Jump to content
d@vinchi

KAV WSEE - перезапуск ядер каждые 4-5 мин...

Recommended Posts

Здравствуйте!

Вчера после обновления примерно в 18-00 антивирус для WSEE перестал нормально работать, проявляется постоянным презапуском антивирусных ядер и загрузкой CPU в эти моменты на 100%...

В системном журнеле в разделе Журналы приложений и служб - Антивирус Касперского куча ошибок:

 

Произошло необработанное исключение.

 

Процесс: kavfswp.exe [33588].

Адрес: 0x0452A571.

Код исключения: 0xc0000005.

 

Произошло необработанное исключение.

 

Процесс: kavfswp.exe [39808].

Адрес: 0x0452A571.

Код исключения: 0xc0000005.

 

Произошло необработанное исключение.

 

Процесс: kavfswp.exe [33120].

Адрес: 0x044AA571.

Код исключения: 0xc0000005.

 

Произошло необработанное исключение.

 

Процесс: kavfswp.exe [34244].

Адрес: 0x044EA571.

Код исключения: 0xc0000005.

 

и т.д.

в журнале безопасности тоже куча событий отказа аудита:

 

Запрошен дескриптор объекта.

 

Субъект:

ИД безопасности: SYSTEM

Имя учетной записи: SERVER$

Домен учетной записи: DOMAIN

Код входа: 0x3e7

 

Объект:

Сервер объекта: Security

Тип объекта: File

Имя объекта: C:\Windows\System32\sacsvr.dll

Код дескриптора: 0x0

 

Сведения о процессе:

Идентификатор процесса: 0x1880

Имя процесса: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers Enterprice Editions\kavfswp.exe

 

Сведения о запросе на доступ:

Код транзакции: {00000000-0000-0000-0000-000000000000}

Операции доступа: READ_CONTROL

SYNCHRONIZE

Чтение данных (или перечисление каталогов)

ReadEA

ReadAttributes

WriteAttributes

 

Маска доступа: 0x120189

Привилегии, использованные для проверки доступа: -

Число ограниченных ИД безопасности: 0

 

Запрошен дескриптор объекта.

 

Субъект:

ИД безопасности: SYSTEM

Имя учетной записи: SERVER$

Домен учетной записи: DOMAIN

Код входа: 0x3e7

 

Объект:

Сервер объекта: Security

Тип объекта: File

Имя объекта: C:\Windows\System32\appmgmts.dll

Код дескриптора: 0x0

 

Сведения о процессе:

Идентификатор процесса: 0x1880

Имя процесса: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers Enterprice Editions\kavfswp.exe

 

Сведения о запросе на доступ:

Код транзакции: {00000000-0000-0000-0000-000000000000}

Операции доступа: READ_CONTROL

SYNCHRONIZE

Чтение данных (или перечисление каталогов)

ReadEA

ReadAttributes

WriteAttributes

 

Маска доступа: 0x120189

Привилегии, использованные для проверки доступа: -

Число ограниченных ИД безопасности: 0

и т.д.

 

кто-нить уже сталкивался с таким?

Share this post


Link to post

Подтверждаю, начиная с 23.10.2010 с 16:11, с интервалом 2-5 минуты, происходит событие:

 

Произошло необработанное исключение.

 

Процесс: kavfswp.exe [4508].

Адрес: 0x04E2A571.

Код исключения: 0xc0000005.

 

Событие регистрируется на всех серверах под защитой KAVFSEE 6.0.2.555 (critical fix 7, 11)

 

При поиске в базе знаний касперского нашел вот это - http://support.kaspersky.ru/faq/?qid=208636347

 

Выполнил - не помогло.

 

Что бы это могло значить??? :angry:

Share this post


Link to post

Подтверждаю.. та же беда.. 20 серверов- все упали... те у которых мало памяти - те вообще упали напрочь - только холодный рестарт (ОЗУ 512 Мб) - которые помощнее те не упали - тем просто откатил обновление баз.. помогло...

слабым сервакам - просто отключил службу - пока они загружались - тоже помогло- единственное они без защиты стоят..

господа из каспреского - это чего за хрень... вас сначала ломают - а потом вы из антивирусной защиты - превращаетесь в серьезную проблему - хуже вируса..

и это второй раз подряд за год (помните CF 11)???

 

ДА... падает все на базах от 23.10.2010.. созданных в районе 20:30 - там почти круглая цифра количеств описаний вирусов...

более свежих у меня нет - может уже поправили - но комне они придут только завтра %(

Edited by Goblinoid

Share this post


Link to post

Похоже в последних обновлеиях что-то кривое пролезло...

Share this post


Link to post

понятно что дело в обновлениях - но они что - так хреново тестятся - что у меня упало все предприятие.. и если бы я случайно в воскресенье на работу не приехал - то лежало бы до утра, а потом те же 6 часов я бы боролся с восстановлением, пока все бухи и манагеры звонили и орали что у них все встало??? это как то знаете плохо... сорри за флуд..

