Здравствуй, … — новый NOD

    Ничто не предвещало беды. И звонок в техподдержку в 17:20 msk «у меня завис компьютер, я не могу распечатать отчёт» не показался чем-то из ряда вон. Ну да — завис, точнее — система «тормозит» так, что даже Task Manager отказывается запускаться. Отправил машину в ребут, выхожу — и сталкиваюсь в коридоре с саппортом, который описывает практически аналогичную проблему у другого человека.
    Вот тут уже в голове зазвенел тревожный звоночек…

    А вернувшись в «штаб», выяснилось, что за это время с той же самой бякой столкнулось ещё несколько человек. Да и на машине собственно саппорта висело матерное сообщение «ekrn.exe бла-бла-бла память can't be written».
    Посмотрел логи машин. Ругань везде, но разнообразная — то tcpip ругается на слишком большое количество сообщений, то mrxsmb вопит, что не может найти мастер-браузер, то ещё что.
    К этому моменту жалобы пользователей вроде бы прекратились. Для очистки совести проверил свитчи, посмотрел загрузку сети, почитал логи IDS'ов. Всё в общем-то в пределах нормы.
    Ну, думаю — либо вирусная атака каким-нибудь мутантом не к ночи будь помянутого Conficker'а или кого похуже, либо сам антивирь насосался чего-то палёного и решил повеселиться. Прогнал несколько тестов — вроде бы всё тихо. Ладно.

    И тут, где-то в половине восьмого вечера, пошла «вторая волна». Машина начала виснуть, отвалилась даже аська. Одновременно пожаловалась коллега — «всё висит, пойду перезагружаться». Стало натурально страшно — ну ладно вечер, никого нет, а ежели с утра такая свистопляска начнётся?
    И вот залезаю на форум ESET — и натыкаюсь на аналогичные жалобы и громкий мат. А чуть ниже — и на ответ саппорта — «проблема известная, решаем».

    В общем, дабы не прогонять читателя через все круги ада, выдам сразу итоги.
    Очередное обновление популярного антивируса NOD32 в ряде случаев приводит к зависанию систем, причём как рабочих станций, так и серверов.
    При этом:
    5416 — нормальное, честное обновление.
    5417 — содержит в себе скрытую ошибку.
    5418 — эту ошибку «вскрывает» и приводит к проблемам.
    5419 — по утверждениям ESET'овцев, проблему устраняет, но не сразу, а после 1-2-х ребутов. Правда, уже вроде как существует срочно написанная чудо-утилита, которая позволяет решить проблему без перезагрузок.
    При этом, сказано, те счастливчики, кто обновляется сразу с 5416 на 5419 — ничего не заметят.

    Пруфлинки:

    Подводя итоги — хочу отметить, что я против разжигания холиворов вида «самый лучший антивирус — это тот, который юзаю я, а все остальные — плохие». Я пишу это, чтобы завтра (или уже сегодня) те админы, кто наступит на эти грабли, не повторяли моих метаний и сразу знали, кто виноват и что им делать.

    P.S. Сорри за стиль, время позднее, а день был тяжёлый.
    Поделиться публикацией
    Похожие публикации
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 66
    • +6
      Спасибо, очень своевременно, только что зависла машина с теми же симптомами, после ребута пока собирался выяснять открыл хабр а тут все разъяснено )
      • +28
        Пожалуйста — для того и писал. Сам сегодня весь вечер просидел на измене: враги? хакеры? вирусы? Оказалось — антивирусы ;-)
        • 0
          Иногда они так фолсят, что последствия бывают страшнее всего вышеперечисленного.
      • +1
        Да уж. Всегда считал NOD стабильным антивирусом, который экономит ресурсы.
        Спасибо за информацию!
        • +1
          Я его и сейчас таковым считаю. Подобные косяки бывают у всех — достаточно вспомнить приснопамятный апдейт Windows, после которого при мне залегло под сотню машин. Хотя уж их, казалось бы, сложно обвинить в отсутствии QA Team.
          Это обычные риски, которые надо учитывать, только и всего. Любое железо может сломаться, любой софт может сглючить, любой человек может ошибиться.
        • 0
          Вам еще повезло, а мы все ноды ВЧЕРА с 4.0 до 4.2. обновили. Легла вся сеть в 17:30.

