Странности, в том числе в работе ТС
Select messages from
# through # FAQ
[/[Print]\]
Goto page 1, 2  Next  :| |:
Total Commander -> Программное обеспечение

#1: Странности, в том числе в работе ТС Author: ВахмуркаLocation: Большая деревня Москва PostPosted: Sun Oct 02, 2016 01:08
    —
С недавних пор стали наблюдаться странности в работе компьютера. Странностей, собственно, три. Одна связана не с Тоталом, а с раскладкой клавиатуры: при открытии нового окна вместо латиницы (по умолчанию) иногда раскладка переключается на кириллицу.
Вторая и третья странности с Тоталом связаны непосредственно. Вторая: почти всегда при входе в директорию некоторые файлы помечаются как измененные за последний час (у меня настроена маркировка цветом). Третья: иногда после выделения файлов, переключения в другое приложение и возврата в Тотал выделение сбрасывается!
Подчеркиваю: все три особенности проявляются крайне непостоянно. Закономерности я так и не обнаружил, точнее, эта закономерность сильно смахивает на генератор случайных чисел.
Предполагая, что подхватил заразу, прогнал кучу антивирусов, антитроянов и антишпионов, а именно:

Avast
AVZ
Malwarebytes Anti-Malware
SUPERAntiSpyware
SpyHunter
Windows Defender
Microsoft Removal Tool

Что-то они нашли и удалили, но странности остались.
Отсюда два вопроса:
1) Кто-нибудь с этим сталкивался? Что это за дрянь и как ее выкорчевать?
2) Есть ли какие-нибудь еще хорошие проверенные программы типа перечисленных? Обычно конкретная зараза лечится конкретным лекарством

#2:  Author: FlasherLocation: Москва PostPosted: Sun Oct 02, 2016 02:06
    —
На голом ТС с отключённым по максимуму треем (PP/AHK/AutoIt/Punto/Key Switсher и т.д.и т.п.) проверять пробовал?

#3:  Author: ВахмуркаLocation: Большая деревня Москва PostPosted: Sun Oct 02, 2016 11:38
    —
Пробовал. За час ничего, вроде бы, не случилось. Но ведь дурит не только Тотал, но и раскладка. Пунто точно ни при чем - специально поставил старую, заведомо безглючную, версию. С отключенным раскладчиком работать очень тяжело. Новых программ я за это время ставил ровно одну. Отключил - те же яйца.
Новых плагинов я тоже не ставил. Вряд ли кто-то из них может влиять на раскладку. Аналогично, раскладчик, скорее всего, не будет менять дату файла. Предполагаю, что речь о каком-то хитром конфликте, вызванном трояном или подобной гадостью. За совет переставить ОСь заранее спасибо - это я всегда успею

#4:  Author: MVVLocation: Ростов-Дон PostPosted: Sun Oct 02, 2016 14:29
    —
Попробуй запустить Sysinternals Process Monitor, свернуть и поработать как обычно... как заметишь, что файлы изменили дату модификации - бегом в окно ProcMon и ищи, кто к ним обращался (там и фильтры есть по полным или частичным значениям колонок, и поиск по всем колонкам).

#5:  Author: ВахмуркаLocation: Большая деревня Москва PostPosted: Sun Oct 02, 2016 16:58
    —
Попробовал. Мои бедные мозги закипели. Поиск - это здорово, но что искать-то?! По фильтрам тот же вопрос. Ну ладно, запустил. Сначала увидел бешеное мелькание процессов. Отключил сеть и реестр, попробовал либо File System, либо Thread. В мелькании, к сожалению, увидел только системные и давно установленные приложения (Аваст, например. Отключил - не помогло....).
Тестируя, погулял по директориям, и заметил: (не знаю, важно ли это), но особенно часто, если не всегда, меняется дата у desktop.ini.

В любом случае спасибо

#6:  Author: MVVLocation: Ростов-Дон PostPosted: Sun Oct 02, 2016 17:55
    —
Процессы мелькают бешенно - да, и отфильтровать по процессу нельзя, т.к. надо как раз узнать, что за процесс обращается к файлу...

Искать имена изменившихся файлов. Раз у них изменился таймштамп, кто-то открыл их на запись и что-то с ними сделал.

