Не запускается "explorer.exe"
1. открытие какого-нибудь пути через пуск->выполнить (start->run, WIN+R)
2. запуск explorer'а непосредственно через пуск->выполнить->explorer ("explorer.exe", "абсолютный_путь\explorer.exe"), через "task manager", через ярлык на сам "explorer.exe" или еще как.
При этом дважды подряд выпадает сообщение об ошибке следующего содержания:
"explorer.exe - Application error" (заголовок"),
"The application failed to initialize properly (0xc0000005). Click on OK to terminate the application." (текст сообщения).
Если тыкнуть два раза по "Мой компьютер" - то explorer открывается нормально, если в контекстном меню для "Мой компьютер" выбрать "Explore" (по-русск это обзор/просмотреть или что-нить в этом роде). Если тыкнуть на ярлык, указывающий на какую-нибудь папку - то же самое, нормально открывается.
Первоначально подумал, что проблема в "Link shell extension", если вдруг "combofix" его снес или "подпортил". Переустановил - не помогло.
В реестре смотрел ассоциированные команды для открытия папок, дисков и т. п. - все, вроде бы, в порядке. Файл explorer.exe замнял оригиналом с диска - тоже не помогло.
Windows XP, SP2. Установка жила без бед более года, а тут на тебе. Не хочется ковыряться с переустановкой, если есть другое решение.
Т. к. ошибка выпадает дважды и только для прямого запуска, то напрашивается мысль, что explorer крашится именно в отсутствие указания, что, собственно, ему открывать. Но как из этого вывести пути решения - я не знаю.
ProcessMonitor'ом смотрел за запуском explorer'а - ничего подозрительного для ненаметанного глаза не увидел.
Есть у кого-нибудь какие-либо соображения насчет того, в какую сторону копать?
Надо было логи этого combofix'а смотреть,не помешало бы.А для удаления,думаю,лучше было бы воспользоваться AVZ.Кстати,списочек карантинных файлов,а также модуль,в котором падает Exploder,тоже не помешали бы
А вообще, пробую переустановить поверх, запуская инсталляцию из текущей установки, и копирование установочных файлов на хард останавливается на невозможности скопировать в установочную папку какого-нибудь драйвера, причем с каждой новой перезагрузкой (загружаюсь заново в текущую инсталляцию и пробую заново пройти первый этап установки) имя у файла, неподдающегося копированию новое!
Я так понимаю, это очень специфичный признак проблем с ОЗУ. В самом деле, не рандомно же инсталлятор список копируемых файлов формирует. У меня как раз примерно в то же время, когда комбофиксом пользовался (немного до или после этого) были проблемы с электросетью, а ничего кроме "пилота" не стоит.
Буду пробовать модули памяти отбраковывать :(
Да, и самое главное забыл. Если пропускаю невозможность скопировать это самый рандомный файл в инсталляторе, затем перезагружаюсь и пытаюсь продолжить инсталляцию, то все тут же останавливается с сообщение, что не хватает "low memory" (394kb доступно, когда надо 512). Еще один намек на память, как я понимаю.
Как конкретно звучит ошибка, и в какой среде она появляется: в виндовой графике или синем текстовом окне инсталлятора (native-режима)?
Без помощи старой установки win (с загрузкой с установочного носителя т. е.) поставить новую получилось без проблем. Но подумав, сколько всего надо заново ставить, а заодно о том, что от некоторого софта и дистрибутивов не осталось и путей, где их взять, что-то расхотелось торопиться. Да и потом, хотелось бы знать причину.
При заваливании проводника, кроме ошибки, про которую я писал, больше ничего не получаю. Проверил присутствие ватсона, error reporting в "системе" - все стоит. Пустое приложение с разыменовыванием нулевого указателя валится, выдает окно для отправки отчета и некоторые подробности с указанием модуля, в котором завалилось. Но проводник ругается, что не смог инициализироваться и никаких отчетов по этом поводу вообще не дает.
Повесил на проводник запуск windbg и вот что получил:
Copyright (c) Microsoft Corporation. All rights reserved.
