Je constate un comportement étrange sur ma machine Windows 7; il semble que lorsqu'un exécutable s'exécute, SYSTEM garde une poignée ouverte pendant environ une minute. Voici ma dernière rencontre:
J'ai installé Steam, qui démarre Steam.exe après l'installation pour se mettre à jour. Il semble le faire en écrivant une copie temporaire de lui-même, en le lançant pour effectuer le téléchargement, puis en écrasant la copie originale de l'exécutable. Dans mon cas, cela a échoué, affirmant que steam.exe n'a pas pu être supprimé.
J'ai ouvert le dossier et essayé de supprimer manuellement steam.exe, mais Windows a affirmé que je n'avais pas l'autorisation. Mon compte est administrateur et est le seul compte utilisateur sur cette machine. Mais juste au cas où, j'ai démarré Explorer en tant qu'administrateur, mais je n'ai toujours pas pu supprimer le fichier. J'ai fait apparaître les propriétés du fichier dans l'onglet Sécurité, mais il n'a montré qu'un message disant que je n'avais pas l'autorisation d'afficher les autorisations.
Ensuite, j'ai fait apparaître Process Explorer pour voir si quelque chose avait un verrou sur le fichier. SYSTEM (PID 4) l'a fait, mais lorsque j'ai tenté de fermer le descripteur de fichier, il a produit une erreur indiquant que le descripteur n'était pas valide. J'ai essayé d'afficher les propriétés du descripteur de fichier, mais je n'avais pas non plus l'autorisation de le faire.
J'ai tout arrêté, sauf les processus système non terminables, et arrêté tous les services que je suis en mesure, y compris tout ce qui est lié à l'AV et au pare-feu, mais le problème persiste. J'ai essayé d'utiliser 'takeown' pour me donner la propriété du fichier, mais il prétend que je n'ai pas la permission de le faire. D'autres personnes ont affirmé avoir réussi à utiliser un outil appelé «Unlocker», mais il a rencontré le même problème que Process Explorer lors de la fermeture du descripteur de fichier.
J'ai depuis longtemps désactivé l'indexation et la recherche Windows et exclu C: \ de l'indexation, de sorte que la réponse à cette question ne s'applique pas à moi.
À chaque fois, après environ une minute, la poignée disparaît et le fichier est immédiatement supprimé; apparemment, la tentative du programme de mise à jour pour le supprimer a été mise en file d'attente et s'est finalement terminée une fois que le fichier n'a plus été verrouillé. Malheureusement, la mise à jour est déjà terminée et ne peut pas reprendre. Et lorsque je réinstalle, il essaie bien sûr d'exécuter à nouveau steam.exe, et je suis de retour à la case départ.
Ma question est: pourquoi ces poignées traînent-elles et comment puis-je les empêcher de le faire?
Modifier: Voici des informations supplémentaires demandées dans les commentaires:
C:\>fltmc instances
Filter Volume Name Altitude Instance Name Frame VlStatus
-------------------- ------------------------------------- ------------ --------------------- ----- --------
KLIF \Device\Mup 320400 KLIF 0
KLIF C: 320400 KLIF 0
KLIF 320400 KLIF 0
luafv C: 135000 luafv 0
FileInfo \Device\Mup 45000 FileInfo 0
FileInfo C: 45000 FileInfo 0
FileInfo 45000 FileInfo 0
Edit: GMER indique que mon antivirus (Kaspersky) est toujours actif d'une manière ou d'une autre, malgré sa désactivation à partir de sa propre interface graphique et que son service est arrêté.
AttachedDevice \Driver\tdx \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\tdx \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
Mais tout cela semble être pour les services réseau; Je ne vois rien concernant le système de fichiers. Certains d'entre eux pourraient-ils être la cause du problème?
Edit: j'ai désactivé le filtre Kaspersky KLIF, mais le problème de verrouillage persiste.
