费尔在扫描后系统出现严重错误

显示全部楼层 · 发表于 2008-1-6 17:19:19

费尔是一款非常棒的安全软件，但今天用后系统出现了问题，好象我的问题和论坛中另一位朋友遇到的问题有些相似，这里我详细说明一下，期待官方回复。

问题产生详细经过：

系统是XP SP2，今天闲着没事，下载几十个病毒样本玩，自己直接解压缩了，用杀软查了玩，鼓捣了一阵，将费尔升级到最新，然后断网全盘杀毒，提示在“ C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$DR01.305”中感染了89个木马病毒，我知道这是我解压缩病毒包后自动进入系统的，所以没觉得多少紧张。费尔扫描完成后，“全选”——“清除”，但提示“删除失败”，原因为“该文件不存在或正被使用中”，之后退出费尔，费尔的FDDS突然报警，多达十几条。详细的报警信息为：

“2008-01-06 16:31:52, 成功结束进程 t(PID:5439570), 返回代码: 6
2008-01-06 16:31:53, 发现危险进程(PID:5439570): t. 产品名称: 无. 文件版本: 无. 公司名称: 无. 文件描述: 无. 数字签名: 已经受信的认证中心签名. 危险级别: 高. 级别评分: 7471215.740061. . (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-06 16:31:59, 成功结束进程 N(PID:4522070), 返回代码: 6
2008-01-06 16:32:00, 发现危险进程(PID:4522070): N. 产品名称: 无. 文件版本: 无. 公司名称: 无. 文件描述: 无. 数字签名: 没有发现签名. 危险级别: 低. 级别评分: 0.8800. . (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-06 16:32:02, 成功结束进程 s(PID:7602280), 返回代码: 6
2008-01-06 16:32:02, 发现危险进程(PID:7602280): s. 产品名称: 无. 文件版本: 无. 公司名称: 无. 文件描述: 无. 数字签名: 没有发现签名. 危险级别: 低. 级别评分: 0.8800. . (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-06 16:32:04, 成功结束进程 e ManageUncompreUncompress Miscellaneous DLLFilswbemsvc.ntdsapi.dll(PID:1396777057), 返回代码: 6
2008-01-06 16:32:04, 发现危险进程(PID:1396777057): e ManageUncompreUncompress Miscellaneous DLLFilswbemsvc.ntdsapi.dll. 产品名称: 无. 文件版本: 无. 公司名称: 无. 文件描述: 无. 数字签名: 已经费尔签名. 危险级别: 高. 级别评分: 1868852841.203f7377. . (危险线程已被结束，进程已被结束，但还没有清除，等待进一步处理。)在线扫描发现它不是有害程序，但这并不能肯定此文件是百分之百安全的。你可以信任它，但如果你认为它是不可信的也可以删除它。
2008-01-06 16:32:04, 成功结束进程 L(PID:1768187213), 返回代码: 6
2008-01-06 16:32:04, 发现危险进程(PID:1768187213): L. 产品名称: 无. 文件版本: 无. 公司名称: 无. 文件描述: 无. 数字签名: 没有发现签名. 危险级别: 低. 级别评分: 0.8800. . (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-06 16:32:06, 成功结束进程 (PID:1852404833), 返回代码: 6
2008-01-06 16:32:38, 成功结束进程 o(PID:162857189), 返回代码: 6
2008-01-06 16:32:39, 发现危险进程(PID:162857189): o. 产品名称: 无. 文件版本: 无. 公司名称: 无. 文件描述: 无. 数字签名: 没有发现签名. 危险级别: 高. 级别评分: 7274601.2e006e. . (备份失败，成功删除)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-06 16:32:41, 成功结束进程 e(PID:6619250), 返回代码: 6
2008-01-06 16:32:41, 发现危险进程(PID:6619250): e. 产品名称: 无. 文件版本: 无. 公司名称: 无. 文件描述: 无. 数字签名: 没有发现签名. 危险级别: 低. 级别评分: 0.8800. . (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-06 16:32:43, 成功结束进程 =滃w櫊鍂Volume Control(PID:2011547223), 返回代码: 6
2008-01-06 16:32:43, 发现危险进程(PID:2011547223): =滃w櫊鍂Volume Control. 产品名称: 无. 文件版本: 无. 公司名称: 无. 文件描述: 无. 数字签名: 没有发现签名. 危险级别: 低. 级别评分: 0.8800. . (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-06 16:32:49, 成功结束进程 (PID:E9D2A8BD), 返回代码: 6
2008-01-06 16:32:49, 发现危险进程(PID:E9D2A8BD): . 产品名称: 无. 文件版本: 无. 公司名称: 无. 文件描述: 无. 数字签名: 没有发现签名. 危险级别: 高. 级别评分: 2097184.200020. . (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-06 16:32:49, 成功结束进程 (PID:C4B5BDB2), 返回代码: 6
2008-01-06 16:32:51, 成功结束进程 (PID:2097184), 返回代码: 6