Share this post


Link to post

Присоединяюсь.

У меня со вчера на двух серверах:

 

Тип события: Ошибка

Источник события: SystemAudit

Категория события: Отсутствует

Код события: 6080

Дата: 24.10.2010

Время: 11:15:47

Пользователь: Н/Д

Компьютер: SM2

Описание:

Произошло необработанное исключение.

 

Процесс: kavfswp.exe [3488].

Адрес: 0x0200B93E.

Код исключения: 0xc0000005.

 

Сервера тормозят невероятно. При запуске приложений и удаленном входе на сервере загрузка процессора до 75%, kavfswp.exe перезапускается 2-7 раз. Проверка скриптов на более медленном сервере остановилась из-за невозможности восстановления. Запустил вручную.

Сегодня зарегистрировал запрос в техподдержку в персональном кабинете.

Что делать сейчас? Сделать откат обновлений и запретить автоматическое получение обновлений до решения проблемы?

Хорошо, чтобы кто-нибудь из лаборатории Касперского ответил...

Share this post


Link to post

запрос в ТП догадался кто-нить оформить?

Share this post


Link to post

судя по ответу выше - да.. .но сейчас вся россия на выхах.. как и казахстан - когда до них дойдет..

я головной конторе своей запрос отправил - на меня там посмеялись как на дурака - и сказали что у касперского такого быть не может..

отправил ссылку на этот форум - пусть курят..

Share this post


Link to post
Присоединяюсь.

У меня со вчера на двух серверах:

 

Тип события: Ошибка

Источник события: SystemAudit

Категория события: Отсутствует

Код события: 6080

Дата: 24.10.2010

Время: 11:15:47

Пользователь: Н/Д

Компьютер: SM2

Описание:

Произошло необработанное исключение.

 

Процесс: kavfswp.exe [3488].

Адрес: 0x0200B93E.

Код исключения: 0xc0000005.

 

Сервера тормозят невероятно. При запуске приложений и удаленном входе на сервере загрузка процессора до 75%, kavfswp.exe перезапускается 2-7 раз. Проверка скриптов на более медленном сервере остановилась из-за невозможности восстановления. Запустил вручную.

Сегодня зарегистрировал запрос в техподдержку в персональном кабинете.

Что делать сейчас? Сделать откат обновлений и запретить автоматическое получение обновлений до решения проблемы?

Хорошо, чтобы кто-нибудь из лаборатории Касперского ответил...

 

если они доступны - то делай откат обновления баз... не думай.. сразу станет хорошо.... потом может стать хуже.. походу память утекает - я смотрел - у меня серваки по пингу доступны были (те которые легли) - а на консоле - полная ж.... даже на нажатие numlock не реагирует...

 

Share this post


Link to post

Тоже самое. На всех серверах начиная с вечера 23-го числа. В логах сервера по KAV куча ошибок.

В самом KAV 6 SEE ошибки, постоянный перезапуск задач - Постоянная защита файлов и Проверка скриптов.

При перезагрузке компьютера в KAV 6 SEE ошибки задач - Проверка при старте системы и Проверка целостности приложения.

Значок в трее то серый, то красный.

Дикая загрузка процессов. По RDP тормоза ужасные. Сам сервер тоже дико тормозит.

На одном из сервером пробовал переустановить с восстановлением по умолчанию.

Не помогло. На этом сервере вообще при перезагрузке идет сообщение в логе, что служба зависла. Потом повторно запускается, но работает с ошибками.

На всех серверах отключил службу, на одном вообще удалил программу.

Ждемсс..ответа от Касперского.

 

Share this post


Link to post

Народ, кто первый получит ответ от техподдержки - сообщите как жить дальше...

Share this post


Link to post

Всем спокойствие. Начиная с 17 часов сегодня ведется работа по восстановлению баз.

Скорее всего исправление войдет в само обновление и отката баз не будет.

 

На данный момент чтобы не мучать сервера, проводите откат к предыдущим базам, если есть возможность, или отключайте службу Антивируса.

 

О полном решении проблемы, после успешного тестирования и выпуска баз, будет уведомление.

Share this post


Link to post

Хорошо, что это не произошло в период с 1-го по 10-е января. Страна бы в лице сисадминов повесилась бы....

Share this post


Link to post
Всем спокойствие. Начиная с 17 часов сегодня ведется работа по восстановлению баз.

Скорее всего исправление войдет в само обновление и отката баз не будет.

 

На данный момент чтобы не мучать сервера, проводите откат к предыдущим базам, если есть возможность, или отключайте службу Антивируса.

 

О полном решении проблемы, после успешного тестирования и выпуска баз, будет уведомление.

спасибо, за информацию.

