логов и один с тестовыми базами. Делал как просили. Рассказывал, что KIS иногда забирает все ресурсы компа... И что взамен? Вот официальный ответ саппорта (SRF: 311413164):


Здравствуйте.

Уважаемый пользователь, в результате анализа присланных Вами отчетов и файлов трассировок установлено, что в ходе автоматического поиска руткитов не происходит предельной загрузки CPU этим процессом."

Зашибись! Всё тормозит - это нормально. А вот если будет предельная загрузка, то только тогда надо обращаться!..

" Возможно несколько повышенное потребление системных ресурсов, как и при любой задаче проверки на вирусы. Но к зависаниям системы данный процесс не приводит."

Ну да, саппорту из ЛК виднее! Я же всего лишь пользователь своего компьютера...

"Также, иногда поиск руткитов может потребовать значительных временных затрат. Это связано как со сложностью и трудоемкостью самой задачи, так и с тщательностью и высоким качеством проводимой проверки. Если Вы считаете, что автоматический поиск руткитов осуществляется слишком долго или имеются какие-либо другие проблемы, пожалуйста, опишите их более подробно. Спасибо."

Ага, 4 часа это мелочи!?

С уважением,
Служба технической поддержки
ЗАО "Лаборатория Касперского"

Что-то в это не верится. Как в уважение, так и в техподдержку.

Мне крайне жаль, если мои слова Вас чем-то задели. Я не подразумевала ничего кроме искренней благодарности.

Попытаюсь объяснить возникшую ситуацию.
Была заведена бага по проблеме загрузки ЦП задачей qscan. В ваших логах, как впрочем и практически во всех, если загрузка ЦП и находилась, то вызвана она была другой задачей, посему разработчиками отвергалась. Именно поэтому и Ваши логи были отвергнуты.
Впоследствии было выяснено, что загрузка ЦП практически у всех вызывается чем угодно, только не qscan'ом и было решено завести вторую багу (а на форуме была заведена вторая ветка), где речь идет в принципе о сложностях при работе с компьютером во время qscan. В этой самой второй баге разработчики запрашивают очень четкую и подробную информацию о проблемах: что тормозит, что не открывается, как именно и т.д., чем подробнее, тем лучше.

Именно это, я полагаю, хотела донести поддержка в работе по запросу, в чем не особенно преуспела.

Ваши логи и описание "проверка длится около 4 часов, общее торможение компьютера" было добавлено во вторую багу.

Если не qscan, то почему нет таких тормозов при выключенном qscan? Почему за 4 часа работы qscan процесс AVP постоянно грузит CPU от 6% до 99%? Почему при работе qscan и Update оба висят? Почему бывает 99% загрузка CPU процессом AVP при работе qscan?

Без ответов с пояснениями утверждение ТП представляется как минимум ошибочным.

Именно это и пытаются сейчас выяснить наши разработчики.

Для того,чтобы решить проблему с загрузкой процессора при работе QSCAN,нужно поставить источником обновления данный ftp://dnl-test.kaspersky-labs.com/test/ap сервер и проверить результат.

Как сменить сервер обновлений:

Для смены источника обновлений проделайте следующие шаги: откройте окно настройки обновления KIS/KAV, во вкладке Источник нажмите кнопку Добавить, в поле Источник введите полный адрес сервера, который вам указал разработчик. Примените изменения. Снимите галочку напротив Серверы обновлений "Лаборатории Касперского", сохраните настройки и закройте окно.
Затем обновите продукт. В большинстве случае после окончания апдейта понадобится перезагрузка компьютера.


Внимание!
На тестовых серверах базы обновляются несколько реже, чем на обычных. Поэтому, пожалуйста, не сообщайте об этом.

Огромная просьба - если после обновления с данного сервера проблема исчезнет,то пожалуйста сообщите нам об этом в данном топике. Это поможет ускорить процесс выкладки данных исправлений на основные сервера.


О том,когда исправления появятся на обычных серверах,будет сообщено дополнительно.

Внимание!