          Надо отдать должное ноду, ТИШИНА на форумах и в отчетах об обновлениях. При таких ситуация надо сразу трубить в дудку и как можно громче. Короче полный FAIL.
          • 0
            И еще легли Все Windows с XP до WS 2008 R2, все редакции i386 -> x86_64, любые языковые редакции.
            Вот как они тестируют Обновления?
            • +3
              Видимо, никак.
              • +7
                Видимо это и был тест
            • –8
              Кто первый про Линукс сумничает?
              • +13
                Теперь можно быть только вторым
                • –2
                  Не хотелось бы разводить флуд и холивар, но не стоит забывать и про MacOS…
                  • –2
                    Угу. МакОС и без сбойных антивирусов неплох. is.gd/eSE3U
                    • +3
                      на дату «новости» обратите внимание
                      • 0
                        Посыпал голову пеплом =(
              • 0
                Та же фигня сейчас с drweb творится.
                А вообще это так или иначе болезнь всех антивирусов — не доводит до добра встраивание в ядро, нехорошо это, слишком много там граблей накидано, слишком много драйверописателей пишут левой ногой и создают новые грабли.
                • 0
                  Похоже, что Вы правы, у меня как-то аналогичная ситуация приключилась с Comodo Antivirus.
                • 0
                  Мои 5 копеек.
                  Каспер уже более месяца вешает намертво (нельзя убрать даже из диспетчера задач — только ребут) Remote Manipulator System (прога для удаленного администрирования), причем вьювер, при попытке установить одновременно более одного соединения. При этом не выводит никаких сообщений об опасности. Не помогает даже отключение всех модулей KIS. Только деинсталляция. В саппорте молчат.
                  Может кто еще сталкивался с подобными проблемами в каких-нибудь сетевых прогах, которые одновременно устанавливают несколько сетевых соединений?

                  Так что Вам повезло, что саппорт хоть скупо, но отвечает. Вопросы, хоть с опозданием, но решаются.
                  • 0
                    а пробовали прогу добавлять в исключения каспера?
                    • 0
                      Конечно же пробовал первым делом. Программа в списке доверенных.
                    • +1
                      Абсолютно такие же проблемы в использовании TeamViewer с касперским. Мучаюсь, выхода не нашел…
                      • 0
                        KIS вообще странный честно говоря, например при апдейте в несколько сотен килобайт, любит грузить проц очень сильно… или просто, сидит себе тихо, а потом бац и загруз одного из ядер проца на 100%.
                        • 0
                          Странно.
                          Именно TeamViewer и именно под Касперским работает как не в себя. И к машине подключаюсь и с других к ней — все чисто и красиво.
                          • 0
                            KIS 9.0.0.463 + TV — работает, Windows 7. Какая у вас версия?
                            • 0
                              У меня Internet Security 2010 + TV5 на Windows 7 x64. Через некотрое время TV просто виснет — и все. Перелогин не помогает чаще всего. Ну и еще раздражает что нельзя завершить удаленно касперский — это типа его защита.
                          • +2
                            напишите на forum.kaspersky.com пожалуйста, опишите подробнее проблему и укажите номер запроса в ТП, техподдержку пнём.

                            ссылку на тему мне в личку, если не трудно
                            • 0
                              Тему создавал на форуме пару раз и запрос в саппорт тоже. Ссылки скинул в личку. Было бы очень здорово если удастся решить проблему.
                          • +1
                            Зато сегодня выяснили, кто у нас в офисе компы на ночь выключать ленится
                            • 0
                              Переводим предприятие с NOD на ClamWin+ClamSentinel, чисто из-за денег
                              • –1
                                Стоит Dr.Web и ничего не падает. ;)
                                • +12
                                  Открыт блокнот, тоже ничего не падает. ;)
                                  • 0
                                    Нет блокнота. Dr. Web for OS X :( Так бы тоже открыл и не падало.
                                    • +4
                                      OS X говорите? а я вот купил MBP, форматнул жесткий и поставил туда XP.
                                      Вот такой я дерзкий, да.
                                      • 0
                                        Ну и нахрена?
                                        • 0
                                          Мне нравится макбук, но совершенно не нужна макось.
                                • +3
                                  ВСЯ. МОЯ. НЕНАВИСТЬ.
                                  • 0
                                    Похожая проблема была с апдейтом 5359 12 августа, когда NOD стал отжирать целый процессор. Это сейчас сходил по ссылкам на форум и увидел что не только у меня в это время была проблема. А тогда — переписка со службой поддержки, закончившаяся тем чтобы отключить расширенную эвристику.

