Всем привет

Такая трабла случилась:
Уже несколько месяцев (все руки не доходили разобраться) винда с периодичностью от нескольких минут до нескольких часов выдает табличку от SFC, дескать, дайте мне диск - тут кто-то файлы переписывает.

И так каждый день
дошло до того, что работа за компом начинается с вставки нужного диска в сидюшник.

Делал фатальную проверку при помощи sfc /scannow, пытался установить повышенный размер кэша - все равно раз за разом просит сидюк.

Вопросов несколько по этому поводу:
1. Как узнать, кто эти файлы пытается менять? (На вирусы проверял - ноль эффекта)
2. Как сделать так, чтобы ВСЕ нужные файлы SFC брал из своего кэша? (т.е. закачл один раз и спокойно убрал диск на полку)
3. Что еще может быть кроме вирусяки или другой программы, из-за чего может лаять SFC?

Заранее благодарен

Смотри запущенные службы и приложения на предмет подозрительных, посмотри что болтается в автозагрузке (запусти msconfig.exe, а также посмотри в реестре ветки: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run];
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]). Наиболее вероятно, что пакостливая прога болтается именно там, раз ты говориш что sfc запускается в самом начале работы.

>sfc /?

/SCANBOOT     Проверка всех защищенных системных файлов при каждой загрузке

Все автораны уже проверил - нигде ничего подозрительного нет
Пересмотрю еще раз конечно, но пока не нашел.

Кроме того, SFC ругается не только в начале работы, но и некоторое время спустя. Иногда может спокойно проработать от бута до первого появлея несколько минут/часов. Никакой четкой закономерности я не обнаружил.

В списке процессов опять же пусто.

Проверка файлов при загрузке на деле то же самое, что и /scannow т.к. все остальные программы в это время спокойненько грузятся, а SFC кроме всего прочего еще и периодически просит нажать ему на кнопку Retry, не смотря на то, что диск никто не вынимал.

Может где-то есть логи активности машины, чтобы посмотреть, кто пытается переписывать те или иные файлы?

В журнале есть какие-нибудь сообщения? как точно звучит сообщение о попытке перезаписи файлов?

А попробуй  sfc /cachesize=300, допустим.

P.S. Антивирус обновлял?

Исправлено: ilan, 23:46 6-04-2004

Дык если sfc просит нажать кнопку Retry, это значит что вставлен не тот диск с дистрибутивом, и он никакие файлы не восстанавливает. У меня была такая ерунда, когда sfc отказался принять РОДНОЙ дистрибутив, с которого ставилась Винда! Пришлось подсунуть ему другой диск, и всё стало ОК. Проверка прошла на ура без всяких Retry и больше sfc не ругался :)

Дык если sfc просит нажать кнопку Retry, это значит что вставлен не тот диск с дистрибутивом, и он никакие файлы не восстанавливает. У меня была такая ерунда, когда sfc отказался принять РОДНОЙ дистрибутив, с которого ставилась Винда! Пришлось подсунуть ему другой диск, и всё стало ОК. Проверка прошла на ура без всяких Retry и больше sfc не ругался
Беда в том, что он так говорит не всегда. Вбольшинстве случаев он находит диск сразу, либо понимает что это тот самый диск сразу после вставки диска.
Но когда делаешь /scannow он _иногда_ выдает табличку и просит нажать Retry а все остальное время спокойно шуршит сидюком и ни на что не жалуется.

Другого диска нет.
Т.е. есть но только с русской виндой, а перемешивать русскую с английской у меня нет никакого желания. Тот диск что я ему даю - родной.

В журнале есть какие-нибудь сообщения? как точно звучит сообщение о попытке перезаписи файлов?

В журнале (при стандартных кажется настройках) выдается только сообщение от Windows File Protection о том, что такой-то файл был изменен на версию, которая не соответсвует версии в БД SFC. Точно могу процитировать, но завтра - вся фигня твориться на домашней машине.
Никаких указаний на то кто и зачем изменил файл я не смог найти (может не знаю где искать? Подскажите, плс)

А попробуй *sfc /cachesize=300, допустим.

вообще я уже ставил 100000000
ноль эффекта
или это для него слишком много?
Вообще на мелкософте я нашел строчку:

SFCQuota
Quota options. This registry value can be one of the following values. Value Meaning
SFC_QUOTA_ALL_FILES Size of the DLL cache is unlimited. This is the default.

Но одно не понятно - SFCQutoa в реестре - это dword а чтобы поставить SFC_QUOTA_ALL_FILES нужно делать ее стороквой.
Пытался поменять, а затем удалить ключ, каждый раз делая /revert и ребутя по честному машину, но значения ключа не менялось (а когда я его удалил, то он не восстанавливался)


P.S. Антивирус обновлял?
Стоит SYmantec NAV 2004 есть не просит. Вирусы ловит вроде.
Думаете, нужен KAV? ТОгда подскажите плс, где качнуть, хоть лайт какой-нить, но чтобы со всеми базами (или на оффсайте они его выдают нахаляву?)

Исправлено: Tark148, 9:31 7-04-2004

Можеш попробовать Dr.Web взять можно тут: http://www.drweb.ru последняя версия 4.31b там же и все обновления, ессно не бесплатно, но покрайней мере сможешь провериться (бесплатная версия не лечит).

Никаких указаний на то кто и зачем изменил файл я не смог найти (может не знаю где искать? Подскажите, плс) Тут Wert рекомендовал filemon с www.sysinternals.com для отслеживания обращений к файловой системе.

Прежде чем переустанавливать антивирусы можно провериться на шпионов: Ad-Aware и Spy Bot SD (ссылки в Google). Можно также провериться в онлайне на вирусы: http://forum.oszone.net/topic.cgi?forum=17&topic=264&start=#17

Прежде чем переустанавливать антивирусы можно провериться на шпионов: Ad-Aware и Spy Bot SD (ссылки в Google).
Adware ставил
Что интересно - он нашел MS Blast (и вроде бы его прибил), который отказывался видеть NAV (может он все же не работает?)
Но глюки остались и после этого

Попробую ДрВеб поставить... вдруг найдет чего...

И файлмон качнул
вечером проверю...

Исправлено: Tark148, 14:17 7-04-2004

ДрВеб ничего не нашел
ФайлМон это круто, но за вчерашний вечер я не дождался этого сообщения.
Т.е. оно вылезало, но вовремя авторана.
Сегодня буду копать реестр...

Подожди пока копать-то, может cashsizeом все исправил?

Нет
не исправил
при загрузке (когда уже авторан работает) вылезает стабильно
буду ловить

Tark148
У меня такая же вещь была на одной из машин. Оказалось- тихо издыхал диск. Советую проверить chkdsk C:

Диск проверял недавно - он при загрузки винды выдал какую-то ошибку и попросил провериться
Проверил по полной, с проверкой поверхности
Бэдов нет, но что-то мелкое он поправил.

По хорошему - надо винду переставлять, а то вообще глючит чего-то. Довольно часто експлорер вылетает и вообще...

А может это быть из-за того, что винтарь забит на 97%? :biglaugh:

Купить винтарь новый что ли?..

Разгрузил винтарь
Табличка больше не выскакивает

Странно это все....