Ciao, mi rivolgo qui a voi perchè non so più che pesci prendere.
Vi spiego un attimo la mia situazione. Ho qui un pc che fino a qualche giorno fa era messo un po’ maluccio, non si accendeva neanche. Era andata la scheda grafica aggiuntiva. Rimossa quella il pc è partito, e gli ho fatto un bella pulizia generale. Sia software che di malware vari.
Il pc è un Windows Vista Home Premium.
Non mi spiego perchè, ma quando faccio partire la scansione con ASWMBR, questa inizia, arriva a fare la scansione della cartella C:\Windows\assembly\GAC_MSIL e a quel punto va in crash: “aswMBR.exe ha smesso di funzionare”.
Convinto che potesse essere dovuto a qualche residuo di virus precedente, ho lanciato tutte le scansioni con i vari software a disposizione:
Avira Free
Malwarebytes’ Anti-Malware
TDDS Killer
ComboFix
e poi nuovamente con aswMBR
nulla da fare, mi va sempre in crash in quella cartella.
Naturalmente, andando in crash a quel punto, non ho alcun log di aswMBR. Tutte le altre scansioni non riportano più alcuna infezione.
Ho già fatto una verifica con il Check Disk. Tutto ok. Niente da segnalare.
E sì, avevo provato anche dalla Modalità Provvisoria. Stessa cartella. Stesso crash.
Ho provato anche con Firewall e Antivirus disabilitati, stessa situazione. Non ho provato a disinstallare l’antivirus, posso tentare. Ma se va in crash anche in Modalità Provvisoria, non credo sia un conflitto con l’antivirus. Comunque se suggerisci di seguire questa strada, stasera provo.
Vista è aggiornato con tutti gli aggiornamenti possibili. L’unica cosa che però ho notato è che mi sembra ci metta un po’ più del solito a verificare la presenza di aggiornamenti da Windows Update. Ma forse sono solo io che son condizionato… ???
Strano che va in crash, sei sicuro che sei in modalità provvisoria (e non modalita provvisoria con rete ad esempio)?
Il crash solitamente è dovuto a dei driver che sono in memoria che vanno in conflitto, ma come tu hai detto se sei in modalità provvisoria dovrebbe essere tutto disattivato…
Io comunque rimuoverei tutto e lascierei solo un antivirus e il firewall di windows.
Inoltre proverei a fare la scansione del disco con l’opzione “cerca i settori dannegiati e tenta il ripristino”
Vista è aggiornato con tutti gli aggiornamenti possibili. L'unica cosa che però ho notato è che mi sembra ci metta un po' più del solito a verificare la presenza di aggiornamenti da Windows Update.
Niente da fare. Ho provato e riprovato. Va in crash in quella specifica cartella. Ho rilanciato anche il Check Disk con Tenta recupero settori danneggiati, ma non ha trovato neanche un errore.
Non so più che pensare. Ho visto che la cartella C:\Windows\assembly è un po’ particolare, nel senso che da prompt dei comandi riesco ad entrare in quelle che vede come sottodirectory, da Explorer invece vedo il contenuto solo sotto forma di “oggetti”.
Però va in crash solo in una cartella che inizia con: C:\Windows\assembly\GAC_MSIL\Microsoft.VisualStudio.Tools.Applications.
poi il percorso continua, ma dalla finestra di ASWMBR non si riesce a leggere. EDIT: ho trovato il modo di visualizzarla anche in Explorer, ma da lì sembra tutto a posto, nessun errore quando entro nelle cartello o scansiono il loro contenuto
Se può essere utile l’errore riportato nel registro eventi è questo:
Nome registro: Application
Origine: Application Error
Data: 02/06/2012 10.37.20
ID evento: 1000
Categoria attività:(100)
Livello: Errore
Parole chiave: Classico
Utente: N/D
Computer: PC-Pasquale
Descrizione:
Applicazione che ha generato l’errore aswMBR.exe, versione 0.9.9.1665, timestamp 0x4f5f9c86, modulo che ha generato l’errore ntdll.dll, versione 6.0.6002.18541, timestamp 0x4ec3e3d5, codice eccezione 0xc0000005, offset errore 0x000665c9, ID processo 0x6a4, data e ora di avvio dell’applicazione 0x01cd409aadee1d21.
XML evento:
?? Non capisco perchè dovrebbe andare in cresh dalla modalità provvisoria…
L’unica cosa che puoi provare è installare avast e fare partire la scansione all’avvio che parte prima ancora che il sistema operativo è completamente avviato.
Ciao, non so se può tornare utile, ma forse posso darti qualche informazione in più.
