Na moim komputerze z systemem Windows 7 widzę dziwne zachowanie; wygląda na to, że po uruchomieniu pliku wykonywalnego SYSTEM utrzymuje otwarty uchwyt przez około minutę. Oto moje ostatnie spotkanie:
Zainstalowałem Steam, który uruchamia się po instalacji steam.exe, aby się zaktualizować. Wydaje się, że robi to, pisząc tymczasową kopię siebie, uruchamiając ją w celu pobrania, a następnie nadpisując oryginalną kopię pliku wykonywalnego. W moim przypadku nie powiodło się, twierdząc, że nie można usunąć steam.exe.
Otworzyłem folder i próbowałem ręcznie usunąć steam.exe, ale Windows twierdził, że nie mam uprawnień. Moje konto jest administratorem i jest jedynym kontem użytkownika na tym komputerze. Ale na wszelki wypadek uruchomiłem Eksploratora jako Administrator, ale nadal nie mogłem usunąć pliku. Przywołałem Właściwości pliku na karcie Zabezpieczenia, ale pokazywał tylko komunikat informujący, że nie mam uprawnień do przeglądania uprawnień.
Następnie uruchomiłem Process Explorer, aby sprawdzić, czy coś ma blokadę w pliku. SYSTEM (PID 4) tak, ale kiedy próbowałem zamknąć uchwyt pliku, wystąpił błąd informujący, że uchwyt jest nieprawidłowy. Próbowałem wyświetlić właściwości uchwytu pliku, ale też nie miałem uprawnień, aby to zrobić.
Zakończyłem wszystko oprócz nie kończących się procesów systemowych i zatrzymałem wszystkie usługi, które mogę, w tym wszystkie związane z AV i zaporą ogniową, ale problem nadal występuje. Próbowałem użyć „takeown”, aby uzyskać własność pliku, ale twierdzi, że nie mam na to pozwolenia. Inne osoby twierdziły, że odniosły sukces przy użyciu narzędzia o nazwie „Unlocker”, ale miał ten sam problem co Process Explorer podczas zamykania uchwytu pliku.
Dawno temu wyłączyłem Indeksowanie i wyszukiwanie w systemie Windows i wykluczyłem C: \ z indeksowania, więc odpowiedź na to pytanie nie dotyczy mnie.
Za każdym razem, po około minucie, uchwyt znika, a plik jest natychmiast usuwany; najwyraźniej próba usunięcia aktualizacji przez program aktualizujący została umieszczona w kolejce i ostatecznie zakończona, gdy plik nie był już zablokowany. Niestety aktualizacja już się zakończyła i nie można jej wznowić. A kiedy ponownie instaluję, oczywiście próbuje ponownie uruchomić steam.exe i wracam do pierwszego.
Moje pytanie brzmi: dlaczego te uchwyty wiszą i jak mogę temu zapobiec?
Edycja: Oto dodatkowe informacje wymagane na podstawie komentarzy:
C:\>fltmc instances
Filter Volume Name Altitude Instance Name Frame VlStatus
-------------------- ------------------------------------- ------------ --------------------- ----- --------
KLIF \Device\Mup 320400 KLIF 0
KLIF C: 320400 KLIF 0
KLIF 320400 KLIF 0
luafv C: 135000 luafv 0
FileInfo \Device\Mup 45000 FileInfo 0
FileInfo C: 45000 FileInfo 0
FileInfo 45000 FileInfo 0
Edycja: GMER wskazuje, że mój program antywirusowy (Kaspersky) jest nadal w jakiś sposób aktywny, pomimo wyłączenia go z własnego GUI i zatrzymania usługi.
AttachedDevice \Driver\tdx \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\tdx \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
Ale wszystko to wydaje się dotyczyć usług sieciowych; Nie widzę nic związanego z systemem plików. Czy którekolwiek z nich może być przyczyną problemu?
Edycja: Wyłączyłem filtr Kaspersky KLIF, ale problem z blokowaniem pozostaje.
Edycja: Rozwiązałem konkretny problem ze Steam, instalując, wymuszając zakończenie instalatora przed uruchomieniem steam.exe, a następnie restartując w trybie awaryjnym i uruchamiając go tam. Najwyraźniej cokolwiek blokuje plik wykonywalny, nie występuje w trybie awaryjnym.
Chociaż rozwiązałem ten konkretny przypadek, problem pojawia się również gdzie indziej, więc nadal chciałbym zrozumieć, co się dzieje.
fltmc
czy są to starsze filtry, aby wyświetlić listę filtrowanych obiektów, potrzebujesz narzędzia takiego jak GMER. Wiem, że nie jest to główny cel GMER, ale można go w ten sposób wykorzystać. Kiedyś było też jakieś narzędzie z OSR, ale nie pamiętam jego nazwy. Odpowiem ponownie, jeśli pamiętam.