 

 

 

 

Share this post


Link to post

Еще хочу от себя добавить, если имеется хотя бы один Сервер с обновлениями от 23 числа (т.е. не сбойные), выполните их копирование с помощью задачи копирования обновлений. БЕЗ ЗАГРУЗКИ НОВЫХ ОБНОВЛЕНИЙ.

С помощью этих обновлений можно не делая отката обновиться из папки и работать пока со старыми обновлениями. Особенно это касается тех кто переустановил продукт в запарке и не может откатиться на предыдующую версию баз.

 

Возможно пока решается проблема, эти обновления помогут многим, если кто-нибудь сможет их выложить на какой-нибудь файлообменник.

Share this post


Link to post
Еще хочу от себя добавить, если имеется хотя бы один Сервер с обновлениями от 23 числа (т.е. не сбойные), выполните их копирование с помощью задачи копирования обновлений. БЕЗ ЗАГРУЗКИ НОВЫХ ОБНОВЛЕНИЙ.

С помощью этих обновлений можно не делая отката обновиться из папки и работать пока со старыми обновлениями. Особенно это касается тех кто переустановил продукт в запарке и не может откатиться на предыдующую версию баз.

 

Возможно пока решается проблема, эти обновления помогут многим, если кто-нибудь сможет их выложить на какой-нибудь файлообменник.

Вы хоть напишите где-нибудь когда базы обновлены будут.

А то сижу... жду... пробую... а оно все ещё неиспраленое (в 23-08 скачал базы с серверов Лаборатории - исправления ещё нет ).

 

Насчёт если у кого базы живые есть и он выложит - это было бы очень хорошо! Это было бы очень кстати! Поделитесь пожалуйста, если есть возможность!

Share this post


Link to post

Попробую внести для себя ясность:

У всех кто хапанул новые обновления опустилась постоянная защита и проверка скриптов?

Что мы делаем дальше, сидим и ждем фикса?

Share this post


Link to post
Попробую внести для себя ясность:

У всех кто хапанул новые обновления опустилась постоянная защита и проверка скриптов?

Что мы делаем дальше, сидим и ждем фикса?

Она скорей не "опустилась" а "поднялась"

 

Теперь сидим и ждём исправленных баз. А них всё нет ;(

По состоянию на 6-20 по Москве на серверах Лаборатории базы не исправлены.

 

Share this post


Link to post

у меня Статус компьютера 'Критический'

Уровень важности: Критическое событие

Программа: Kaspersky Administration Kit

Номер версии: 8.0.2090

Имя задачи:

Компьютер: Сервер администрирования <SERVER1C>

Группа: Управляемые компьютеры

Время: 25 октября 2010 г. 9:57:28

Описание: Статус компьютера 'SERVER1C' изменился на 'Критический': постоянная защита не включена.

 

постоянно то включаеться то выключаеться

 

началось все 24 числа

Статус компьютера 'Критический'

Уровень важности: Критическое событие

Программа: Kaspersky Administration Kit

Номер версии: 8.0.2090

Имя задачи:

Компьютер: Сервер администрирования <SERVER1C>

Группа: Управляемые компьютеры

Время: 24 октября 2010 г. 16:57:30

Описание: Статус компьютера 'SERVER1C' изменился на 'Критический': постоянная защита не включена.

 

приостановил постоянную защиту.(выключение постоянной защиты не срабатывает, по причине какой то критической ошибке , в логах админкида ее не видно )

нагрузка сервера резко пошла на убыль.

 

 

http://quest.sletadminov.ru/upload/iblock/...7d3763b6805.jpg

Edited by Neyron

Share this post


Link to post

Ждем прямых баз, во сколько, примерно, выходят плановые обновления?

Share this post


Link to post
Ждем прямых баз, во сколько, примерно, выходят плановые обновления?

)) плановые должны каждый час, а пока исправлений нет

Share this post


Link to post
)) плановые должны каждый час, а пока исправлений нет

каждый час - и ночью тоже? :)

у меня до сих пор вчерашние...

Share this post


Link to post

В англоязычной аналогичной ветке один пользователь выложил рабочую копию баз, но за 22-е число:

http://forum.kaspersky.com/index.php?showt...t&p=1510940

 

Прямой линк: ftp://ftp.cytec.ch/public/temp/bases20101022.zip

 

В прошлый раз при такой же приблизительно ситуации в англоязычной ветке официальное решение было опубликовано гораздо раньше, чем в русскоязычной.

Никаких обвинений, просто посматривайте и туда на всякий пожарный.

 

А вообще видимо пора делать собственный бэкап обновлений. :(

Edited by alex_tesla

Share this post


Link to post

Да, крепко все попали, да еще в выходные...

Ждем с нетерпением...

 

зыы:

Уменя куча терминальных юзеров, временно инет им отключил, чтоб дряни не нахватали...

 

Страна ждет!

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.