灵异事件：是系统还是Comodo？

kfk

  2017-6-22/23有更新▼见各分割线  
----------------------------------------



偶尔有类似现象（比如 文件删不掉，或明明删掉了又反复重现），因时间不长，难以捕捉，也就随它去了。
然而昨天，清晰见证了漫长的全过程。
记录下来，同学们帮我看看是怎么回事：

先是重命名一个文件夹（D:\Program Files\Vivaldi），失败，报“在用”。
然而在 ProcessHacker 中搜索，并未发现占用者。
关尽程序，还是不成。
那我想 系统本次运行也久了，重启一次算了。
重启后，重命名成功。

然后解压一个安装包，生成文件夹 D:\Vivaldi-bin
然后重命名此夹，又遇失败。
我便猜想 两次失败可能都跟Comodo的实时扫描机制有关。
那我就等了一小会儿，稍后将此夹重命名、移动，一切顺利。

现在：
D:\Vivaldi-bin 已不存在，
新的 D:\Program Files\Vivaldi 已建立。

现在我从 D:\Program Files\Vivaldi 中运行程序，
感觉异样：
我在Comodo防火墙中已放行此路径，现在却弹出询问。

看了一眼 ProcessHacker，我被惊着了（如图）：

命令行、当前目录 都对，
文件路径却是……！！！

（其实是看了好几眼才看出来……）

我用各种工具再次检查，证明 D:\Vivaldi-bin 确实已不存在。

然后检查Comodo：
文件列表 正常：是真实路径。
日志中，可以想见，满是 Vivaldi-bin 。这是《文件列表更改》中的一段：
第1行：程序启动之时，真实路径 添加成功。
但接着，Comodo 在添加这个幽灵路径，因失败而不断反复……

时间	路径	修改者	行为	属性	旧值	新值
:22:56	D:\Program Files\Vivaldi\Application\vivaldi.exe	Comodo	新添加的	Comodo 级别		我信
:22:58	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:00	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:02	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:05	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:07	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:10	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:12	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:14	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:17	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:19	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:19	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:21	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:22	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:24	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:27	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:30	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:33	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:36	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:39	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:41	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别
:23:43	D:\Vivaldi-bin\vivaldi.exe	Comodo	新添加的	Comodo 级别

退出再试多次，长时间不见好。
这样子我也不敢继续用，只好再次重启了。这才正常了（如图）：


整个过程中Comodo沙盒并未运行。

这种现象似乎是使用Comodo以后才有的。



2017-6-22 --------------------
同样操作时又发生。
但这次表现有点区别：
Comodo日志中没有幽灵路径的记录，Comodo防火墙也没报。

这次我用的路径不同（见下图），但这也不能解释为导致区别的原因吧。

另外，我还同时在用 Malware Defender，那里面一切正常，从未报过幽灵路径。

所以这次只有 ProcessHacker 显示出这幽灵路径来。
系统的 任务管理器 中，虽然相关进程的[映像路径名称]显示为空白，但在打开进程属性时报：找不到文件 'D:\Vivaldi\Application\vivaldi.exe'。
这可以证明不是 ProcessHacker 的问题。

这次我不重启，看看还能生出何等妖孽。



2017-6-23 --------------------
今天运行相关程序时，已恢复正常（如图）：
异常 vs 正常：
　

从昨天灵异到今天正常，其间经过一次休眠和多次睡眠，没有注销或重启。
看来幽灵自己会散的，继续用也没毛病。



====================
相关信息：
Win7 SP1 32位
Comodo Internet Security 10.0.1.6223（记不清v8时是否发生过）
Malware Defender
ProcessHacker
发生于文件(夹)：Vivaldi（默认浏览器）

也请有此现象的同学，留下更多相关信息，供其他同学对照，以期共同找出原因。

zongk

我的也幽灵过：组策略不生效、IE浏览器默认搜索程序被破坏、应用商店不能安装应用。安装过波斯语论坛里刮来的盗版软件。怕怕ing...

HEMM

遇到过.......我还遇到过删除或者移动文件的时候响应缓慢，大部分时间都是正常，抽的时候各种异常让我见怪不怪了。
不过我是防火墙......
没BUG豆的时候不会出现，开启BUG豆的防护大部分时间都没异常，抽的时候......

klxq520

bug豆是会这样的

snowysword

之前用豆的时候遇到过.程序放桌面,我运行了下,然后给移到别的位置,毛豆报的时候还是原来的路径...

tg123321

@Candygu 来看下

Candygu

tg123321 发表于 2017-6-22 12:11
@Candygu 来看下

这个问题有点诡异，我这边暂时没有碰到，我关注一下。

kfk

@Candygu
2017-6-22/23 有更新，见原帖各分割线。

yangguang

爱恨交织啊！

watcherkl

这个问题有点诡异，我这边暂时没有碰到，毛豆墙，系统，和别的软件用着都没问题。