Собственно, провёл тест. Изменил файл в Visual Studio и сохранил.
Добавил в ProcMon фильтр:
Code:
Path contains filename.ext

Остались лишь события, связанные с моим файлом. Далее, чтобы изменить файл, его надо открыть на запись, это будет операция CreateFile с параметром Desired Access: Generic Write, ввёл фильтр:
Code:
Details contains Desired Access: Generic Write

В итоге осталось ровно 1 событие - открытие средой разработки файла на запись.

#7:  Author: ВахмуркаLocation: Большая деревня Москва PostPosted: Sun Oct 02, 2016 22:33
    —
2MVV
Если сделать так, как ты написал, монитор не отлавливает ничего. Если же оставить только первое, то отчет такой:
 отчет Process Monitor
Я в процессах смыслю немногим больше, чем в удмуртском языке. А тупо выполнять чужие рекомендации, ни черта в них не понимая, противно. Так что если отчет тебе ни о чем не говорит, еще раз спасибо. Подожду, может еще кто что скажет на более доступном мне языке.
ЗЫ. Насколько я заметил, desktop.ini по-прежнему обновляется всегда при входе в директорию

#8: Re: Странности, в том числе в работе ТС Author: LonerDLocation: Донецк PostPosted: Sun Oct 02, 2016 22:58
    —
Вахмурка wrote:
иногда после выделения файлов, переключения в другое приложение и возврата в Тотал выделение сбрасывается!

Есть такое и у меня. И не только выделение, но и размер каталогов - нажму Shift+Alt+Enter, переключусь на другое приложение, вернусь в Тотал - размер каталогов не отображается. Причины не выяснял, но хотелось бы узнать.
PS. desktop.ini и комментарии - не использую.


Last edited by LonerD on Mon Oct 03, 2016 13:45; edited 1 time in total

#9:  Author: MVVLocation: Ростов-Дон PostPosted: Mon Oct 03, 2016 01:02
    —
Хрен с ним, с desktop.ini, его скорее всего какая-нибудь библиотека оболочки обрабатывает. А другие файлы, которые сами модифицируются? Или это только с desktop.ini проблема?

Кстати, в логе нет ничего, что может изменить файл или его атрибуты, тут только чтение...

#10:  Author: ВахмуркаLocation: Большая деревня Москва PostPosted: Mon Oct 03, 2016 11:44
    —
2MVV
Нет, не только с desktop.ini. Но
Quote:
Насколько я заметил, desktop.ini по-прежнему обновляется всегда при входе в директорию
Остальные непредсказуемо.
Еще заметил, что при входе в директорию с картинками некоторые обновляются сразу, а некоторое - после их просмотра Ирфаном. Задал вместо конкретного имени *.jpg, второй фильтр как ты написал. Зашел в директорию, картинки изменились, но ProcMon промолчал. Видимо, маску нельзя задавать... Хотя он и на desktop.ini не реагировал...

#11:  Author: MVVLocation: Ростов-Дон PostPosted: Mon Oct 03, 2016 12:35
    —
Маску, конечно, нельзя, ты же ищешь подстроку в текстовой строке... Только операторы типа contains или ends with с точной подстрокой типа .jpg.

#12:  Author: CaptainFlintLocation: Москва PostPosted: Mon Oct 03, 2016 17:17
    —
Вахмурка
1. С раскладкой не сталкивался, но а) у меня прописан KeyboardID=$0409, б) в Пунто у меня вырублены некоторые опции. Есть мысль, что это может быть багой Пунты, "заведомо безглючных" программ не существует (кроме Hello world, да и те под вопросом). Может, например, быть так, что у тебя включено переключение раскладки при нажатии Alt (для вызова команд меню по подчёркнутым буквам), и при старте Тотала что-то такое случается, из-за чего Пунта думает, что Alt нажат, и надо врубить русскую раскладку. Предположение взято с потолка, но всё же, если у тебя эта опция есть, попробуй вырубить. Мало ли…

2. С пометкой файлов не сталкивался, но, возможно, просто не мониторил, подсветки свежести у меня нет.