2008-01-06 16:32:51, 发现危险进程(PID:2097184): . 产品名称: 无. 文件版本: 无. 公司名称: 无. 文件描述: 无. 数字签名: 没有发现签名. 危险级别: 低. 级别评分: 0.8800. . (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-06 16:32:52, 成功结束进程 (PID:825243218), 返回代码: 6
2008-01-06 16:32:54, 取消了对 t 的询问。
2008-01-06 16:32:54, 取消了对 N 的询问。
2008-01-06 16:32:54, 取消了对 s 的询问。
2008-01-06 16:32:54, 取消了对 e ManageUncompreUncompress Miscellaneous DLLFilswbemsvc.ntdsapi.dll 的询问。
2008-01-06 16:32:54, 取消了对 L 的询问。
2008-01-06 16:32:54, 取消了对 e 的询问。
2008-01-06 16:32:54, 取消了对 =滃w櫊鍂Volume Control 的询问。
2008-01-06 16:32:54, 取消了对的询问。
2008-01-06 16:32:54, 取消了对的询问。
2008-01-06 16:34:00, 失败结束线程 3014766，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 4259872，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 7077996，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 7471136，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 6750313，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 7602280，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 2097267，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 6619250，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 6619251，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 7733362，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 6553701，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 46，此线程在 N 程序中，它是被 U 创建, 返回代码: 5
2008-01-06 16:34:00, 失败结束线程 589882，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 5177345，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 6881394，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 6881383，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 6357102，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 4587628，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 7077993，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 失败结束线程 7209061，此线程在 N 程序中，它是被 U 创建, 返回代码: 87
2008-01-06 16:34:00, 成功结束进程 N(PID:4522070), 返回代码: 6
2008-01-06 16:34:00, 发现危险进程(PID:4522070): N. 产品名称: 无. 文件版本: 无. 公司名称: 无. 文件描述: 无. 数字签名: 没有发现签名. 危险级别: 低. 级别评分: 0.8800. . (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-06 16:34:01, 成功结束进程 e(PID:7536759), 返回代码: 6
2008-01-06 16:34:01, 发现危险进程(PID:7536759): e. 产品名称: 无. 文件版本: 无. 公司名称: 无. 文件描述: 无. 数字签名: 没有发现签名. 危险级别: 低. 级别评分: 0.8800. . (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-06 16:34:28, 成功结束进程 c(PID:2097267), 返回代码: 6
2008-01-06 16:34:28, 发现危险进程(PID:2097267): c. 产品名称: 无. 文件版本: 无. 公司名称: 无. 文件描述: 无. 数字签名: 没有发现签名. 危险级别: 高. 级别评分: 7274601.6e. . (备份失败，成功删除)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。
2008-01-06 16:34:29, 成功结束进程 d(PID:7798895), 返回代码: 6
2008-01-06 16:34:29, 发现危险进程(PID:7798895): d. 产品名称: 无. 文件版本: 无. 公司名称: 无. 文件描述: 无. 数字签名: 没有发现签名. 危险级别: 低. 级别评分: 0.8800. . (进程已被结束，但还没有清除，等待进一步处理。)建议: 如果能确认这个文件是安全的可以信任它，如果能确认是不安全的可以删除它，如果是正常的程序被意外的终止，可以暂时信任然后再重新运行一次。. 如果无法确认它是否安全，建议使用在线扫描得到进一步的建议。”