CommandLine: "d:\windows\explorer.exe"
Symbol search path is: c:\win_symbols
Executable search path is:
ModLoad: 01000000 010ff000 explorer.exe
ModLoad: 7c900000 7c9af000 ntdll.dll
ModLoad: 7c800000 7c8f6000 D:\WINDOWS\system32\kernel32.dll
ModLoad: 77dd0000 77e6b000 D:\WINDOWS\system32\ADVAPI32.dll
ModLoad: 71ab0000 71ac7000 D:\WINDOWS\system32\ADVAPI32.dll
ModLoad: 7c9c0000 7d1d7000 D:\WINDOWS\system32\shell32.dll
ModLoad: 00320000 003bb000 D:\WINDOWS\system32\ADVAPI32.dll
ModLoad: 77e70000 77f02000 D:\WINDOWS\system32\RPCRT4.dll
ModLoad: 77fe0000 77ff1000 D:\WINDOWS\system32\Secur32.dll
ModLoad: 77f10000 77f59000 D:\WINDOWS\system32\GDI32.dll
ModLoad: 7e410000 7e4a1000 D:\WINDOWS\system32\USER32.dll
ModLoad: 77c10000 77c68000 D:\WINDOWS\system32\msvcrt.dll
ModLoad: 77f60000 77fd6000 D:\WINDOWS\system32\SHLWAPI.dll
(b4c.ba4): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=00000000 ebx=00000000 ecx=000007e0 edx=003961b0 esi=003961a0 edi=00000000
eip=7c91b1fa esp=0007eb00 ebp=0007eb74 iopl=0 nv up ei pl zr na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010246
ntdll!RtlpWaitForCriticalSection+0x8c:
7c91b1fa ff4010 inc dword ptr [eax+10h] ds:0023:00000010=????????
0:000> g
BRDS(0) [ ] : Запуск потока експлорера(b4c.ba4): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=0007fc54 ebx=00000000 ecx=00000000 edx=00000000 esi=c0000005 edi=00000000
eip=7c96478e esp=0007fc54 ebp=0007fca4 iopl=0 nv up ei pl zr na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246
ntdll!RtlRaiseStatus+0x26:
7c96478e c9 leave
Случайно обнаружил (MSVS подсказала), что в системе недоступно "NULL device" (/dev/null по-виндовому). Проверил в командной строке - и правда нет такого устройства. Погуглил про null и затем проверил наличие его в "Менеджере устройств", в сервисах и в ветках реестра - везде присутствует. Сервис (драйвер) запускается вместе с системой и пребывает в запущенном состоянии, но при этом недоступен из командной строки, для msvs и perl недоступен (может и еще для чего, это просто то, где я обнаружил симптомы). Скачал SysInternals WinObj, посмотрел его на предмет наличсия объектов для Null. Устройство такое есть как и всякие LPT, COM, но для последних есть глобальные символические ссылки на них (могу неточно терминологию употреблять :o), а для Null'а нет. Побаловался с перезапуском сервиса Null и обнаружил, что после его единичного рестарта на него создается эта недостающая ссылка и все проблемные приложения начинают нормально работать (msvs, cmd, explorer, perl). Но, что мне непонятно, если повторно и более раз перезапустить сервис, то ссылка вновь пропадает и больше не появляется. Откуда вырастает такое поведение, я пока так и не разобрался. Мысли были такие:
1. устройство Null стало по какой-то причине стартовать раньше/позже, чем положено и из-за этого оно само не может на себя ссылку создать глобальную.
2. испортился конфиг Session Manager'а (smss) в реестре, из-за чего он немножко не дорабатывает (это если в его ведении ссылки такие создавать для DosDevice и т. п. устройств).
3. испортился еще какой-нибудь прибамбас :)
После исправления Null девайса единичным перезапуском соответствующего сервиса проводник запускается нормально и в WinDbg ничего страшного не показывает.
Как временная мера и скрипт с перезапуском сервиса сойдет, а там уж хотелось бы либо сделать, либо дотянуть до того момента, когда спокойно могу всё переставить по новой.