В некоторых случаях для возвращения на обычные серверы обновлений потребуются дополнительные шаги, поскольку даже после отключения обновления с тестового сервера, продукт всё равно продолжает обновляться с него. В такой ситуации нужно принудительно обновить продукт с обычного сервера обновлений, например, с http://dnl-01.geo.kaspersky.com/ , затем в настройках снять все галочки напротив других серверов обновлений и оставить галочку только возле Серверы обновлений "Лаборатории Касперского".



Приносим извинения за доставленные неудобства.


Спасибо.

браво, Danilka!

Не совсем понятно Ваше "браво" к чем у это, но в обновлениях на данном сервере лежит исправление данной баги(пока в виде тестовой версии):

Только что проверил, загрузка процессора на самом деле стала поменьше, но вот то, что уже час проверяется ехешник командной строки - так и осталось

я искренно

Заметил, что уже второй день проблемы нет. Последил за процессом avp.exe(system). Кушает память, а при достижении 16мб освобождает ее. И так происходит постоянно с периодичностью в пару минут. При этом проц. не загружается наконец-то.

Вы обвнолялись с альтернативного источника или же проблема "сама собой" рассосалась?

через стандартный сервер обновления.

Относительно патча с "79700: qscan: slow qscan with avp.exe high cpu usage".

Обновил базы с тестового сервера 03.11.2009 в 20:50. Выполнил "быструю проверку" и перегрузил компьютер. Включил трейсы 500 и запустил qscan.

Скорость проверки возросла как минимум на порядок при меньшей загрузке CPU.

Поиск руткитов: завершено меньше минуты назад (событий: 2, объектов: 797, время: 00:05:29)
03.11.2009 21:09:22 Задача запущена
03.11.2009 21:14:51 Задача завершена

Трейсы выключил. Трейсы не прикладываю, т.к. проблема не наблюдается.

Правильно ли я понимаю, что достигнут нормальный режим работы?
Вопрос ко всем, кто обновился с тестового сервера emu

Тут сказано, что патч будет перевыложен из-за найденных ошибок. Может проверка была быстрой по причине глюка?

сегодня снес ремувером 736 сборку, в ней был вручную через реестр отключен поиск руткитов. снова поставил 736, обновил, уже работаю 2 часа, а поиск руткитов НЕ ЗАПУСКАЕТСЯ. Все настройки по умолчанию. Это что поиск отключили автоматически через обновления, или остались старые записи в реестре? Деинсталировал то ремувером

Внимание!

Всем, кто обновлялся с тестового сервера нужно перейти на обыный!!

В некоторых случаях для возвращения на обычные серверы обновлений потребуются дополнительные шаги, поскольку даже после отключения обновления с тестового сервера, продукт всё равно продолжает обновляться с него. В такой ситуации нужно принудительно обновить продукт с обычного сервера обновлений, например, с http://dnl-01.geo.kaspersky.com/ , затем в настройках снять все галочки напротив других серверов обновлений и оставить галочку только возле Серверы обновлений "Лаборатории Касперского".

Загрузка системы стала ниже однозначно, но вот длительность проверки все равно измеряется часами.
Кроме того заметил интересный факт, антивирус "подглючивает" у владельцев Windows XP именно с 3(!) сервис паком !!!

Наверное Вы имели в виду версию PRO. На Home у меня всё тихо.
Действительно, на XP Pro Sp 3 глюк после всех проделанных манипуляций продолжает иметь место. Поиск руткитов повесился на 96%.

Имеет место длительность или загрузка?

Загрузка болтается от 5 до 15%. Руткиты ищет уже второй час, показывает 96%.

Вы обновились с тестового сервера emu или только с ap?
Если с emu, то выложите, пожалуйста, трейсы.
Если с ap, то попробуйте обновиться с emu.

Я вчера обновился с ap затем сразу же с emu и после этого обновился с о штатного сервера поиск руткитов как тупил начиная с 94% так и тупит время проверки ни чуть не уменшилось кароче снёс установил заного бо я уже натестировался буду ждать чегото официального а то вы вылаживаете через пол дня отзываете так и не ясно какой патч и откуда будет на штатных серверах для всех подожду чуток