3. Что касается сброса выделения — да, регулярно такое всплывает, причин пока не нашёл. Знаю только, что при переключении в окно Тотала он в обязательном порядке перечитывает содержимое каталогов (если эти диски не внесены в исключения). При этом если что-то изменилось, выделение сбрасывается стопроцентно. Если ничего не менялось — почти всегда выделение остаётся на месте, но в каких-то редких случаях всё-таки сбрасывается. Детально я это не исследовал. Кстати, не исключено, что сбрасывается именно как следствие эффекта №2.

#13:  Author: MVVLocation: Ростов-Дон PostPosted: Mon Oct 03, 2016 17:51
    —
Если выделение сбрасывается, после возвращения в тотал можно вернуть его по Num+/.

#14:  Author: ВахмуркаLocation: Большая деревня Москва PostPosted: Mon Oct 03, 2016 18:37
    —
CaptainFlint wrote:
в Пунто у меня вырублены некоторые опции
У меня вырублено абсолютно все, за исключением звука при смене и горячей клавиши (правый Ctrl - еще со времен ДОС привык к этой комбинации). Очень редко использую смену раскладки выделенного текста по горячей клавише (кстати, она тоже в последнее время чаще не работает, чем работает).
Никаких автопереключений и конвертаций буфера не включено сейчас и не было включено тогда, когда небо было голубее, а выделение в Тотале не сбрасывалось.
Quote:
"заведомо безглючных" программ не существует
Я имел в виду, что при старом Пунто (почти как "при царе") в новом окне устанавливалась латиница и ничего, кроме нее.
За "версию с потолка" спасибо - не мой случай.
Quote:
если что-то изменилось, выделение сбрасывается
Вот то-то и оно-то. Меняется время файлов и, как следствие, сбрасывается выделение. Да ты и сам на это указал.

Знатоки, а по описанию - это зараза или просто глюк винды?

#15:  Author: CaptainFlintLocation: Москва PostPosted: Mon Oct 03, 2016 19:08
    —
Вахмурка wrote:
Знатоки, а по описанию - это зараза или просто глюк винды?

Очень уж мало информации. Если содержимое файлов не меняется, то, скорее всего либо ось, либо какая прога шурует. Скажем, поисковик зачем-то обновляет дату "тронутых" файлов при индексации. Или фоновый антивирь. Скажем, Касперыч одно время писал пометки о проверенности в доп. потоки файлов на NTFS (не знаю, правда, приводит ли это к обновлению даты/времени).

Но может быть и зараза — тот же шифровщик, который в фоновом режиме (чтобы не было заметно) потихоньку кодирует всё, до чего дотягивается, а пока не закончил, если кто обращается к файлу — перехватывает ввод-вывод и выдаёт расшифрованное содержимое (чтоб раньше времени его не обнаружили и дали время зашифровать всё до конца).

Последний сценарий легко проверить, перезагрузившись в какую-нибудь Live-систему (желательно вообще линуховую) и посмотрев содержимое файлов, которые вот так недавно оказались помечены как новые.

Но я присоединяюсь к предложению попроцессмониторить это дело, но тут да, к нему надо немного притереться, чтобы найти взаимопонимание. Я бы поступил так: запустить на дефолтном фильтре (когда сыпется бешеный поток), из событийных категорий оставить только файловую систему (сеть, реестр, потоки — нафиг). Дальше — гулять по файловой системе, пока не обнаружишь файл, который ну вот прям гарантированно на момент запуска ProcMon'а был старым, а тут раз, и стал новым. Дальше стопаем отлавливание событий в ProcMon'е и врубаем фильтр на конкретно этот файл. Дальше — смотреть, чего вообще осталось, и выискивать там запросы на модификацию даты/времени (можно выложить сюда). Я не совсем понял, что именно ты делал, чтобы получить тот лог, что выше, но если в точности то же, что я описал, то это офигительно странно, запросов на смену даты/времени там нет. Есть получение даты/времени (QueryBasicInformationFile), в крайнем случае можно будет проследить, действительно ли оно менялось, и если да, то какие именно из трёх таймштампов модифицировались.

Кстати, да, хороший вопрос: по какому из атрибутов у тебя подсветка? Надеюсь, не таймштамп последнего обращения? Smile



Total Commander -> Программное обеспечение


output generated using printer-friendly topic mod. All times are GMT + 4 Hours

Goto page 1, 2  Next  :| |:
Page 1 of 2

Powered by phpBB © 2001, 2005 phpBB Group