DPS 12.3 vs Eset Nod32v.5

hazya

Скачал сегодня DPS 12.3 r.300 и тестовые паки от Сэма. Система у меня W7 PRO SP1 со всеми обновлениями на сегодняшнее число. Установлен корпоративный антивирус Eset Nod32 v.5 Endpoint с моими настройками без блокировки устройств (в новой версии есть возможность контроль драйверов внешних устройств и их блокировка). При запуске ДПС система выпадает в синий экран и ребут. После анализа дампа выявлено:

0: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)
This is a very common bugcheck.  Usually the exception address pinpoints
the driver/function that caused the problem.  Always note this address
as well as the link date of the driver/image that contains this address.
Some common problems are exception code 0x80000003.  This means a hard
coded breakpoint or assertion was hit, but this system was booted
/NODEBUG.  This is not supposed to happen as developers should never have
hardcoded breakpoints in retail code, but ...
If this happens, make sure a debugger gets connected, and the
system is booted /DEBUG.  This will let us see why this breakpoint is
happening.
Arguments:
Arg1: c0000005, The exception code that was not handled
Arg2: 834d3725, The address that the exception occurred at
Arg3: b5e878ec, Trap Frame
Arg4: 00000000

Debugging Details:
------------------


EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - <Unable to get error code text>

FAULTING_IP: 
nt!IopReadDumpRegistry+19d
834d3725 66ff8e86000000  dec     word ptr [esi+86h]

TRAP_FRAME:  b5e878ec -- (.trap 0xffffffffb5e878ec)
ErrCode = 00000002
eax=85f1f790 ebx=87de1358 ecx=00000009 edx=00000000 esi=00000210 edi=85f1f7a0
eip=834d3725 esp=b5e87960 ebp=b5e87998 iopl=0         nv up ei ng nz na pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010286
nt!IopReadDumpRegistry+0x19d:
834d3725 66ff8e86000000  dec     word ptr [esi+86h]       ds:0023:00000296=????
Resetting default scope

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

BUGCHECK_STR:  0x8E

PROCESS_NAME:  exe

CURRENT_IRQL:  0

LAST_CONTROL_TRANSFER:  from 83653396 to 834d3725

STACK_TEXT:  
b5e87998 83653396 87de1358 00000009 00000210 nt!IopReadDumpRegistry+0x19d
b5e879bc 89a3589c 87de1358 00000009 00000210 nt!_NULL_IMPORT_DESCRIPTOR <PERF> (nt+0x215396)
WARNING: Stack unwind information not available. Following frames may be wrong.
b5e879e8 89a3591d 87de1358 00000000 b5e87a88 edevmon+0x289c
b5e87a10 89a3683a 85747038 85747068 ce748b78 edevmon+0x291d
b5e87a4c 89a36a02 ce748bd8 88586980 b5e87ab4 edevmon+0x383a
b5e87a68 89341aeb ce748bd8 b5e87a88 b5e87ab4 edevmon+0x3a02
b5e87ad4 89344c77 b5e87aec ce747ea0 b5e87b4c fltmgr!DrainCompletionNode+0x5
b5e87b04 834d0539 b5e87b4c ce747ea8 86670df0 fltmgr!FltpGetFileNameInformation+0x15b
b5e87b28 8367110a 00000000 00000000 b5e87c7f nt!IoQueryFileDosDeviceName+0x5f
b5e87c84 836713fb 85747038 00000000 00000007 nt!_NULL_IMPORT_DESCRIPTOR <PERF> (nt+0x23310a)
b5e87c98 834e8aef 85747038 87eb202c 00000000 nt!_NULL_IMPORT_DESCRIPTOR <PERF> (nt+0x2333fb)
b5e87cbc 83663209 abcb2cbe 0006efe4 0006efa0 nt!IopIsDeviceInstanceEnabled+0xd9
b5e87d10 8347b8fa 0006efe4 000f0005 00000000 nt!_NULL_IMPORT_DESCRIPTOR <PERF> (nt+0x225209)
b5e87d34 77b97094 badb0d00 0006ef84 00000000 nt!MiPfPutPagesInTransition+0x190
b5e87d40 00000000 00000000 00000000 00000000 0x77b97094


STACK_COMMAND:  kb

FOLLOWUP_IP: 
edevmon+289c
89a3589c ??              ???

SYMBOL_STACK_INDEX:  2

SYMBOL_NAME:  edevmon+289c

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: edevmon

IMAGE_NAME:  edevmon.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  4f6ca0e0

FAILURE_BUCKET_ID:  0x8E_edevmon+289c

BUCKET_ID:  0x8E_edevmon+289c

Followup: MachineOwner
---------

0: kd> lmvm edevmon
start    end        module name
89a33000 89b02000   edevmon  T (no symbols)           
    Loaded symbol image file: edevmon.sys
    Image path: \SystemRoot\system32\DRIVERS\edevmon.sys
    Image name: edevmon.sys
    Timestamp:        Fri Mar 23 18:12:16 2012 (4F6CA0E0)
    CheckSum:         0002FC16
    ImageSize:        000CF000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4

edevmon.sys - это модуль самого антивируса где и происходит сбой.

Сразу же нашел лечение: открываем антивирус, заходим в дополнительные настройки, компьютер, контроль устройств, снимаем галку интеграция устройств. Чуть позже попробую скинуть ветки в реестре где все это прописывается, может где то сможете прикрутить автоматизацию.

QuarQ

все гораздо проще ! перед тем как ставить драва надо отключить антивирусник совсем , поскольку установка драйверов является серьезным изменением системы ("что и пытается блокировать это тупорылое создание с подбитым синим глазом" личные примечания)
удачи

hazya

да, ты прав. Не подумал малеха ))