Mi è capitato lo stesso errore su un altro pc (il mio), in una cartella qualsiasi. Questa volta è andato in crash in una mia cartella personale. Non riuscendo a leggere l’intero percorso del file, l’ho seguito fino al punto in cui si poteva leggere. Questa volta, dentro questo percorso, non ci sono migliaia di files, ma solo qualche cartello e files miei molto vecchi. E’ tutta roba che non mi interessa, decido di cancellarla.
Al momento dello “spostamento nel cestino”, Windows mi avvisa che NON PUO’ spostare l’intera cartella nel cestino perchè sono presenti nomi di file troppo lunghi e mi chiede se voglio cancellare la cartella definitivamente. Confermo e la cancello definitivamente. Ora la scansione prosegue senza problemi!
Può essere che aswMBR.exe vada in errore se trovi percorsi troppo lunghi, per i quali anche Windows abbia difficoltà? In questo caso potrebbe essere un bug software risolvibile visto che esistono software che riescono a “eludere” questo tipo di errore (come ad esempio DelinvFile).
Purtroppo non te lo so dire… li ho cancellati definitivamente e non sono stato a guardare perchè erano files davvero vecchi.
Posso dirti che ho riprovato a creare un percorso lunghissimo (teoricamente il max per Windows con partizione NTFS in quanto oltre non riesci più a scrivere) con un file vuoto chiamato xxx.sys e l’ha scansionato senza problemi. Però la situazione non è la stessa perchè Windows mi ha anche permesso di cancellarlo e metterlo nel cestino. Suppongo potessero essere files che per avere un percorso così lungo, io debba aver copiato in qualche modo da partizioni FAT32 o ext3.
Se dovessi riuscire a far ripresentare l’errore ti faccio sapere.
Posso aggiungere che leggendo il file minidump del crash, sono riuscito a rintracciare la cartella che manda in crash aswMBR. Il percorso incriminato è questo:
Dentro la cartella è presente solo questo file .dll e mi ha dato lo stesso tipo di crash con la stessa cartella su un altro pc.
Il percorso in sè non è lunghissimo (dovrebbero essere 208 caratteri), poi però non so come analizzi il contenuto della DLL.
Per test, ho spostato la DLL in questione in un altro percorso più corto e lì non mi ha dato errore.
Io ho provato a ricreare un file vuoto con le stesso nome ed estensione e la stessa directory e non ho nessun errore.
Se vuoi, puoi provare mandare il minidump (all’interno di un file zippato con all’interno un file di testo con un link a questo post e possibilmente con informazioni in inglese) a: ftp://ftp.avast.com/incoming
Purtroppo non so proprio come aiutarti e anche nella sezione inglese non c’è nessuno che ne parla.
Come ho detto comunque puoi provare a fare la scansione dei rootkit con avast free e la scansione all’avvio .
Sì, avevo provato anche io a ricreare il percorso senza avere problemi. Il dubbio mi rimane per via del contenuto della DLL.
Una volta spostato il file in un’altra cartella, non mi ha più dato problemi. Quindi completata la scansione a mano sul resto del disco non ho più avuto problemi.
La scansione all’avvio era ok. Nessun problema.
Per quanto riguarda i minidump, stasera non ce la faccio perchè sto uscendo, ma domani se riesco zippo il file e aggiungo un file di testo con il link al post. Che altre informazioni pensi siano necessarie? Un riepilogo generale di quanto riscontrato?
Secondo me è un errore di gestione dei file in windows, in quanto come hai detto tu, spostando il file non c’era più il problema, ma quando hai provato ad eliminare il file
Al momento dello "spostamento nel cestino", Windows mi avvisa che NON PUO' spostare l'intera cartella nel cestino perchè sono presenti nomi di file troppo lunghi e mi chiede se voglio cancellare la cartella definitivamente. Confermo e la cancello definitivamente. Ora la scansione prosegue senza problemi!
Io ieri quando ho creato il percorso come mi hai detto non è successo nulla di tutto ciò...
Sì, avevo provato anch’io a ricreare un percorso con un limite massimo di caratteri ma non mi ha dato nessun tipo di problema, nè con la scansione, nè con aswMBR.
Il problema pare presentarsi con quella DLL in quel percorso. Posso solo supporre che il software faccia la scansione del contenuto della DLL (che include anche una struttura di files tipo iso o zip) e che nel percorso temporaneo del contenuto vada in errore. Però son solo supposizioni.
Ho uploadato sul server FTP che mi hai indicato un file zip contenente un file di testo in cui spiego più o meno quanto successo e i tre files provenienti dal crash applicativo.