Avast WEBforum

Non-English Zone => Italiano => Topic started by: jeppo79 on May 31, 2012, 11:21:50 PM

Title: aswMBR in crash - perchè?
Post by: jeppo79 on May 31, 2012, 11:21:50 PM
Ciao, mi rivolgo qui a voi perchè non so più che pesci prendere.
Vi spiego un attimo la mia situazione. Ho qui un pc che fino a qualche giorno fa era messo un po' maluccio, non si accendeva neanche. Era andata la scheda grafica aggiuntiva. Rimossa quella il pc è partito, e gli ho fatto un bella pulizia generale. Sia software che di malware vari.
Il pc è un Windows Vista Home Premium.

Non mi spiego perchè, ma quando faccio partire la scansione con ASWMBR, questa inizia, arriva a fare la scansione della cartella C:\Windows\assembly\GAC_MSIL e a quel punto va in crash: "aswMBR.exe ha smesso di funzionare".

Convinto che potesse essere dovuto a qualche residuo di virus precedente, ho lanciato tutte le scansioni con i vari software a disposizione:
- Avira Free
- Malwarebytes' Anti-Malware
- TDDS Killer
- ComboFix
- e poi nuovamente con aswMBR
nulla da fare, mi va sempre in crash in quella cartella.

Naturalmente, andando in crash a quel punto, non ho alcun log di aswMBR. Tutte le altre scansioni non riportano più alcuna infezione.

Qualche idea o consiglio?

Grazie in anticipo, ciao

Giuseppe
Title: Re: aswMBR in crash - perchè?
Post by: giogio on June 01, 2012, 08:13:52 AM
Ciao,
prova ad eseguire:
1) una scansione del disco per verificare errori
2) eseguire poi ASWMBR dalla modalità provvisoria (premendo continuamente F8 all'avvio, durante il boot)

Hai disinstallato tutti gli antivirus? Vista è aggiornato all'SP2?
Title: Re: aswMBR in crash - perchè?
Post by: jeppo79 on June 01, 2012, 11:08:26 AM
Ho già fatto una verifica con il Check Disk. Tutto ok. Niente da segnalare.

E sì, avevo provato anche dalla Modalità Provvisoria. Stessa cartella. Stesso crash.
Ho provato anche con Firewall e Antivirus disabilitati, stessa situazione. Non ho provato a disinstallare l'antivirus, posso tentare. Ma se va in crash anche in Modalità Provvisoria, non credo sia un conflitto con l'antivirus. Comunque se suggerisci di seguire questa strada, stasera provo.

Vista è aggiornato con tutti gli aggiornamenti possibili. L'unica cosa che però ho notato è che mi sembra ci metta un po' più del solito a verificare la presenza di aggiornamenti da Windows Update. Ma forse sono solo io che son condizionato...  ???
Title: Re: aswMBR in crash - perchè?
Post by: giogio on June 01, 2012, 06:51:04 PM
Strano che va in crash, sei sicuro che sei in modalità provvisoria (e non modalita provvisoria con rete ad esempio)?
Il crash solitamente è dovuto a dei driver che sono in memoria che vanno in conflitto, ma come tu hai detto se sei in modalità provvisoria dovrebbe essere tutto disattivato...
Io comunque rimuoverei tutto e lascierei solo un antivirus e il firewall di windows.
Inoltre proverei a fare la scansione del disco con l'opzione "cerca i settori dannegiati e tenta il ripristino"

Quote
Vista è aggiornato con tutti gli aggiornamenti possibili. L'unica cosa che però ho notato è che mi sembra ci metta un po' più del solito a verificare la presenza di aggiornamenti da Windows Update.
No guarda... è lento di suo...  ;)
Title: Re: aswMBR in crash - perchè?
Post by: jeppo79 on June 02, 2012, 10:49:54 AM
Niente da fare. Ho provato e riprovato. Va in crash in quella specifica cartella. Ho rilanciato anche il Check Disk con Tenta recupero settori danneggiati, ma non ha trovato neanche un errore.
Non so più che pensare. Ho visto che la cartella C:\Windows\assembly è un po' particolare, nel senso che da prompt dei comandi riesco ad entrare in quelle che vede come sottodirectory, da Explorer invece vedo il contenuto solo sotto forma di "oggetti".
Però va in crash solo in una cartella che inizia con:
C:\Windows\assembly\GAC_MSIL\Microsoft.VisualStudio.Tools.Applications.
poi il percorso continua, ma dalla finestra di ASWMBR non si riesce a leggere.
EDIT: ho trovato il modo di visualizzarla anche in Explorer, ma da lì sembra tutto a posto, nessun errore quando entro nelle cartello o scansiono il loro contenuto