Edit: J'ai résolu le problème spécifique de Steam en installant, en mettant fin au programme d'installation avant qu'il ne puisse lancer steam.exe, puis en redémarrant en mode sans échec et en l'exécutant. Donc, apparemment, tout ce qui verrouille l'exécutable n'est pas présent en mode sans échec.
Bien que j'aie résolu ce cas particulier, le problème se pose également ailleurs, donc j'aimerais toujours comprendre ce qui se passe.
fltmc
s'il s'agit de filtres hérités, vous auriez besoin d'un outil tel que GMER pour répertorier les objets filtrés. Je sais que ce n'est pas l'objectif principal de GMER, mais il peut être utilisé de cette façon. Il y avait également un outil d'OSR, mais je ne me souviens pas de son nom. Répondra encore si je me souviens.Réponses:
Procédez comme suit:
Désactivez l'indexation sur l'emplacement problématique.
Activez le service "Application Experience" et réglez-le sur "Automatic".
C'est ça.
Si votre problème persiste, il peut s'agir de Superfetch, bien que la désactivation ne m'ait pas porté chance.
la source
AeLookupSvc
travailler, mais pourquoi? Quel est ce mystérieux service?KLIF est le pilote Kaspersky AV. Il est plutôt probable que cela ait à voir avec cela.
Mon plan d'action dans un tel cas serait de contacter Kaspersky et de lui demander conseil.
Cependant, il y a une autre chose que vous pouvez essayer d' abord: désactiver le pilote (sous
HKLM\SYSTEM\CurrentControlSet\Services
) en recherchantKLIF
ou quelque chose de similaire comme nom de clé et le réglage de laREG_DWORD
valeur nomméeStart
à4
( ce qui signifie désactivé), puis redémarrez. Cela devrait empêcher le chargement du pilote de filtre KAV. Vous pouvez ensuite utiliserfltmc
pour vérifier le résultat.La sortie de GMER que vous avez donnée n'est pas pertinente dans le cas présent car elle n'affecterait que les connexions réseau, pas les opérations sur les fichiers. Il semble que vous ayez installé quelque chose comme Kaspersky Internet Security (ou que vous l'ayez toujours dormant sur votre ordinateur).
Edit: juste FYI
luafv
est responsable de la virtualisation FS en collaboration avec UAC. Autrement dit, si vous n'avez pas accès à un fichier, il est placé dans un dossier séparé à l'intérieur de votre profil.FileInfo
appartient à SuperFetch - qui pourrait en fait faire partie de votre problème, mais je n'ai pas eu de problème similaire sur Windows 7 moi-même. Il n'est généralement pas recommandé de désactiver SuperFetch, bien que ce soit possible.la source
fltmc
en mode sans échec? Il est fort possible que SuperFetch ne soit pas actif. Lorsque vous lisez sur SuperFetch, il semble que votre description de tenir un manche un peu plus longtemps puisse être plausible.J'avais ce problème avec un exécutable Java maintenu ouvert et j'avais une expérience d'application désactivée ... (la recherche Windows était également désactivée). Merci!!! (J'avais également eu des problèmes avec les fichiers qui n'étaient pas enregistrés pendant une minute entière et qui ne pouvaient pas supprimer des fichiers jusqu'à une minute après les avoir fermés ...
la source
Cela m'est arrivé une fois, et il s'est avéré qu'il s'agissait d'un ordinateur distant sur lequel le dossier de partage était ouvert.
handle.exe -c E14 -p 4
. Votre descripteur de fichier se trouvera dans la sortie de votre recherche pour le descripteur de fichier, et l'ID de processus sera probablement le même pour le système.Error closing handle: T
la source
J'ai eu ce problème en essayant de renommer un dossier. J'ai dû arrêter le service serveur lors de l'exécution du changement de nom. Le redémarrage n'a pas aidé, car le processus système a reverrouillé le dossier dès que le service serveur a redémarré. Cela résoudrait probablement le problème mentionné ici également.
la source