ฉันเห็นพฤติกรรมแปลก ๆ บนเครื่อง Windows 7 ของฉัน ปรากฏว่าเมื่อเรียกใช้งานได้ระบบจะเก็บหมายเลขอ้างอิงไว้เพื่อเปิดในนาทีถัดไป นี่คือการเผชิญหน้าครั้งล่าสุดของฉัน:
ฉันติดตั้ง Steam ซึ่งเริ่ม steam.exe หลังการติดตั้งเพื่ออัปเดตตัวเอง ดูเหมือนว่าจะทำเช่นนี้โดยการเขียนสำเนาชั่วคราวของตัวเองเปิดตัวที่จะทำการดาวน์โหลดแล้วเขียนทับสำเนาต้นฉบับของปฏิบัติการ ในกรณีของฉันล้มเหลวการอ้างว่า steam.exe ไม่สามารถลบได้
ฉันเปิดโฟลเดอร์และพยายามลบ steam.exe ด้วยตนเอง แต่ Windows อ้างว่าฉันไม่ได้รับอนุญาต บัญชีของฉันเป็นผู้ดูแลระบบและเป็นบัญชีผู้ใช้เดียวในเครื่องนี้ แต่ในกรณีที่ฉันเริ่ม Explorer ในฐานะผู้ดูแล แต่ก็ยังไม่สามารถลบไฟล์ได้ ฉันนำคุณสมบัติของไฟล์ไปไว้บนแท็บความปลอดภัย แต่มันแสดงข้อความเพียงข้อความเดียวที่บอกว่าฉันไม่ได้รับอนุญาตให้ดูสิทธิ์
ถัดไปฉันนำ Process Explorer ขึ้นมาเพื่อดูว่ามีอะไรล็อคไฟล์หรือไม่ SYSTEM (PID 4) ทำ แต่เมื่อฉันพยายามปิดหมายเลขอ้างอิงของไฟล์มันสร้างข้อผิดพลาดที่ระบุว่าหมายเลขอ้างอิงไม่ถูกต้อง ฉันพยายามดูคุณสมบัติการจัดการไฟล์ แต่ฉันไม่ได้รับอนุญาตให้ทำเช่นนั้น
ฉันได้ยกเลิกทุกอย่างยกเว้นกระบวนการของระบบที่ไม่สิ้นสุดและหยุดบริการทั้งหมดที่ฉันสามารถทำได้รวมถึงทุกอย่างที่เกี่ยวข้องกับ AV และไฟร์วอลล์ แต่ปัญหายังคงปรากฏอยู่ ฉันได้ลองใช้ 'takeown' เพื่อให้สิทธิ์การเป็นเจ้าของไฟล์กับตัวเอง แต่มันอ้างว่าฉันไม่ได้รับอนุญาตให้ทำเช่นนั้น คนอื่น ๆ อ้างว่าประสบความสำเร็จโดยใช้เครื่องมือที่ชื่อว่า 'Unlocker' แต่มันมีปัญหาเช่นเดียวกับ Process Explorer ในการปิดการจัดการไฟล์
ฉันเพิ่งปิดใช้งาน Windows Indexing & Search และไม่รวม C: \ จากการจัดทำดัชนีดังนั้นคำตอบสำหรับคำถามนี้จึงไม่สามารถใช้ได้กับฉัน
ทุกครั้งหลังจากผ่านไปประมาณหนึ่งนาทีที่จับจะหายไปและไฟล์จะถูกลบทันที เห็นได้ชัดว่าความพยายามของ updater ในการลบมันถูกจัดคิวและในที่สุดก็เสร็จสิ้นเมื่อไฟล์ไม่ถูกล็อคอีกต่อไป น่าเสียดายที่การอัปเดตสิ้นสุดลงแล้วและไม่สามารถทำงานต่อได้ และเมื่อฉันติดตั้งแน่นอนมันพยายามรัน steam.exe อีกครั้งและฉันกลับไปที่ช่องสี่เหลี่ยม
คำถามของฉันคือ: ทำไมจับเหล่านี้แขวนอยู่รอบ ๆ และฉันจะป้องกันพวกเขาจากการทำเช่นนั้นได้อย่างไร
แก้ไข: นี่คือข้อมูลเพิ่มเติมตามที่ร้องขอจากความคิดเห็น:
C:\>fltmc instances
Filter Volume Name Altitude Instance Name Frame VlStatus
-------------------- ------------------------------------- ------------ --------------------- ----- --------
KLIF \Device\Mup 320400 KLIF 0
KLIF C: 320400 KLIF 0
KLIF 320400 KLIF 0
luafv C: 135000 luafv 0
FileInfo \Device\Mup 45000 FileInfo 0
FileInfo C: 45000 FileInfo 0
FileInfo 45000 FileInfo 0
แก้ไข: GMER ระบุว่าโปรแกรมป้องกันไวรัสของฉัน (Kaspersky) ยังคงทำงานอยู่แม้จะปิดการใช้งานจาก GUI ของตัวเองและบริการหยุดทำงาน
AttachedDevice \Driver\tdx \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\tdx \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
แต่สิ่งเหล่านี้ดูเหมือนจะเป็นบริการเครือข่าย ฉันไม่เห็นสิ่งใดที่เกี่ยวข้องกับระบบไฟล์ สิ่งเหล่านี้อาจเป็นสาเหตุของปัญหาหรือไม่
แก้ไข: ฉันปิดใช้งานตัวกรอง Kaspersky KLIF แต่ปัญหาการล็อคยังคงอยู่
แก้ไข: ฉันแก้ไขปัญหาเฉพาะกับ Steam โดยการติดตั้งบังคับให้เลิกการติดตั้งก่อนที่จะสามารถเปิด Steam.exe จากนั้นเริ่มระบบใหม่ในเซฟโหมดและเรียกใช้งานที่นั่น ดังนั้นสิ่งที่เห็นได้ชัดคือการล็อกไฟล์ที่เรียกทำงานไม่ได้อยู่ในเซฟโหมด
แม้ว่าฉันได้แก้ไขกรณีนี้โดยเฉพาะแล้วปัญหาก็เกิดขึ้นที่อื่นเช่นกันดังนั้นฉันยังคงต้องการที่จะเข้าใจว่าเกิดอะไรขึ้น
fltmc
ตัวกรองแบบเดิมที่คุณต้องการเครื่องมือเช่น GMER เพื่อแสดงรายการวัตถุที่ถูกกรอง ฉันรู้ว่ามันไม่ใช่จุดประสงค์หลักของ GMER แต่สามารถนำไปใช้ในทางนั้นได้ เคยมีเครื่องมือบางอย่างจาก OSR แต่ฉันจำชื่อไม่ได้ จะตอบกลับอีกครั้งถ้าฉันจำได้