Se può essere utile l'errore riportato nel registro eventi è questo:

Nome registro: Application
Origine:       Application Error
Data:          02/06/2012 10.37.20
ID evento:     1000
Categoria attività:(100)
Livello:       Errore
Parole chiave: Classico
Utente:        N/D
Computer:      PC-Pasquale
Descrizione:
Applicazione che ha generato l'errore aswMBR.exe, versione 0.9.9.1665, timestamp 0x4f5f9c86, modulo che ha generato l'errore ntdll.dll, versione 6.0.6002.18541, timestamp 0x4ec3e3d5, codice eccezione 0xc0000005, offset errore 0x000665c9, ID processo 0x6a4, data e ora di avvio dell'applicazione 0x01cd409aadee1d21.
XML evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Application Error" />
    <EventID Qualifiers="0">1000</EventID>
    <Level>2</Level>
    <Task>100</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2012-06-02T08:37:20.000Z" />
    <EventRecordID>26864</EventRecordID>
    <Channel>Application</Channel>
    <Computer>PC-Pasquale</Computer>
    <Security />
  </System>
  <EventData>
    <Data>aswMBR.exe</Data>
    <Data>0.9.9.1665</Data>
    <Data>4f5f9c86</Data>
    <Data>ntdll.dll</Data>
    <Data>6.0.6002.18541</Data>
    <Data>4ec3e3d5</Data>
    <Data>c0000005</Data>
    <Data>000665c9</Data>
    <Data>6a4</Data>
    <Data>01cd409aadee1d21</Data>
  </EventData>
</Event>
Title: Re: aswMBR in crash - perchè?
Post by: giogio on June 03, 2012, 11:11:59 AM
?? Non capisco perchè dovrebbe andare in cresh dalla modalità provvisoria...
L'unica cosa che puoi provare è installare avast e fare partire la scansione all'avvio che parte prima ancora che il sistema operativo è completamente avviato.

ciao
Title: Re: aswMBR in crash - perchè?
Post by: jeppo79 on June 03, 2012, 05:03:31 PM
Ciao, non so se può tornare utile, ma forse posso darti qualche informazione in più.
Mi è capitato lo stesso errore su un altro pc (il mio), in una cartella qualsiasi. Questa volta è andato in crash in una mia cartella personale. Non riuscendo a leggere l'intero percorso del file, l'ho seguito fino al punto in cui si poteva leggere. Questa volta, dentro questo percorso, non ci sono migliaia di files, ma solo qualche cartello e files miei molto vecchi. E' tutta roba che non mi interessa, decido di cancellarla.
Al momento dello "spostamento nel cestino", Windows mi avvisa che NON PUO' spostare l'intera cartella nel cestino perchè sono presenti nomi di file troppo lunghi e mi chiede se voglio cancellare la cartella definitivamente. Confermo e la cancello definitivamente. Ora la scansione prosegue senza problemi!

Può essere che aswMBR.exe vada in errore se trovi percorsi troppo lunghi, per i quali anche Windows abbia difficoltà? In questo caso potrebbe essere un bug software risolvibile visto che esistono software che riescono a "eludere" questo tipo di errore (come ad esempio DelinvFile).

Spero di esserti stato utile.

Ciao ciao
Jeppo
Title: Re: aswMBR in crash - perchè?
Post by: giogio on June 04, 2012, 10:49:25 AM
Quanto lunghi erano i nomi dei file più o meno che faccio una prova anche io?

ciao
Title: Re: aswMBR in crash - perchè?
Post by: jeppo79 on June 04, 2012, 07:14:09 PM
Purtroppo non te lo so dire... li ho cancellati definitivamente e non sono stato a guardare perchè erano files davvero vecchi.
Posso dirti che ho riprovato a creare un percorso lunghissimo (teoricamente il max per Windows con partizione NTFS in quanto oltre non riesci più a scrivere) con un file vuoto chiamato xxx.sys e l'ha scansionato senza problemi. Però la situazione non è la stessa perchè Windows mi ha anche permesso di cancellarlo e metterlo nel cestino. Suppongo potessero essere files che per avere un percorso così lungo, io debba aver copiato in qualche modo da partizioni FAT32 o ext3.

Se dovessi riuscire a far ripresentare l'errore ti faccio sapere.

