fraschi
Hallo,
ich hatte es ja in anderem Zusammenhang früher schon mal gepostet, möchte es aber jetzt noch mal aufgreifen, weil mich zum einen interessiert, ob denn wirklich kein anderer Surun-Nutzer unter Win7 32-bit diese Fehlermeldungen in der Ereignisanzeige hat, und ob es möglicherweise mit dem nachfolgend beschriebenen Verhalten zusammen hängen könnte.
Grundsätzlich scheint Surun ja - zumindest in den meisten Szenarien - wie gewohnt zu funktionieren. Immer wieder aber kommt es vor, dass hier ein UAC-Prompt auftaucht, wo ich denke, dass das jetzt doch eigentlich der Moment sei, wo Surun aktiv werden müsste, es aber nicht wird.
Und immer wieder habe ich alle Nase lang in der Ereignisanzeige die folgende Fehlermeldung:
Name der fehlerhaften Anwendung: SuRun.exe, Version: 1.2.1.0, Zeitstempel: 0x4efda40a
Name des fehlerhaften Moduls: kernel32.dll, Version: 6.1.7601.17651, Zeitstempel: 0x4e2111bf
Ausnahmecode: 0x80000003
Fehleroffset: 0x0006a0a8
ID des fehlerhaften Prozesses: 0x1814
Startzeit der fehlerhaften Anwendung: 0x01cd8429797f2280
Pfad der fehlerhaften Anwendung: C:\Windows\SuRun.exe
Pfad des fehlerhaften Moduls: C:\Windows\system32\kernel32.dll
Berichtskennung: be4020e3-f01c-11e1-98f3-90bc08bd313c
Haben andere Surun-Nutzer unter Win7 32-bit diese Meldungen in der Ereignisanzeige auch?
Kann dieser "Fehler" etwas damit zu tun haben, dass hier mitunter der UAC-Prompt kommt, wo ich den Surun-Prompt erwartet hätte?
Herzliche Sommergrüße
Franklin
Kay
fraschi:1346054984 wrote:
Haben andere Surun-Nutzer unter Win7 32-bit diese Meldungen in der Ereignisanzeige auch?
Zu Win7 x32 kann ich nichts sagen.
Unter XP x32 und Win7 x64 habe ich keine derartigen Meldungen.
fraschi:1346054984 wrote:
Kann dieser "Fehler" etwas damit zu tun haben, dass hier mitunter der UAC-Prompt kommt, wo ich den Surun-Prompt erwartet hätte?
Ich glaube nicht. Wenn UAC das Programm behandelt, bleibt SuRun komplett außen vor.
Ich vermute, dass sich ein Sicherheitsprogramm auf Deinem System nicht mit SuRun verträgt.
fraschi
Schade, dass du zu Win7 x32 nichts sagen kannst ... denn mittlerweile habe ich auch auf einem weiteren Laptop mit diesem BS dieselben Meldungen in der Ereignisanzeige gefunden ... :-(
Und in AVAST sind C:\Windows\surun.exe sowie C:\Windows\SuRunExt.dll schon lange beim Dateisystem-Schutz als Ausnahmen eingetragen (was hier vielleicht gar nicht notwendig gewesen wäre ...).
Ich habe jetzt zusätzlich beide Dateien auch mal noch beim Verhaltensschutz als vertrauenswürdige Prozesse eingetragen und werde das Vorkommen in der Ereignisanzeige weiter beobachten und zu gegebener Zeit wieder berichten.
Kay
Falls Dein Problem noch besteht.
Ich möchte dem auf den Grund gehen, damit das in SuRun 1.2.1.1 nicht mehr drin ist.
Ich habe eine Vermutung, wo Du suchen kannst.
SuRun's Hooks hängen sich immer dazwischen, wenn ein Programm gestartet werden soll.
Dann starten die Hooks zunächst "SuRun.exe /TestAA ....".
Ich vermute, dass genau das bei Dir eine "stille" Schutzverletzung verursacht, die SuRun.exe beendet, bevor es auf den sicheren Desktop umschalten und Dich fragen kann.
Wenn Du einen bestimmten Programmstart sicher einem Ereignis-Eintrag zuordnen könntest, kann ich hier versuchen, das mit einer VM nachzuvollziehen. (z.B. immer, wenn man C:\Windows\system32\CompMgmtLauncher.exe startet, kommt ein neues Ereignis).
Ich brauche auch eine Liste der bei Dir installierten Sicherheits-Programme, um die VM zu erstellen.
fraschi
Ja, die Fehlermeldungen in der Ereignisanzeige kommen nach wie vor - wenngleich aber wie gesagt in den meisten Fällen, die ich hier benötige, der "Erfolg" trotzdem da ist, sprich die Programme werden mit erhöhten Rechten gestartet. Bei den üblicherweise benötigten Programmen braucht es auch keinen gesicherten Desktop zu geben, weil ich da dann eh gesagt / angekreuzt habe, dass sie eh immer und ohne Nachfrage mit erhöhten Rechten ausgeführt werden sollen. Dies ist z.B. bei der Aufgabenplanung mit dem Befehl 'surun c:\WINDOWS\system32\taskschd.msc /s' oder auch beim Aufruf der Ereignisanzeige selber mit dem Befehl 'surun c:\WINDOWS\System32\eventvwr.exe' der Fall.
In anderen Fällen, wo ich den Surun-Desktop mit der entsprechenden Nachfrage erwartet hätte, kommt dann eben der UAC-Prompt ... :-(
An Sicherheitssoftware läuft hier Avast Free Antivirus in der Version 7.0.1466 [Beim Nachschauen eben hab ich gesehen, dass es inzwischen die Version 7.0.1474 gibt, das Update darauf hab ich aber noch nicht durch Rechner-Neustart vollendet.] Wie gesagt sind die beiden Surun-Dateien beim Dateisystem-Schutz in Avast als Ausnahme für Lesen, Schreiben und Ausführen eingetragen. Ebenso beim Verhaltensschutz als vertrauenswürdige Prozesse.