                                    Вчера я после второго зависания отключил NOD чтобы не мешал работать… Через несколько дней заканчивается лицензия, попробую в следующем году Symantec.
                                    • +1
                                      Кому что.
                                      Я с симантека ушёл как раз на NOD после того, как он пропустил мощнейшую атаку на сеть, выведшую из строя 4 сервера.
                                      Ну и лично мне напакостил — пропустил вирус, унёсший аську 97-го года регистрации.
                                      • 0
                                        Нет в жизни счастья… Но NOD достал своими зависаниями, когда блокируется весь комп. Был случай когда после перезагрузки оказались битыми файлы. Несмотря на то что использовался NTFS. Видимо какая-то программа сочла что старый файл можно удалять, копирование завершено, а новый оказался заблокированным.
                                    • 0
                                      У меня прошло без осложнений, просто вылетела служба ekrn =)
                                      • 0
                                        Вот оно что было, спасибо за исследование.
                                        У нас из множества компьютеров только один заклинил — полностью перестала работать сеть и GUI антивируса, всё пришло в норму после двух перезагрузок даже с проблемными обновлениями. А ведь однажды сеть может не заработать и тогда флешку в руки :)
                                        Помнится у McAfee и Касперского уже были подобные проколы, теперь к ним присоединился Eset — никто не застрахован от ошибок.
                                        • 0
                                          Др. Веб тоже так косячил 1 раз. Правда это давно было, вроде когда 5-тая версия вышла. Правда тогда обновление приводило в BSOD-у. Приходилось в безопасном режиме обновляться, чтобы всё нормально заработало
                                        • +1
                                          Иногда бывает, что антивирусы ведут себя хуже вирусов, особенно в части поедания ресурсов.
                                          Ну ничего, я думаю, скоро исправят ошибочку.
                                          • 0
                                            Странно, но вроде ни одного глюка не наблюдал.
                                            На всех компах стоит Nod32.

                                            Наверное есть еще какой-то неизвестный фактор.
                                            Обновление автоматическое — правда через сервер внутри компании.
                                            • 0
                                              Столкнулся лично, подтверждаю. Вчера отвалилась сеть, были адские тормоза. Сегодня утром — просто дикие тормоза до перезагрузки. Судя по всему, у нескольких сотрудников было то же самое, но утверждать не могу.
                                              • 0
                                                2.70.39

                                                03.09.2010 9:01: 5419 (20100902).
                                                02.09.2010 15:21: 5417 (20100902).
                                                02.09.2010 9:22: 5416 (20100901).

                                                проблем не замечено
                                                • +1
                                                  Как назло на виндовыйх серверах стоит этот нод с автообновлением, как назло почти везде проблемы. Надо писать письмо в долбанный ESET, ну нельзя же ТАК косячить. Аццкие лучи поноса в их сторону!!!
                                                  • 0
                                                    А у меня на Висте вообще весело вышло вчера вечером. Ничего не висело, но Win показывала, что есть обновления, а список был пустой. Потом заметил стандартное сообщение Win, что nod упал. Ребут всё решил, но ноги, видимо, оттуда же растут, т.к. ноут стоял включённым весь день и апдейты накатывались поочерёдно, видимо.
                                                    • +1
                                                      Для тех у кого возникает ошибка выпущено исправление.

                                                      download.eset.com/special/eset_update_fix.exe
                                                      • 0
                                                        охтыж… сейчас открыл НОД и вижу что 22 атаки были, но комп не глючил…
                                                          • 0
                                                            Столкнулся с такой же проблемой, НОД сожрал 2 ядра на дуалксеоне и не хотел ни в какую отдавать, пришлось ребутать, помогло.
                                                            • 0
                                                              не поверите… у нас ДР.веб унес на тот свет за собой из-за просроченного ключа…
                                                              вроде уже исправили…
                                                              • 0
                                                                в офисе из 40ка машин 10 вчера проявили все симптомы) надо слазить на авиру.
                                                                • +2
                                                                  Не сочтите за рекламу — попробуйте microsoft security essentials.
                                                                  Как поставил так и забыл, что он на машине антивирус работает.
                                                                  • 0
                                                                    Дома на 7ке пробовал — и мне понравился, хороший АВ. А на работе везде ХР. Сейчас попробую на парочке машин.
                                                                    • 0
                                                                      На хп тоже работает, я его на нетбук ставил.
                                                                    • 0
                                                                      Аналогично. Сегодня на компах, где остался НОД и проявляются симптомы, методично его сношу и ставлю MSSE.
                                                                      Автору топика мега-респект!
                                                                    • 0
                                                                      По личному опыту, Avira явно пропускает некоторые вирусы, которые с лёгкостью ловят остальные.
                                                                      Часто, если я вижу, что у людей стоит Авира достаточно долгое время, то после проверки Cureit'ом обязательно находятся несколько вирусов.
                                                                      • 0
                                                                        Не спорю. Но Авира халявна.
                                                                    • –2
                                                                      Антивирусы не нужны, блеять
                                                                      • +1
                                                                        Торвальдс, перелогиньтесь!
                                                                      • +1
                                                                        Ну вот, а я sata шлейфы давай передергивать да контакты у памяти чистить…
                                                                        • 0
                                                                          А я-то думал, у меня одного такая фигня. Решил, что где-то race condition в ekrn.exe, уже хотел браться за WinDbg, отлаживать.
                                                                          • +1
                                                                            Заголовок порадовал необычностью.
                                                                            • 0
                                                                              Мы на работе тоже столкнулись с этим обновлением.
                                                                              Как результат, выход из строя файлового и почтового кластера, корпоративного портала, многочисленные проблемы на рабочих станциях. После перезагрузки все проблемы как рукой сняло.

                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.