Intanto grazie per ora!
Title: Re: aswMBR in crash - perchè?
Post by: jeppo79 on June 04, 2012, 10:13:57 PM
Posso aggiungere che leggendo il file minidump del crash, sono riuscito a rintracciare la cartella che manda in crash aswMBR. Il percorso incriminato è questo:

C:\Windows\assembly\GAC_MSIL\Microsoft.VisualStudio.Tools.Applications.ServerDocument.v10.0.resources\10.0.0.0_it_b03f5f7f11d50a3a\Microsoft.VisualStudio.Tools.Applications.ServerDocument.v10.0.resources.dll

Dentro la cartella è presente solo questo file .dll e mi ha dato lo stesso tipo di crash con la stessa cartella su un altro pc.
Il percorso in sè non è lunghissimo (dovrebbero essere 208 caratteri), poi però non so come analizzi il contenuto della DLL.
Per test, ho spostato la DLL in questione in un altro percorso più corto e lì non mi ha dato errore.

Spero siano informazioni che possono servire.

Ciao
Title: Re: aswMBR in crash - perchè?
Post by: giogio on June 04, 2012, 10:44:51 PM
Io ho provato a ricreare un file vuoto con le stesso nome ed estensione e la stessa directory e non ho nessun errore.
Se vuoi, puoi provare mandare il minidump (all'interno di un file zippato con all'interno un file di testo con un link a questo post e possibilmente con informazioni in inglese) a:
ftp://ftp.avast.com/incoming

Purtroppo non so proprio come aiutarti e anche nella sezione inglese non c'è nessuno che ne parla.

Come ho detto comunque puoi provare a fare la scansione dei rootkit con avast free e la scansione all'avvio .

ciao
Title: Re: aswMBR in crash - perchè?
Post by: jeppo79 on June 05, 2012, 07:05:22 PM
Sì, avevo provato anche io a ricreare il percorso senza avere problemi. Il dubbio mi rimane per via del contenuto della DLL.
Una volta spostato il file in un'altra cartella, non mi ha più dato problemi. Quindi completata la scansione a mano sul resto del disco non ho più avuto problemi.

La scansione all'avvio era ok. Nessun problema.

Per quanto riguarda i minidump, stasera non ce la faccio perchè sto uscendo, ma domani se riesco zippo il file e aggiungo un file di testo con il link al post. Che altre informazioni pensi siano necessarie? Un riepilogo generale di quanto riscontrato?

Ciao, grazie ancora
Title: Re: aswMBR in crash - perchè?
Post by: giogio on June 05, 2012, 07:56:53 PM
Secondo me è un errore di gestione dei file in windows, in quanto come hai detto tu, spostando il file non c'era più il problema, ma quando hai provato ad eliminare il file
Quote
Al momento dello "spostamento nel cestino", Windows mi avvisa che NON PUO' spostare l'intera cartella nel cestino perchè sono presenti nomi di file troppo lunghi e mi chiede se voglio cancellare la cartella definitivamente. Confermo e la cancello definitivamente. Ora la scansione prosegue senza problemi!
Io ieri quando ho creato il percorso come mi hai detto non è successo nulla di tutto ciò...

Quote
Un riepilogo generale di quanto riscontrato?
Si

Ciao
Title: Re: aswMBR in crash - perchè?
Post by: jeppo79 on June 05, 2012, 11:33:24 PM
Secondo me è un errore di gestione dei file in windows, in quanto come hai detto tu, spostando il file non c'era più il problema, ma quando hai provato ad eliminare il file
Quote
Al momento dello "spostamento nel cestino", Windows mi avvisa che NON PUO' spostare l'intera cartella nel cestino perchè sono presenti nomi di file troppo lunghi e mi chiede se voglio cancellare la cartella definitivamente. Confermo e la cancello definitivamente. Ora la scansione prosegue senza problemi!
Io ieri quando ho creato il percorso come mi hai detto non è successo nulla di tutto ciò...

Sì, avevo provato anch'io a ricreare un percorso con un limite massimo di caratteri ma non mi ha dato nessun tipo di problema, nè con la scansione, nè con aswMBR.
Il problema pare presentarsi con quella DLL in quel percorso. Posso solo supporre che il software faccia la scansione del contenuto della DLL (che include anche una struttura di files tipo iso o zip) e che nel percorso temporaneo del contenuto vada in errore. Però son solo supposizioni.
Title: Re: aswMBR in crash - perchè?
Post by: jeppo79 on June 07, 2012, 09:49:23 PM
Ho uploadato sul server FTP che mi hai indicato un file zip contenente un file di testo in cui spiego più o meno quanto successo e i tre files provenienti dal crash applicativo.

Spero di esser stato chiaro nella spiegazione.  :P

Buona serata
Ciao
Jeppo
Title: Re: aswMBR in crash - perchè?
Post by: giogio on June 07, 2012, 10:33:14 PM
Bene,
Ciao