--
да, забыл упомянуть. до sp3 обновился, хоть и не хотелось - и без полного пака исправлений жилось нормально. проблемы это не решило. sfc /scannow тоже делал, не помогло.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devices]
"AUX"="\\DosDevices\\COM1"
"MAILSLOT"="\\Device\\MailSlot"
"NUL"="\\Device\\Null"
"PIPE"="\\Device\\NamedPipe"
"PRN"="\\DosDevices\\LPT1"
"UNC"="\\Device\\Mup"
Установщик запускался из под проблемного win xp, тот создал папку с установочными файлами, кинул туда bootsect.dat и дбавил запись в boot.ini для загрузки этого bootsect.dat. Я, вообще говоря, понятия не имею, в каком режиме работает установщик WIN XP. Загрузчик его, вроде, в защищенном режиме работает, так что himem.sys ему не нужен, а если такой способ установки, каким я воспользовался, требует использования himem.sys, то он должен, наверное, сам его загрузку прописать. Хотя мне тут подумалось, может, XP всегда имеет config.sys для этих целей нормально настроенный, а я просто в какой-то момент потер их и теперь предполагаемые установщиком условия работы нарушены - возможно. Я проверю. Но раз уже какие-то ниточки нашлись, здорово было бы найти корень зла. :)
Спасибо. :) Но все ветки реестра с участием Null устройства я уже сравнил с экспортом их из нормальной свежей установки (хотя, что меня очень насторожило, в свежей установке не срабатывает в командной строке "copy con nul" или "copy nul bz.txt", но explorer нормально работает. :O Ну, по крайней мере это все у меня присутствует.
Карантин Combofix'а:
D:\Qoobox\Quarantine\Registry_backups\AddRemove-MySQL Servers and Clients 3.23.54.reg.dat
D:\Qoobox\Quarantine\Registry_backups\AddRemove-AutoCAD 2008 - English.reg.dat
D:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-YandexOnline.reg.dat
D:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-Java(TM) ME Platform SDK 3.reg.dat
D:\Qoobox\Quarantine\Registry_backups\HKLM-Run-nwiz.reg.dat
D:\Qoobox\Quarantine\Registry_backups\HKCU-Run-iCDB Server Monitor.reg.dat
D:\Qoobox\Quarantine\Registry_backups\HKCU-Run-iFolder Accelerator.reg.dat
D:\Qoobox\Quarantine\C\dl\cms\Templet\teMPlet.exe.vir
D:\Qoobox\Quarantine\D\Documents and Settings\shiizoo\Start Menu\Programs\Startup\_igfxtray_.exe.zip
D:\Qoobox\Quarantine\D\Documents and Settings\shiizoo\Application Data\_igfxtray_.dat.zip
D:\Qoobox\Quarantine\Registry_backups\tcpip.reg
D:\Qoobox\Quarantine\catchme.log
D:\Qoobox\Quarantine\D\4936_79458718_MVM_3.tmp.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\ieunitdrf.inf.vir
D:\Qoobox\Quarantine\D\4684_104170234_MVM_3.tmp.vir
D:\Qoobox\Quarantine\D\2784_249456093_MVM_3.tmp.vir
D:\Qoobox\Quarantine\D\852_2184678187_MVM_3.tmp.vir
D:\Qoobox\Quarantine\D\6780_1685687062_MVM_3.tmp.vir
D:\Qoobox\Quarantine\D\4040_2632500_MVM_3.tmp.vir
D:\Qoobox\Quarantine\D\1048_295952937_MVM_3.tmp.vir
D:\Qoobox\Quarantine\D\5676_186886203_MVM_2.tmp.vir
D:\Qoobox\Quarantine\D\6788_381564828_MVM_2.tmp.vir
D:\Qoobox\Quarantine\D\9452_356226109_MVM_1.tmp.vir
D:\Qoobox\Quarantine\D\ibC7.tmp.vir
D:\Qoobox\Quarantine\D\ibC6.tmp.vir
D:\Qoobox\Quarantine\D\ibC5.tmp.vir
D:\Qoobox\Quarantine\D\ibC3.tmp.vir
D:\Qoobox\Quarantine\D\ibC4.tmp.vir
D:\Qoobox\Quarantine\D\ib3EC.tmp.vir
D:\Qoobox\Quarantine\D\ib3EB.tmp.vir
D:\Qoobox\Quarantine\D\ib3E8.tmp.vir
D:\Qoobox\Quarantine\D\ib3E9.tmp.vir
D:\Qoobox\Quarantine\D\ib3EA.tmp.vir
D:\Qoobox\Quarantine\D\Program Files\QIP Infium\Core\MousePhone.dll.vir
D:\Qoobox\Quarantine\D\ib287.tmp.vir
D:\Qoobox\Quarantine\D\ib286.tmp.vir
D:\Qoobox\Quarantine\D\ib283.tmp.vir
D:\Qoobox\Quarantine\D\ib284.tmp.vir
D:\Qoobox\Quarantine\D\ib285.tmp.vir
D:\Qoobox\Quarantine\D\1.tmp.vir
D:\Qoobox\Quarantine\D\1EA.tmp.vir
D:\Qoobox\Quarantine\D\1E9.tmp.vir
D:\Qoobox\Quarantine\D\Documents and Settings\dummy\Application Data\winxrar\xsendexe.tmp.vir
D:\Qoobox\Quarantine\D\Documents and Settings\dummy\Application Data\winxrar\htmlayout.dll.vir
D:\Qoobox\Quarantine\D\Documents and Settings\dummy\Application Data\winxrar\key.vir
D:\Qoobox\Quarantine\D\Documents and Settings\dummy\Application Data\winxrar\s.htm.vir
D:\Qoobox\Quarantine\D\Documents and Settings\dummy\Application Data\winxrar\logo.png.vir
D:\Qoobox\Quarantine\D\Documents and Settings\dummy\Application Data\winxrar\dir.png.vir
D:\Qoobox\Quarantine\D\Documents and Settings\dummy\Application Data\winxrar\after.png.vir
D:\Qoobox\Quarantine\D\Documents and Settings\dummy\Application Data\winxrar\logo2.png.vir