不知道这些N啊D啊的进程是什么，于是“Ctrl+Alt+Delete”想调出任务管理器，结果Windows弹出错误：

应用程序初始化失败，代码0x00000017c。

这时，系统没有任何声音，也就是说Windows的错误提示音啦等等全部消失，右下角的“小喇叭”图标按过后没有反应。

无奈重新启动，这时系统关机画面变成类似于Windows 2000的关机画面（呈现出窗口，显示注销——关机）（我的系统是Windows XP SP2），当然没有听到关机音乐。

重新启动后，系统恢复正常，再次打开费尔全盘杀毒，照样显示原先那89个木马，这时选择“清除”，提示“清除/隔离成功”，关闭费尔后系统没有再出现问题。

以上是系统错误的详细说明，以前也发生过一次，请问原因。谢谢！

[ 本帖最后由月影天心于 2008-1-6 17:20 编辑 ]

显示全部楼层 · 发表于 2008-1-6 17:28:04

典型的玩火自焚！！

不过没烧死罢了~~~

等玩到驱动级别的木马就等着收尸吧~~~

[ 本帖最后由 cocoyee 于 2008-1-6 17:30 编辑 ]

显示全部楼层 · 发表于 2008-1-6 17:30:34

确实是一个非常奇怪的问题，目前暂还无法确定是何种原因造成，也未遇到过，我们会进行相关测试和技术分析，希望能够重现这个故障，以便找到原因。不过，根据我们的经验，近期HIPS软件的流行确实造成了许多常规软件容易出现一些意想不到的莫名错误，主要是因为这类软件对系统资源访问做了许多底机控制和规则限制，比如禁这里的文件访问，禁止那里的文件建立等等，如果用户的规则设置不当极容易让许多软件的正常资源访问会被意外中断或阻止，因此程序被打乱原有流程而出现许多莫名其妙的故障，整个电脑系统的运行也可能变得不太稳定。如果你电脑中安装有类似HIPS软件或其他相似的系统保护软件，如果可以的话建议你完全卸载它们或者在另外一个没有类似软件的系统中再使用观察一段费尔，看是否会频繁出现这个现象，我们也会持续留意类似问题，争取能够早日找到原因，谢谢。

[ 本帖最后由 Filseclab 于 2008-1-6 17:32 编辑 ]

显示全部楼层 · 发表于 2008-1-6 18:12:14

值得注意的是，在用费尔全盘扫描前系统是正常的，扫描后不但病毒木马清除失败，FDDS也提示一大堆奇怪的进程警报，同时系统声音消失、任务管理器0x00000017c错误、关机画面变成类似于2000的窗口。

但是重新启动后费尔就能够成功清除原先在C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$DR01.305的病毒，FDDS也没有再报警。

所以心中有一个想法：是不是位于上述文件夹的某个病毒无意中被运行，导致费尔在扫描过程中检测到并“激活”其病毒，从而使系统出现严重的错误，因此，费尔也提示“删除失败”，但是FDDS出现的N、D之类的进程似乎用病毒被激活来解释不能完全成立，是不是FDDS在运行过程中对某些可能的原因导致的正常软件进程在底层被终结进行拦截，进而产生这样的问题。因此，费尔的FDDS过于敏感，再加上某些可能原因导致软件底层运行被终止，致使系统出错。

不知道我这样的分析有没有道理。

另外，您所说的HIPS权限冲突，应该不是这样的问题。扫描时，微点处于“Pause”状态，E盾没有运行。

[ 本帖最后由月影天心于 2008-1-6 18:21 编辑 ]

显示全部楼层 · 发表于 2008-1-6 18:29:15

对了，进程 e ManageUncompreUncompress Miscellaneous DLLFilswbemsvc.ntdsapi.dll是什么东西？还有“=滃w櫊鍂Volume Control”又是什么？

显示全部楼层 · 发表于 2008-1-6 18:52:36

根据情况综合判断，是文件系统出现问题的可能性非常大。当费尔尝试隔离时会尝试删除文件、写文件操作，出现失败表示文件系统拒绝了这一操作，而且这只是一个开始现象，后面动态防御出现如此多的报告也并不是因为动态防御敏感，而是因为动态防御在实时读取规则文件进行监控时规则文件也被拒绝读出从而失败或错误，致使相关的规则信息程序没有得到预计的结果而出现紊乱，从而得出错误的判断并且报的信息也全部为错误。后面当你再打开打开任务管理器时也出现一些怪现象也是因为文件系统出现故障造成的，如果当时不立即去重启电脑，相信许多其他软件也会变得无法正常运行和错误。所以费尔隔离失败和动态防御错误只是和其他软件出现错误一样，是文件系统错误造成的后续连锁反应而并非起因。但到底是什么致使系统突然出现了这种文件系统错误现象呢，目前还不好确定，是不小心点击了病毒执行的可能性很小，但不是没有这种可能。是防毒软件之间冲突、防毒软件与HIPS之间的冲突性或许更大一些。HIPS软件与防毒软件一样采用许多类似技术，所以防毒软件与HIPS产生冲突也是会有的，而且一般防护类软件即使在停止状态也它的核心驱协也会保持运行和基本保护，如果系统底层程序存在BUG情况则可能会出现条件判断失误而直接阻止所有的文件操作动作，这时就可能造成文件系统出现错乱现象。一般防毒软件只会设置拒绝某个文件的读取操作动作，所以即使出现BUG也一般只会影响个别文件，而不会致使整个文件瘫痪。我们会继续观察，你也可以继续观察或者卸载HIPS，如果不再有这种情况，则可以基本印证是HIPS冲突造成的。谢谢。

显示全部楼层 · 发表于 2008-1-6 19:31:00

非常感谢官方回复，对费尔及时帮助用户解决问题的态度表示钦佩。
可能是软件冲突吧，也许因为个人系统环境的不同，部分HIPS软件出现冲突，真是难以捉摸的故障

显示全部楼层 · 发表于 2008-1-8 23:56:00

e ManageUncompreUncompress Miscellaneous DLLFilswbemsvc.ntdsapi.dll这个该是某个费尔的声音ActiveX组件吧!!!!

显示全部楼层 · 发表于 2008-1-9 19:21:07

楼主把病毒发个连接，然后直接发给官方，官方测试下吧

[费尔] 费尔在扫描后系统出现严重错误

回复 3楼 Filseclab 的帖子

回复 6楼 Filseclab 的帖子