Als Firewall ist von Emsisoft Online Armor Free installiert, und zwar in Version 6.0.0.1736. Hier ist es egal, ob ich unter den Einstellungen den Windows-Ordner (einzelne Dateien kann man hier nicht angeben) vom Online Armor Schutz ausnehme oder nicht - die Fehlermeldung in der Ereignisanzeige erscheint in beiden Fällen.
Z.B. wie folgt:
Name der fehlerhaften Anwendung: SuRun.exe, Version: 1.2.1.0, Zeitstempel: 0x4efda40a
Name des fehlerhaften Moduls: kernel32.dll, Version: 6.1.7601.17932, Zeitstempel: 0x503275b9
Ausnahmecode: 0x80000003
Fehleroffset: 0x0006a0a8
ID des fehlerhaften Prozesses: 0x237c
Startzeit der fehlerhaften Anwendung: 0x01cdc11056f08221
Pfad der fehlerhaften Anwendung: C:\Windows\SuRun.exe
Pfad des fehlerhaften Moduls: C:\Windows\system32\kernel32.dll
Berichtskennung: 95256179-2d03-11e2-bfa9-005056c00008
Ich würde mich freuen, wenn du mit meiner Unterstützung die Ursache herausfinden kannst.
Herzliche Grüße
Franklin
PS: Wie ich gerade sehen, scheinen übrigens einige der Foren-Server noch auf Sommerzeit zu stehen, denn ich komme nicht aus der Zukunft ... ;-)))
Kay
Ich habe schon mal das Programm gefunden, bei dem die Schutzverletzung in den Eventlog kommt, wenn SuRun auf den sicheren Desktop wechselt: Online Armor.
Ich suche weiter.
fraschi
Die Meldung in der Ereignisanzeige kommt hier aber auch, wenn ich OA beendet habe - das hatte ich ja damals auch schon ausprobiert. Möglicherweise reicht ja das Beenden nicht aus, weil ohne komplette Deinstallation und anschließenden Rechner-Neuboot noch irgendwas davon trotzdem im Hintergrund aktiv ist ....? Auf jeden Fall hat OA selber wohl auch sowas ähnliches wie einen sicheren Desktop, wenn man in die Konfiguration umschaltet etc. ... vielleicht liegt's ja daran, dass sich beide Programme um diesen Hook streiten bzw. OA immer gewinnt, weil es durch seine Installation schon vorher irgendwie drin steckt ...
Kay
Eine Fehler-Analyse:
Der SuRun-Dienst startet zur eventuellen Kommunikation mit dem Benutzer eine als Dienst laufende "SuRun.exe /AskUser".
Die wird auch gestartet, wenn ein Programm aus der "Whitelist" als Administrator gestartet werden soll.
Ist Online Armor installiert (aktiv oder nicht ist dabei egal), verrichtet "SuRun.exe /AskUser" korrekt seinen Dienst, kann sich aber nicht korrekt beenden.
"SuRun /AskUser" stürzt scheinbar beim Beenden ab.
Das ist unabhängig davon, ob auf den sicheren Desktop umgeschaltet wird oder nicht.
Der SuRun-Dienst meckert das auch an, indem er (in einer SuRun Beta-Version) im DebugOut einen falschen return-Wert moniert.
Wird Online Armor vom System entfernt, verschwinden die Einträge im Event-Log.
Ich kann das leider nicht weiter Debuggen.
Online Armor scheint etwas in laufende Prozesse zu injizieren, das beim Entladen eines als System laufenden Prozesses abstürzt.
Edit:
Ich kann nur raten:
"SuRun /AskUser" schreibt direkt in den Hauptspeicher vom als Benutzer laufenden SuRun.exe einen Rückgabewert.
Ich vermute, Online Armor versucht den Benutzer zu fragen, bekommt keinen Zugriff auf den Desktop und schmiert ab... ist aber nur geraten...
fraschi
Also, ich hab mich mal bei Emsisoft in deren Forum angemeldet und dort das Problem mit einem Link auf diesen Thread hier geschildert:
http://support.emsisoft.com/topic/9796-online-armor-und-surun-fuehrt-zu-problemen/
Mal sehen, ob wir von dort noch irgendwelche hilfreichen Hinweise bekommen können.
Ansonsten steht hier
http://support.emsisoft.com/topic/3951-wie-man-debug-logs-erstellt/
wie man auch noch ein OA-Debug-Log erstellen kann.
Vielleicht kannst du ja daraus auch noch was Erhellendes entnehmen ...
Kay
Ich habe mit SuRun die Computerverwaltung gestartet, einen OA-Log davon erstellt und zusammen mit der WER-Datei und dem Minidump gezippt.
fraschi
Danke, ich hab die Datei auch im Emsisoft-Forum hochgeladen ...
Kay
Ich habe es geschafft, das Minidump mit einer Debug-Version von SuRun zu laden.
Der Aufruf von ExitProcess() verursacht das GPF:
fraschi
Wie schon im Thread zur Beta geschrieben, kann ich bestätigen, dass mit deiner Umgehung des Online-Armor-Fehlers in SuRun1211b5 auch hier die Surun-Fehler in der Ereignisanzeige von Win7 32-bit nicht mehr auftauchen.
Danke für deine Arbeit! Damit könnte dieser Thread hier eigentlich geschlossen werden.
Ciao Franklin