D:\Qoobox\Quarantine\D\Documents and Settings\dummy\Application Data\winxrar\rules.css.vir
D:\Qoobox\Quarantine\D\Documents and Settings\dummy\Application Data\winxrar\scroll.css.vir
D:\Qoobox\Quarantine\D\Documents and Settings\LocalService\contentDATs.exe.vir
D:\Qoobox\Quarantine\D\Program Files\Common Files\keylog.txt.vir
D:\Qoobox\Quarantine\D\Documents and Settings\dummy\Application Data\winxrar\sview.vir
D:\Qoobox\Quarantine\D\WINDOWS\AppPatch\Custom\{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb.vir
D:\Qoobox\Quarantine\D\WINDOWS\ST6UNST.000.vir
D:\Qoobox\Quarantine\D\Documents and Settings\dummy\Application Data\winxrar\dot.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\dasetup.log.vir
D:\Qoobox\Quarantine\D\Documents and Settings\All Users\Application Data\Microsoft\corecon\1.0\1033\SDKAddonLangVer.dll.vir
D:\Qoobox\Quarantine\D\Documents and Settings\All Users\Application Data\Microsoft\corecon\1.0\addons\SDKAddonVer.dll.vir
D:\Qoobox\Quarantine\D\Documents and Settings\All Users\Application Data\Microsoft\corecon\1.0\SDKFilesVer.dll.vir
D:\Qoobox\Quarantine\D\Documents and Settings\All Users\Application Data\Microsoft\corecon\1.0\1033\NonSDKAddonLangVer.dll.vir
D:\Qoobox\Quarantine\D\Documents and Settings\All Users\Application Data\Microsoft\corecon\1.0\addons\NonSDKAddonVer.dll.vir
D:\Qoobox\Quarantine\D\Documents and Settings\dummy\Application Data\winxrar\sb-h-scroll-next.png.vir
*Еще ряд картинок
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\crlogo.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\html\crystalprinthost.html.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\printd.gif.vir
*Еще ряд картинок
D:\Qoobox\Quarantine\D\Documents and Settings\dummy\Application Data\winxrar\MyriadWebPro-Condensed.ttf.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\html\crystalexportdialog.htm.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\plusbox.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\minusbox.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\beginplus.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\blank.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\blankdots.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\dots.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\lastdots.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\lastminus.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\lastplus.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\minus.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\plus.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\singleminus.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\singleplus.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\beginminus.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\begindots.gif.vir
D:\Qoobox\Quarantine\D\Documents and Settings\shiizoo\Application Data\igfxtray.dat.vir
D:\Qoobox\Quarantine\D\Documents and Settings\shiizoo\Start Menu\Programs\Startup\igfxtray.exe.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\first_over.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\First.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\Firstd.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\Last.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\Lastd.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\last_over.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\Next.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\Nextd.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\next_over.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\Prev.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\Prevd.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\prev_over.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\toolbar\gotopaged.gif.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\html\calendar.html.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\html\calendarbottom.html.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\html\calendartop.html.vir
D:\Qoobox\Quarantine\D\WINDOWS\system32\images\tree\Magnify.gif.vir
В catchme только борьба с igfx и МАгентом.
Теперь еще думаю на xp'шную "application compatibility database". Комбобокс один из ее ".sdb" файлов закарантинил. Еще пробегусь по упоминаниям сервисов в его карантине, правда он их даже в этот лог не занес. Просто ряд папок валяется в карантине формата "d:\documents and settings\LocalService\{GUID}".